精选昨天0 投票
OpenAI 回应 TanStack npm 供应链攻击:macOS 用户需在 2026 年 6 月 12 日前更新应用
OpenAI 近日披露了其对 TanStack npm 供应链攻击(代号“Mini Shai-Hulud”)的应对措施。该攻击于 2026 年 5 月 11 日被发现,波及广泛使用的开源库 TanStack。OpenAI 确认其两名员工设备受到影响,但强调用户数据、生产系统和知识产权未被泄露,软件也未遭篡改。作为响应,OpenAI 正在更新 macOS 应用的签名证书,要求所有 macOS 用户在 2026 年 6 月 12 日前更新 ChatGPT 桌面版、Codex 应用、Codex CLI 和 Atlas 等应用,以防止假冒应用风险。此外,OpenAI 已隔离受影响系统、撤销会话、轮换凭证,并聘请第三方数字取证与事件响应公司进行调查。
攻击详情与影响范围
本次攻击属于更广泛的软件供应链攻击“Mini Shai-Hulud”,目标是通过入侵开源库 TanStack 来渗透下游用户。OpenAI 的企业环境中两名员工的设备被感染。调查发现,攻击者行为与公开描述的恶意软件特征一致,包括未授权访问和凭据窃取,范围限于两名员工有权访问的部分内部源代码仓库。OpenAI 确认仅有少量凭据材料被成功窃取,其他信息或代码未受影响。
OpenAI 的应对措施
OpenAI 迅速采取行动遏制事件扩散:
- 隔离与凭证管理:立即隔离受影响的系统和身份,撤销用户会话,轮换所有受影响仓库的凭证。
- 证书更新:为保护 macOS 应用签名流程,OpenAI 正在更新安全证书,并强制要求用户在 2026 年 6 月 12 日前更新应用至最新版本。用户可通过应用内更新或官方链接安全升级。
- 第三方取证:聘请专业数字取证与事件响应公司协助调查,确保彻底清除威胁。
对 macOS 用户的建议
OpenAI 强调,虽然风险极低,但证书更新是为了防止有人利用旧证书分发假冒 OpenAI 应用。用户应尽快更新以下应用:
- ChatGPT 桌面版
- Codex 应用
- Codex CLI
- Atlas
行业背景与启示
此次事件再次敲响软件供应链安全的警钟。TanStack 作为广泛使用的前端工具库,其被攻破可能影响大量依赖它的项目。OpenAI 的快速响应和透明披露值得肯定,但事件也提醒开发者和企业:
- 定期审查第三方依赖的安全性。
- 对员工设备实施严格访问控制和监控。
- 建立完善的应急响应预案。
OpenAI 表示将继续加强防御,应对不断演变的软件供应链威胁。用户无需过度恐慌,但应遵循安全更新建议。