OpenAI遭供應鏈攻擊洩漏簽名證書，macOS客戶端將於下月強制更新

Odaily星球日報訊 OpenAI 證實，其內部環境遭針對 TanStack 惡意 NPM 套件的供應鏈攻擊，兩名員工設備受到感染。雖然用戶資料及核心程式碼未受影響，但攻擊者竊取了部分內部程式碼倉庫存取憑證，其中包括用於 iOS、macOS 及 Windows 產品的程式碼簽名證書。

為防止駭客利用被盜證書發布偽造應用程式，OpenAI 已啟動防禦性證書輪換，並宣布所有使用 ChatGPT 桌面端、Codex 及 Atlas 瀏覽器的 macOS 用戶，必須於 2026 年 6 月 12 日前升級至最新版本。屆時舊版證書將被撤銷，舊版應用程式啟動及新安裝行為將被系統攔截。

OpenAI 表示，公司此前已部署更嚴格的程式碼套件攔截策略，但受感染設備尚未同步最新配置，導致惡意組件成功入侵。目前，iOS 與 Windows 客戶端未受影響，用戶帳戶密碼及 API 金鑰等核心資料也已確認安全。