OpenAI 今天揭露,兩台員工裝置被 Mini Shai-Hulud npm 供應鏈活動攻破,暴露了 GitHub 權杖、API 金鑰、內部祕密,以及——對最終使用者最重要的——OpenAI 的 iOS、Windows 和 macOS 應用的程式碼簽署憑證。公司表示沒有客戶資料和生產系統被存取;存取路徑範圍限於包含簽署材料的「有限數量的原始碼儲存庫」。OpenAI 正在輪換憑證,已暫停與平台供應商的公證以阻止任何惡意重新提交嘗試,並在調查期間聘請了外部數位鑑識和事件回應公司。Mac 使用者特別有 6 月 12 日的截止日期來更新受影響的應用;Windows 和 iOS 使用者除了正常更新外不需要額外的操作。
所需的 Mac 版本是具體的:ChatGPT Desktop 1.2026.125、Codex App 26.506.31421、Codex CLI 0.130.0 和 Atlas 1.2026.119.1。如果你在 macOS 上執行這些產品中的任何一個,實際操作是在 6 月 12 日之前從 OpenAI 的分發渠道安裝官方更新,而不是從任何其他來源。這裡的風險輪廓不是今天的應用不安全——它們使用正在被輪換出去的事件前憑證簽署——而是被盜的簽署材料讓攻擊者能夠產生看起來足夠合法的惡意軟體,繞過 macOS Gatekeeper 警告,欺騙使用者信任它。一旦憑證輪換完成,嘗試安裝使用舊材料簽署的版本將失敗驗證,這是預期的結果。
Mini Shai-Hulud 框架很重要。2025 年最初的 Shai-Hulud 蠕蟲是一個自我傳播的 npm 攻擊,透過鏈接維護者憑證攻破了數百個套件。「Mini」命名表明這是一個更小、更有針對性的後續活動,專注於針對特定組織的開發人員憑證,而不是大規模傳播。OpenAI 是迄今為止確認的最高調的受害者,但攻擊了他們兩名開發人員的相同活動基礎設施可能正在攻擊尚未注意到的較小團隊。技術模式是建構者現在應該視為常規的相同模式:npm 圖中受損的依賴項從開發人員機器收集憑證並將金鑰鏈存取出售給下一方。緩解措施是兩年來已知的實踐,但仍然不一致地部署:硬體繫結憑證(HSM 中的簽署金鑰或硬體權杖,範圍窄且頻繁輪換的 GitHub 權杖)、將建構基礎設施與開發人員工作站分開,以及 CI 側公證而不是開發人員筆記型電腦公證。
對於發布簽署軟體的建構者:稽核現在哪些憑證以明文檔案儲存在開發人員筆記型電腦上,並假設 Mini Shai-Hulud 或後繼者有能力讀取它們。OpenAI 的回應時間線——檢測、隔離裝置、聘請 DFIR、輪換憑證、暫停公證、用硬日期建議使用者——是如果這影響到你時要複製的劇本。憑證暴露和強制使用者端更新之間的視窗是惡意簽署版本可以流通的視窗;OpenAI 要求大約四週。每個執行簽署軟體管線的團隊需要回答的難題是,你自己的劇本讓你處於該視窗之下還是之上。