كشف OpenAI ثغرة في وحدة خارجية داخل منتجاتها، لكن أمان بيانات المستخدمين لم يُعرض للخطر

أعلنت شركة OpenAI عن اكتشاف تهديد أمني محتمل وتدابير التخفيف منه

أفادت OpenAI باكتشاف ثغرة أمنية محتملة في مكوّن خارجي يُسمى Axios، والذي يُستخدم في عدة تطبيقات لها. نتيجة لذلك اضطرت الشركة إلى اتخاذ إجراءات لحماية عملية اعتماد البرامج على macOS.

- عدم وجود أدلة على خرق الأمان

حتى الآن لم تجد OpenAI أي تأكيد بأن المتسللين حصلوا على بيانات المستخدمين أو أفسدوا عمل الأنظمة أو غيروا البرمجيات.

- كيف تم إغلاق الثغرة

قامت الشركة بتحديث شهادات الأمان وتوصي بشدة لجميع مستخدمي تطبيقاتها على macOS بالانتقال إلى أحدث الإصدارات. هذا سيساعد في القضاء على خطر انتشار برامج مزيفة.

- جوهر الحادثة

في أوائل مارس، تم اختراق مكتبة Axios، وتم تحميل نسخة خبيثة وتشغيلها خلال عملية CI/CD عبر GitHub Actions. حصلت النسخة الخبيثة على حق الوصول إلى الشهادات المستخدمة لتوقيع تطبيقات ChatGPT Desktop وCodex وCodex‑cli وAtlas. أظهر التحليل أن الشهادات لم تُسرق بواسطة الكود الضار.

- مشكلة الإصدارات القديمة

لن تتلقى تطبيقات OpenAI المكتبية لـ macOS التي صدرت قبل 8 مارس تحديثات أو دعمًا مستقبليًا. قد يؤدي ذلك إلى فقدان عمل البرامج.

- أمان المفاتيح

أكدت الشركة أن كلمات المرور ومفاتيح API الخاصة بـ OpenAI ما زالت محمية. السبب الرئيسي للحادث كان تكوين غير صحيح لـ GitHub Actions، والذي تم إصلاحه بالفعل.

وبهذا اختتمت OpenAI العمل على إزالة التهديد من خلال تحديث الشهادات وتقديم اقتراح للانتقال إلى إصدارات حديثة من تطبيقاتها على macOS.