OpenAI ha scoperto una vulnerabilità del modulo esterno nei suoi prodotti: la sicurezza dei dati degli utenti non è stata compromessa

OpenAI comunica una minaccia di sicurezza identificata e le misure adottate per mitigarla

OpenAI ha annunciato la scoperta di una potenziale vulnerabilità nel componente esterno Axios, utilizzato in diverse sue applicazioni. Di conseguenza l’azienda è stata costretta a prendere provvedimenti per proteggere il processo di certificazione dei software su macOS.

- Mancanza di prove di compromissione

Al momento OpenAI non ha trovato conferme che gli aggressori abbiano avuto accesso ai dati degli utenti, interferito con i sistemi o modificato il software.

- Come è stata chiusa la vulnerabilità

L’azienda ha aggiornato i certificati di sicurezza e raccomanda vivamente a tutti gli utenti delle applicazioni macOS di passare alle ultime versioni. Ciò contribuirà a escludere il rischio di diffusione di software contraffatto.

- Natura dell’incidente

All’inizio di marzo la libreria Axios è stata compromessa, e una variante malevola è stata caricata ed eseguita nel processo CI/CD tramite GitHub Actions. La versione dannosa ha ottenuto accesso ai certificati usati per firmare le applicazioni ChatGPT Desktop, Codex, Codex‑cli e Atlas. L’analisi ha mostrato che i certificati non sono stati rubati tramite codice malevolo.

- Problema delle versioni obsolete

Le applicazioni desktop di OpenAI per macOS rilasciate prima dell’8 marzo non riceveranno più aggiornamenti né supporto. Ciò potrebbe comportare la perdita della funzionalità dei programmi.

- Sicurezza delle chiavi

L’azienda ha sottolineato che le password e le chiavi API di OpenAI sono rimaste protette. La causa principale dell’incidente è stata una configurazione errata di GitHub Actions, già corretta.

In sintesi, OpenAI ha concluso il lavoro per eliminare la minaccia, aggiornando i certificati e invitando gli utenti a passare alle versioni più recenti delle applicazioni macOS.