OpenAI, compania din spatele ChatGPT, a anunțat o problemă de securitate legată de un instrument software terț, Axios. Incidentul a ridicat semnale de alarmă cu privire la potențialele vulnerabilități în lanțul de aprovizionare software. Nu există dovezi că datele utilizatorilor au fost compromise. O investigație este în desfășurare.
Compromiterea instrumentului Axios
Problema a fost identificată vineri și implică Axios, un instrument de dezvoltare utilizat pe scară largă. Conform datelor, atacul a avut loc pe 31 martie. Atacul a fost atribuit unor actori despre care se crede că sunt legați de Coreea de Nord. Acesta a inclus compromiterea bibliotecii Axios.
Atacul a dus la executarea unei versiuni „malițioase” a Axios într-un flux de lucru GitHub Actions utilizat de OpenAI. Acest flux de lucru avea acces la materiale de certificare și notarizare utilizate pentru semnarea aplicațiilor macOS. Printre aplicațiile afectate se numără ChatGPT Desktop, Codex, Codex-cli și Atlas.
Măsuri de securitate și impactul asupra utilizatorilor
Compania a precizat că analizele indică faptul că certificatul de semnare prezent în fluxul de lucru probabil nu a fost exfiltrat cu succes. Cu toate acestea, OpenAI a luat măsuri prompte pentru a proteja procesul de certificare al aplicațiilor sale macOS. Utilizatorii de macOS sunt sfătuiți să își actualizeze aplicațiile OpenAI la cele mai recente versiuni.
Începând cu 8 mai, versiunile mai vechi ale aplicațiilor desktop OpenAI pentru macOS nu vor mai primi actualizări sau suport. Aceste versiuni este posibil să nu mai funcționeze. Parolele și cheile API OpenAI nu au fost afectate de această problemă de securitate. Incidentul a fost cauzat de o configurare greșită a fluxului de lucru GitHub Actions, care a fost între timp corectată.
Impactul atacului în contextul politic curent
Acest incident survine într-un context internațional tensionat, cu tensiuni geopolitice crescute și preocupări sporite legate de atacurile cibernetice. În România, președintele Nicușor Dan și prim-ministrul Ilie Bolojan pot fi nevoiți să intensifice eforturile de securitate cibernetică. Marcel Ciolacu și George Simion, liderii partidelor principale de opoziție, ar putea folosi această situație pentru a critica politicile actuale de securitate. Candidatul controversat Călin Georgescu și Mircea Geoană, fost secretar general NATO, ar putea, de asemenea, să abordeze problema în dezbaterile publice.
OpenAI a afirmat că va continua să monitorizeze situația și să ia măsuri pentru a se asigura că sistemele sale rămân sigure.
