OpenAI 今天披露,两台员工设备被 Mini Shai-Hulud npm 供应链活动攻破,暴露了 GitHub 令牌、API 密钥、内部秘密,以及——对最终用户最重要的——OpenAI 的 iOS、Windows 和 macOS 应用的代码签名证书。公司表示没有客户数据和生产系统被访问;访问路径范围限于包含签名材料的「有限数量的源代码仓库」。OpenAI 正在轮换证书,已暂停与平台供应商的公证以阻止任何恶意重新提交尝试,并在调查期间聘请了外部数字取证和事件响应公司。Mac 用户特别有 6 月 12 日的截止日期来更新受影响的应用;Windows 和 iOS 用户除了正常更新外不需要额外的操作。
所需的 Mac 版本是具体的:ChatGPT Desktop 1.2026.125、Codex App 26.506.31421、Codex CLI 0.130.0 和 Atlas 1.2026.119.1。如果你在 macOS 上运行这些产品中的任何一个,实际操作是在 6 月 12 日之前从 OpenAI 的分发渠道安装官方更新,而不是从任何其他来源。这里的风险概况不是今天的应用不安全——它们使用正在被轮换出去的事件前证书签名——而是被盗的签名材料让攻击者能够产生看起来足够合法的恶意软件,绕过 macOS Gatekeeper 警告,欺骗用户信任它。一旦证书轮换完成,尝试安装使用旧材料签名的版本将失败验证,这是预期的结果。
Mini Shai-Hulud 框架很重要。2025 年最初的 Shai-Hulud 蠕虫是一个自我传播的 npm 攻击,通过链接维护者凭证攻破了数百个包。「Mini」命名表明这是一个更小、更有针对性的后续活动,专注于针对特定组织的开发人员凭证,而不是大规模传播。OpenAI 是迄今为止确认的最高调的受害者,但攻击了他们两名开发人员的相同活动基础设施可能正在攻击尚未注意到的较小团队。技术模式是构建者现在应该视为常规的相同模式:npm 图中受损的依赖项从开发人员机器收集凭证并将密钥链访问出售给下一方。缓解措施是两年来已知的实践,但仍然不一致地部署:硬件绑定凭证(HSM 中的签名密钥或硬件令牌,范围窄且频繁轮换的 GitHub 令牌)、将构建基础设施与开发人员工作站分开,以及 CI 侧公证而不是开发人员笔记本电脑公证。
对于发布签名软件的构建者:审计现在哪些凭证以明文文件存储在开发人员笔记本电脑上,并假设 Mini Shai-Hulud 或后继者有能力读取它们。OpenAI 的响应时间线——检测、隔离设备、聘请 DFIR、轮换证书、暂停公证、用硬日期建议用户——是如果这影响到你时要复制的剧本。证书暴露和强制用户端更新之间的窗口是恶意签名版本可以流通的窗口;OpenAI 要求大约四周。每个运行签名软件管道的团队需要回答的难题是,你自己的剧本让你处于该窗口之下还是之上。