OpenAI hat eine Schwachstelle eines externen Moduls in ihren Produkten entdeckt – die Datensicherheit der Nutzer ist nicht verletzt

OpenAI meldet eine identifizierte Sicherheitsbedrohung und Maßnahmen zu ihrer Behebung

OpenAI hat die Entdeckung einer potenziellen Schwachstelle in der Drittanbieter-Komponente Axios bekannt gegeben, die in mehreren ihrer Anwendungen verwendet wird. Infolgedessen musste das Unternehmen Schritte ergreifen, um den Zertifizierungsprozess von Software für macOS abzusichern.

- Keine Hinweise auf Kompromittierung

Derzeit hat OpenAI keine Bestätigungen gefunden, dass Angreifer Zugriff auf Benutzerdaten erhalten haben, die Systeme beeinträchtigt oder die Software verändert haben.

- Wie die Schwachstelle behoben wurde

Das Unternehmen aktualisierte die Sicherheitszertifikate und empfiehlt allen Nutzern von macOS-Anwendungen dringend, auf die neuesten Versionen umzusteigen. Dies soll das Risiko der Verbreitung gefälschter Software ausschließen.

- Kern des Vorfalls

Anfang März wurde die Axios-Bibliothek gehackt, und eine bösartige Variante wurde im CI/CD-Prozess über GitHub Actions heruntergeladen und ausgeführt. Die Malware erhielt Zugriff auf Zertifikate, die zur Signierung der ChatGPT Desktop-, Codex-, Codex‑cli- und Atlas-Anwendungen verwendet wurden. Analysen zeigten, dass die Zertifikate nicht durch bösartigen Code gestohlen wurden.

- Problem mit alten Versionen

Die OpenAI-Desktopanwendungen für macOS, die vor dem 8. März veröffentlicht wurden, werden keine Updates mehr erhalten und auch nicht unterstützt. Dies kann zu Funktionsverlusten der Programme führen.

- Sicherheit der Schlüssel

Das Unternehmen betonte, dass Passwörter und API‑Schlüssel von OpenAI weiterhin geschützt sind. Der Hauptgrund des Vorfalls war eine falsche Konfiguration von GitHub Actions, die bereits behoben wurde.

Damit hat OpenAI die Arbeit zur Behebung der Bedrohung abgeschlossen, indem es Zertifikate aktualisiert und den Nutzern vorgeschlagen hat, auf aktuelle Versionen der macOS-Anwendungen umzusteigen.