كشفت شركة OpenAI عن رصد مشكلة أمنية مرتبطة بأداة تطوير خارجية تعرف باسم Axios، مؤكدة في الوقت نفسه أن التحقيقات لم تُظهر أي دليل على تعرض بيانات المستخدمين للاختراق أو المساس بأنظمتها أو ملكيتها الفكرية، كما لم يتم التلاعب ببرمجياتها.
وأوضحت الشركة أن هذه الواقعة دفعتها إلى اتخاذ خطوات احترازية لتعزيز آليات التحقق من تطبيقاتها على نظام macOS، خاصة تلك المرتبطة بإثبات أن التطبيقات رسمية وصادرة عنها.
وفي هذا السياق، دعت OpenAI جميع المستخدمين إلى تحديث تطبيقاتها إلى أحدث الإصدارات، كإجراء وقائي لمنع أي محاولات محتملة لتوزيع نسخ مزيفة.
وترجع جذور الحادثة إلى تعرض مكتبة Axios، وهي أداة برمجية واسعة الاستخدام بين المطورين، للاختراق في 31 مارس، وذلك ضمن هجوم أوسع على سلسلة إمداد البرمجيات، يعتقد أن جهات مرتبطة بكوريا الشمالية تقف وراءه، وقد أدى هذا الهجوم إلى استغلال أحد مسارات العمل GitHub Actions المستخدمة من قبل OpenAI، حيث تم تحميل وتنفيذ نسخة خبيثة من المكتبة.
ووفقًا لتفاصيل الشركة، كان هذا المسار يمتلك صلاحية الوصول إلى شهادات ومواد التوثيق الخاصة بتوقيع تطبيقات macOS، بما في ذلك تطبيقات مثل ChatGPT Desktop وCodex وCodex-cli وAtlas، ورغم حساسية هذه البيانات، أشارت OpenAI إلى أن تحليلها أظهر أن الشهادة المستخدمة في التوقيع لم يتم تسريبها بنجاح من خلال البرمجية الخبيثة.
وفي إطار الإجراءات التصحيحية، أعلنت الشركة أنه اعتبارًا من 8 مايو، لن تتلقى الإصدارات القديمة من تطبيقاتها على macOS أي تحديثات أو دعم، وقد تتوقف عن العمل، في خطوة تهدف إلى تقليل أي مخاطر محتملة مرتبطة بالإصدارات السابقة.
كما أكدت OpenAI أن كلمات المرور ومفاتيح واجهة البرمجة API keys الخاصة بالمستخدمين لم تتأثر بهذه الحادثة، وأرجعت السبب الرئيسي للمشكلة إلى خلل في إعدادات أحد مسارات العمل داخل GitHub Actions، مشيرة إلى أنه تم التعامل مع هذا الخلل ومعالجته بشكل كامل.
وتعكس هذه الواقعة التحديات المتزايدة المرتبطة بأمن سلاسل إمداد البرمجيات، خاصة مع الاعتماد المتزايد على أدوات ومكتبات خارجية، وهو ما يدفع الشركات التقنية إلى تشديد إجراءات الحماية بشكل مستمر للحفاظ على سلامة أنظمتها وثقة المستخدمين.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك