我们对TanStack npm供应链攻击的回应
Our response to the TanStack npm supply chain attack
OpenAI 披露其企业环境中两台员工设备遭 TanStack npm 库供应链攻击(代号 Mini Shai-Hulud),导致有限内部源代码仓库子集被未授权访问,仅少量凭证材料被窃取,未发现用户数据、生产系统或知识产权受损。受影响仓库包含 iOS、macOS、Windows 签名证书,OpenAI 正轮换代码签名证书,要求 macOS 用户于 2026 年 6 月 12 日前更新应用,Windows 和 iOS 用户无需操作。OpenAI 已隔离系统、撤销会话、轮换凭证,并聘请第三方数字取证公司协助调查。
我们最近发现了一个涉及常见开源库 TanStack npm 的安全问题,该问题是名为 Mini Shai-Hulud(在新窗口中打开) 的更广泛攻击的一部分。我们没有发现任何证据表明 OpenAI 用户数据被访问、我们的生产系统或知识产权受到损害,或者我们的软件被篡改。
我们已采取果断措施保护我们的用户数据、系统和知识产权。作为应对措施的一部分,我们正在采取措施保护用于认证我们 macOS 应用程序为合法 OpenAI 应用的流程。
您的信息安全和隐私是我们的首要任务。我们致力于保持透明,并在问题出现时迅速采取行动。以下我们将分享更多技术细节和常见问题解答。
发生了什么以及我们正在做什么
我们企业环境中的两台员工设备受到了此次攻击的影响。在识别到恶意活动后,我们迅速展开调查、遏制并采取措施保护我们的系统。作为调查和响应的一部分,我们聘请了一家第三方数字取证和事件响应公司。
我们观察到的活动与恶意软件公开描述的行为一致,包括在两名受影响员工有权访问的有限内部源代码仓库子集中,存在未经授权的访问和以凭证为重点的窃取活动。我们确认只有有限的凭证材料成功从这些代码仓库中被窃取,没有其他信息或代码受到影响。
我们立即采取行动遏制该活动。我们隔离了受影响的系统和身份,撤销了用户会话,轮换了受影响仓库中的所有凭证,暂时限制了代码部署工作流,并彻底审查了用户和凭证行为。作为调查的一部分,我们没有观察到客户数据或我们的知识产权受到影响的证据,并且我们的分析未发现威胁行为者滥用受影响的凭证或进行后续访问。
受影响的源代码仓库包括我们产品的签名证书,涉及 iOS、macOS 和 Windows。因此,作为预防措施,我们正在轮换代码签名证书,这将要求 macOS 用户更新他们的应用程序。Windows 和 iOS 应用程序的用户无需采取任何操作。我们将向 macOS 用户提供有关这些必要更新的额外指导。
除了轮换证书,我们正在与平台提供商协调,通过停止新的公证来防止这些证书被任何未经授权的使用。我们还审查了所有使用我们先前证书的软件公证,以确认这些密钥没有发生意外的软件签名,并验证了我们已发布的软件没有未经授权的修改。我们没有发现现有软件安装受到损害或存在风险的证据。
一旦我们在 2026 年 6 月 12 日完全撤销证书,使用先前证书签名的应用程序的新下载和启动将被 macOS 安全保护机制阻止。
在 Axios 事件 之后,我们加速部署了特定的安全控制措施和技术,以减少此类供应链攻击的影响。我们的安全响应包括进一步加固 CI/CD 管道中使用的敏感凭证材料,部署带有 minimumReleaseAge 等控制措施的包管理器配置,以及用于验证新包来源的额外安全软件。
此事件发生在我们分阶段部署和推出这些控制措施的过程中,受影响的两台员工设备没有安装更新的配置,这些配置本可以阻止下载包含恶意软件的新发现的包。
此事件反映了威胁格局的更广泛转变:攻击者越来越多地针对共享的软件依赖项和开发工具,而不是任何单一公司。现代软件构建在一个深度互联的开源库、包管理器和持续集成与持续部署基础设施生态系统之上,这意味着上游引入的漏洞可以迅速且广泛地在各组织间传播。我们正在继续投资于验证第三方组件完整性和来源的控制措施,并加强我们针对此类生态系统级供应链攻击的防御能力。
常见问题解答
OpenAI 产品或用户数据是否受到损害?
没有。我们没有发现任何证据表明 OpenAI 产品或用户数据受到损害或泄露。
是否发现恶意软件被签名成 OpenAI?
没有。我们没有发现任何证据表明恶意软件使用了 OpenAI 的任何证书进行签名。
我需要更改密码吗?
不需要。客户/用户的密码和 API 密钥未受影响。
这会影响哪些平台?
我们用于 Windows、macOS、iOS 和 Android 的签名密钥受到影响。我们所有的应用程序都将使用新证书重新签名并发布。macOS 用户需要在 2026 年 6 月 12 日之前采取行动进行更新,以确保应用程序继续正常运行。
为什么要求我更新 Mac 应用程序?
更新可确保您运行的是使用我们最新证书签名的版本。此证书帮助客户确认软件来自合法开发者 OpenAI。
我在哪里下载更新的 macOS 应用程序?
请仅通过应用内更新或以下官方网页下载 OpenAI 应用程序:
不要通过电子邮件、消息、广告或第三方下载网站中的链接安装应用程序。警惕通过电子邮件、短信、聊天消息、广告、文件共享链接或第三方下载网站发送的意外的“OpenAI”、“ChatGPT”或“Codex”安装程序。
2026 年 6 月 12 日之后会发生什么?
自 2026 年 6 月 12 日起,旧版本的 macOS 桌面应用程序将不再接收更新或支持,并且可能无法正常运行。这些版本是使用我们旧证书签名的最后版本:
- ChatGPT Desktop:1.2026.125
- Codex App:26.506.31421
- Codex CLI:0.130.0
- Atlas:1.2026.119.1
为什么不立即撤销证书?
我们已采取措施阻止使用受影响的公证材料对 macOS 应用程序进行任何进一步的公证。这意味着任何使用受影响证书冒充 OpenAI 应用程序的欺诈性应用程序都将缺少公证,因此除非用户明确绕过这些保护,否则 macOS 安全保护机制将默认阻止它们。由于使用先前证书进行新公证已被阻止,并且撤销证书可能导致 macOS 阻止使用先前证书签名的应用程序的新下载和首次启动,我们给予用户到 2026 年 6 月 12 日的时间进行更新,以最大程度地减少中断。此窗口期有助于最大程度地降低用户风险,并允许受影响的客户端通过内置更新机制进行更新,确保他们得到适当的补救。我们正在与合作伙伴合作,监控任何滥用签名证书的迹象,如果在此期间发现恶意活动,我们将加快撤销时间表。