Пользователей ChatGPT предупредили о риске из-за уязвимости
OpenAI сообщила о зараженной библиотеке Axios. Под угрозой могли быть приложения для macOS, включая ChatGPT.
OpenAI обнаружила угрозу через стороннюю библиотеку
Компания OpenAI сообщила о потенциальной угрозе безопасности, связанной с использованием стороннего программного обеспечения, передает Finratings.kz со ссылкой на Axios.
Один из внутренних инструментов загрузил обновление из зараженной библиотеки с открытым исходным кодом.
Речь идет о библиотеке Axios, которая широко используется для выполнения HTTP-запросов. По данным компании, вредоносное обновление было загружено 31 марта.
Инцидент мог создать условия для компрометации системы подписи приложений, однако фактических атак зафиксировано не было.
Как могла работать схема атаки
По информации компании, злоумышленники взломали аккаунт разработчика и опубликовали два зараженных обновления в библиотеку.
Это могло позволить хакерам получить доступ к сертификату, используемому для подписи приложений macOS. Такой сертификат подтверждает подлинность программного обеспечения.
В теории это дало бы возможность создавать поддельные приложения, которые выглядели бы как официальные продукты OpenAI и проходили проверку систем безопасности.
Какие приложения могли быть затронуты
Под потенциальный риск попали приложения для macOS, включая ChatGPT, Atlas и Codex.
При этом в компании подчеркнули, что нет доказательств компрометации пользовательских данных, интеллектуальной собственности или внутренних систем.
Также не выявлено признаков того, что проблема затронула приложения на iOS, Android или Windows.
Что делать пользователям macOS
В качестве меры предосторожности OpenAI решила прекратить поддержку устаревших версий приложений для macOS.
Пользователям дали 30 дней на обновление. После этого отозванный сертификат может заблокировать запуск старых версий и установку новых.
Эксперты советуют своевременно обновлять приложения и избегать установки программ из непроверенных источников, чтобы снизить риски безопасности.