OpenAI 针对 Axios 开发者工具的供应链攻击进行了响应,主要包含更新 macOS 代码签名证书并推送应用更新,同时确认没有用户数据被泄露。公司已撤销受影响证书并与安全社区协同以防止类似事件发生。
- 事件概述
-
供应链攻击源自第三方开发者工具(Axios)被入侵,攻击者利用被篡改的工具影响构建或签名流程。
-
OpenAI 的即时应对措施
- 旋转(撤销并更换)macOS 代码签名证书以阻断受影响签名的有效性。
- 推出并要求用户/设备更新受影响的应用程序,确保新版本使用新的证书签名。
-
与安全团队和社区通报并协调后续检测与缓解步骤。
-
数据与影响评估
- OpenAI 表示经调查没有证据显示用户数据被访问或泄露。
-
强调这类供应链风险对软件签名和构建流程的潜在影响,需持续监控。
-
后续与防范建议
- 建议加强对第三方工具和构建链的审计、签名密钥管理与入侵检测。
- 鼓励开发者和组织尽快应用补丁并验证签名证书状态。
这次响应展示了证书旋转与快速更新在供应链攻击中至关重要,但长期防护还需加强对第三方构建链的治理。