4月13日消息，OpenAI周五晚间发布博客文章称，发现公司内部工具从近期被感染的开源软件库下载了恶意更新，可能导致用于签署MacOS应用程序的证书面临泄露风险。

此次安全事件涉及Axios软件库。OpenAI透露，3月31日，黑客劫持了一名开发者账户并向该JavaScriptHTTP请求库推送了两个受感染的更新版本，公司在同日通过GitHub工作流下载了该恶意更新。Axios软件库与Axios新闻媒体无关联。

该公司表示，此次事件可能影响MacOS应用程序用户，包括ChatGPT、Atlas和Codex的桌面端用户。若攻击者成功获取签名证书，理论上可制作看似合法的假冒OpenAI应用程序，欺骗设备和AppStore的信任验证。

不过OpenAI强调，目前尚无证据表明用户数据、知识产权或内部系统遭到泄露，也未检测到iOS、Android、Windows及其他平台的应用程序受到影响。谷歌方面则将此次更广泛的攻击活动与某朝鲜黑客组织关联。

鉴于供应链攻击风险，OpenAI宣布将于5月8日起停止支持旧版MacOS应用程序。该公司建议用户在30天窗口期内完成更新，否则被撤销的证书可能导致新下载和首次启动受阻。

目前，AI公司正成为经典软件供应链攻击的主要目标，而非仅限于AI特有的新型威胁。（鞭牛士、AI普瑞斯编译）