OpenAI遭供应链攻击泄露签名证书，macOS客户端将于下月强制更新

Odaily星球日报讯 OpenAI 证实，其内部环境遭针对 TanStack 恶意 NPM 包的供应链攻击，两名员工设备受到感染。虽然用户数据及核心代码未受影响，但攻击者窃取了部分内部代码仓库访问凭证，其中包括用于 iOS、macOS 及 Windows 产品的代码签名证书。

为防止黑客利用被盗证书发布伪造应用，OpenAI 已启动防御性证书轮换，并宣布所有使用 ChatGPT 桌面端、Codex 及 Atlas 浏览器的 macOS 用户，必须于 2026 年 6 月 12 日前升级至最新版本。届时旧版证书将被吊销，旧版应用启动及新安装行为将被系统拦截。

OpenAI 表示，公司此前已部署更严格的代码包拦截策略，但受感染设备尚未同步最新配置，导致恶意组件成功入侵。目前，iOS 与 Windows 客户端未受影响，用户账户密码及 API 密钥等核心数据也已确认安全。