OpenAI yaptığı açıklamada, Axios adlı üçüncü taraf bir geliştirici aracıyla ilgili bir güvenlik sorunu tespit ettiğini ve macOS uygulamalarının meşru OpenAI uygulamaları olduğunu onaylayan süreci korumak için adımlar attığını belirtti.
OpenAI üçüncü taraf güvenlik sorunu için açıklama yaptı
ChatGPT üreticisi, kullanıcı verilerine erişildiğine, sistemlerinin veya fikri mülkiyetinin tehlikeye atıldığına veya yazılımının değiştirildiğine dair hiçbir kanıt bulamadığını söyledi. Şirket, sahte bir uygulama dağıtmaya çalışan birinin riskini önlemeye yardımcı olmak için tüm macOS kullanıcılarının OpenAI uygulamalarını en son sürümlere güncellemesini gerektiren güvenlik sertifikalarını güncellediğini söyledi.
OpenAI’a göre, yaygın olarak kullanılan üçüncü taraf bir geliştirici kütüphanesi olan Axios, 31 Mart’ta Kuzey Kore ile bağlantılı olduğuna inanılan aktörler tarafından gerçekleştirilen daha geniş bir yazılım tedarik zinciri saldırısının bir parçası olarak tehlikeye atıldı.
Bu saldırı, OpenAI tarafından kullanılan bir GitHub Actions iş akışının Axios’un ‘kötü amaçlı’ bir sürümünü indirip çalıştırmasına yol açtı. Bu iş akışı, ChatGPT Desktop, Codex, Codex-cli ve Atlas dahil olmak üzere macOS uygulamalarını imzalamak için kullanılan bir sertifikaya ve noter tasdik belgesine erişime sahipti.
OpenAI, olayın analizinin, bu iş akışında bulunan imzalama sertifikasının ‘kötü amaçlı’ yük tarafından başarılı bir şekilde sızdırılmadığı sonucuna vardığını söyledi. ChatGPT üreticisi, 8 Mayıs’tan itibaren OpenAI’nin macOS masaüstü uygulamalarının eski sürümlerinin artık güncelleme veya destek almayacağını ve çalışmayabileceğini belirtti.
Şirket, şifrelerin ve OpenAI API anahtarlarının üçüncü taraf güvenlik sorunundan etkilenmediğini, güvenlik olayının temel nedeninin GitHub Actions iş akışındaki bir yanlış yapılandırma olduğunu ve bunun giderildiğini ekledi.