OpenAI 在 Axios 供应链攻击后轮换了 macOS 证书

艾瑞斯·科尔曼

2026年4月15日 02:02

OpenAI回应与朝鲜有关的Axios npm被破坏事件，正在轮换代码签名证书。macOS用户必须在5月8日前更新ChatGPT、Codex应用程序。

OpenAI正在强制所有macOS用户更新桌面应用程序，此前该公司的应用签名流程被曝光于Axios供应链攻击——此次攻击归因于朝鲜威胁行为者，于2026年3月31日攻击了流行的JavaScript库。

这家人工智能巨头表示，没有证据显示用户数据被访问或其软件被篡改。但公司不敢掉以轻心：它将其macOS代码签名证书视为已被破坏，并计划于2026年5月8日完全吊销。

事件经过

当被破坏的Axios版本1.14.1于3月31日上线npm时，OpenAI使用的GitHub Actions工作流用于macOS应用签名，下载并执行了恶意代码。该工作流拥有签署ChatGPT桌面版、Codex、Codex CLI和Atlas所用证书的权限——这些凭证告诉macOS“是的，这个软件确实来自OpenAI”。

根本原因？配置错误。OpenAI的工作流使用浮动标签而非固定提交哈希引用Axios，且没有为新包配置最低发布版本要求。这是典型的供应链漏洞。

OpenAI的内部分析显示，由于时间和执行顺序，签名证书很可能未被成功窃取。但“很可能”还不够好，尤其是在签署运行在数百万台机器上的软件时。

更广泛的攻击

Axios的破坏事件并非专门针对OpenAI。安全研究人员，包括谷歌的威胁情报团队，将此次攻击与朝鲜相关的攻击者联系起来——可能是Sapphire Sleet或UNC1069。攻击者攻破了npm维护者的账户，注入了名为‘plain-crypto-js’的恶意依赖，部署了一个跨平台的远控木马（RAT），具备侦察、持久化和自我销毁能力，以避免被检测。

此次攻击波及全球多个行业，包括商业服务、金融服务和科技行业。

用户需要采取的措施

如果你使用任何OpenAI的macOS应用程序，现在就更新。5月8日之后，旧版本将完全停止工作。最低版本要求：

• ChatGPT桌面版：1.2026.051
• Codex应用：26.406.40811
• Codex CLI：0.119.0
• Atlas：1.2026.84.2

仅从官方渠道或通过应用内更新下载。OpenAI明确警告不要从电子邮件、广告或第三方网站安装任何内容——考虑到持有旧证书的恶意行为者理论上可以签署伪造的应用程序，使其看起来合法，这是非常明智的建议。

Windows、iOS、Android和Linux用户不受影响，网页版也未受影响。密码和API密钥依然安全。

为什么要留出30天的缓冲期？

OpenAI可以立即吊销证书，但选择了延迟。使用被破坏证书进行的新认证已被阻止，这意味着任何用该证书签署的欺诈应用程序都将无法通过macOS的默认安全检查，除非用户手动绕过。

这个延迟给用户提供了通过正常渠道更新的时间，而不是醒来时发现软件无法使用。OpenAI表示，它正在监控任何证书滥用的迹象，一旦发现恶意活动，将加快吊销速度。

此次事件凸显了供应链攻击在软件生态系统中的持续影响。一旦一个被破坏的npm包出现，OpenAI就不得不在其所有macOS产品线上轮换证书。对开发者而言，教训很明确：将依赖项固定到具体提交，而非使用浮动标签。

图片来源：Shutterstock