OpenAIは自社製品における外部モジュールの脆弱性を発見しましたが、ユーザーのデータセキュリティは侵害されていません

OpenAIは、検出されたセキュリティ脅威とその対処策について報告しました

OpenAIは、複数のアプリケーションで使用されているサードパーティコンポーネントAxiosに潜在的な脆弱性があることを発見したと発表しました。その結果、同社はmacOS向けソフトウェア認証プロセスを保護するための対策を講じる必要がありました。

- 侵害の証拠がない

現時点でOpenAIは、攻撃者がユーザーデータにアクセスした、システムの機能を妨害した、またはソフトウェアを書き換えたという確認できる証拠を見つけていません。

- 脆弱性の修正方法

同社はセキュリティ証明書を更新し、macOS向けアプリケーションのすべてのユーザーに最新バージョンへの移行を強く推奨しています。これにより、偽造ソフトウェアが拡散するリスクを排除できます。

- インシデントの概要

3月初旬にAxiosライブラリが侵害され、悪意あるバージョンがGitHub Actions を通じたCI/CDプロセスでダウンロード・実行されました。悪意あるバージョンはChatGPT Desktop、Codex、Codex‑cli、およびAtlas アプリケーションの署名に使用された証明書へアクセスしました。分析では、証明書が悪意コードによって盗まれたわけではないことが示されました。

- 古いバージョンの問題

3月8日以前にリリースされたOpenAIのmacOSデスクトップアプリは、以降更新やサポートを受けられなくなります。これにより、プログラムの機能が失われる可能性があります。

- キーの安全性

同社はパスワードとAPIキーが保護されたままであることを強調しました。インシデントの主因はGitHub Actions の誤った設定であり、すでに修正済みです。

したがって、OpenAIは証明書を更新し、macOS向けアプリケーションの最新バージョンへの移行を提案することで脅威対策を完了しました