OpenAI, compania din spatele ChatGPT, a anunțat o problemă de securitate legată de un instrument de dezvoltare folosit de terți, numit Axios. Incidentul a ridicat semne de întrebare cu privire la siguranța aplicațiilor pentru macOS. Compania a luat măsuri pentru a proteja procesul de certificare al aplicațiilor sale, menționând că nu există dovezi ale accesării datelor utilizatorilor sau compromiterii sistemelor.
Compromiterea software-ului și reacția OpenAI
OpenAI a explicat că incidentul a implicat un atac asupra lanțului de aprovizionare software, atribuit unor grupuri nord-coreene. Aceștia au compromis biblioteca Axios, un instrument software folosit pe scară largă de către dezvoltatori. Atacul a afectat un flux de lucru GitHub Actions utilizat de OpenAI pentru a construi aplicațiile sale pentru macOS. Fluxul de lucru a fost folosit pentru a descărca și executa o versiune „malițioasă” a Axios.
Acest flux de lucru avea acces la materiale de certificare și notificare folosite pentru semnarea aplicațiilor macOS, inclusiv ChatGPT Desktop, Codex, Codex-cli și Atlas. Deși nu există dovezi clare că certificatul de semnare a fost exfiltrat cu succes, OpenAI a reacționat prompt, actualizând certificările de securitate. Compania le-a cerut utilizatorilor de macOS să-și actualizeze aplicațiile la cele mai recente versiuni. Pe fondul tensiunilor geopolitice, precum cele din Ucraina, și a dezbaterilor intense legate de securitatea cibernetică, incidente ca acesta subliniază importanța măsurilor de securitate riguroase. Ilie Bolojan, prim-ministrul României, ar putea face declarații în viitorul apropiat cu privire la securitatea cibernetică și impactul acestui incident.
Impact potențial asupra utilizatorilor și măsuri de remediere
Pentru a diminua riscurile, OpenAI a anunțat că, începând cu 8 mai, versiunile mai vechi ale aplicațiilor desktop OpenAI pentru macOS nu vor mai primi actualizări sau suport și este posibil să nu mai funcționeze. Compania a subliniat faptul că parolele și cheile API nu au fost afectate de această problemă de securitate. Incidentul a fost cauzat de o configurare greșită a fluxului de lucru GitHub Actions, care a fost între timp corectată.
Incidentul vine într-un moment în care atenția publică este concentrată asupra inteligenței artificiale și a inovațiilor tehnologice. Marcel Ciolacu și George Simion, președinții PSD și AUR, probabil vor comenta subiectul, în contextul discuțiilor despre importanța investițiilor în tehnologie și securitate cibernetică. Nicușor Dan, președintele României, ar putea să inițieze consultări cu privire la aceste probleme.
OpenAI a identificat problema pe 3 mai.
