A OpenAI anunciou a descoberta de uma ameaça à segurança relacionada a um componente de terceiros, o Axios, usado em vários de seus aplicativos. A empresa foi obrigada a tomar medidas para garantir a segurança do processo de certificação de seus aplicativos para macOS da Apple.
Fonte da imagem: Mariia Shalabaieva / unsplash.com
A empresa não encontrou evidências de que terceiros tenham acessado dados de usuários, comprometido os sistemas ou a propriedade intelectual da OpenAI, ou alterado o funcionamento de seu software. Para solucionar a vulnerabilidade, a OpenAI atualizou seus certificados de segurança e recomendou fortemente que todos os usuários de seus aplicativos para macOS os atualizem para as versões mais recentes, a fim de evitar tentativas de distribuição de software falsificado.
A biblioteca de terceiros Axios, amplamente utilizada, foi invadida em 31 de março, e o GitHub Actions, uma ferramenta de desenvolvimento usada no projeto, baixou e executou uma variante “maliciosa”. Essa variante teve acesso aos certificados usados para assinar os aplicativos ChatGPT Desktop, Codex, Codex-cli e Atlas. A análise revelou que o certificado usado pelo GitHub Actions provavelmente não foi roubado por um payload malicioso.
Versões antigas dos aplicativos de desktop da OpenAI para macOS não receberão mais atualizações e suporte a partir de 8 de março, podendo se tornar inoperáveis após essa data. A empresa enfatizou que as senhas e chaves de API da OpenAI não foram afetadas pelo incidente e que a causa principal foi uma configuração incorreta do GitHub Actions, que já foi corrigida.