OpenAI应对Axios供应链攻击：更新安全证书保护ChatGPT macOS应用

一场针对开源软件供应链的黑客攻击波及OpenAI。近日，广泛使用的开发者库Axios遭到黑客入侵，攻击者通过篡改其GitHub Actions工作流，植入恶意代码，导致OpenAI的macOS应用签名证书面临泄露风险。OpenAI已迅速响应，发布安全更新并更换相关证书。

据OpenAI官方博客披露，此次攻击发生于2026年3月31日（UTC时间）。黑客获取了Axios库维护者账户的控制权后，将恶意版本（1.14.1）注入到OpenAI用于macOS应用签名的CI/CD流程中。受影响的应用包括ChatGPT Desktop、Codex、Codex-cli和Atlas等。

被泄露的证书主要用于向用户证明软件来自OpenAI官方，而非用于加密用户数据。OpenAI表示，目前没有证据显示用户数据遭到实际泄露，但作为预防措施，公司已撤销旧证书并向所有受影响应用推送了包含新证书的更新版本。

此次事件再次将软件供应链安全问题推向聚光灯下。近年来，针对开源库的供应链攻击呈现明显上升趋势，从npm包投毒到PyPI恶意包，攻击者越来越倾向于通过污染广泛使用的基础库来实现大规模渗透。

安全专家建议，AI公司在构建CI/CD流程时应对第三方依赖实施严格的版本锁定和哈希校验机制，同时建立快速响应的证书轮换流程。OpenAI此次的快速处置为行业提供了应对供应链攻击的参考范本。