ChatGPT/Codex等多款软件受Axios供应链攻击影响 用户需立即升级

此前知名开源软件库 @Axios 遭到黑客攻击，黑客劫持开发者账号并发布恶意版本，这件事还是发生在 3 月末，但没想到这时候 OpenAI 跳出来说 ChatGPT、Codex、Codex-CLI、Atlas 浏览器等软件也同样受到影响。

目前没有证据表明用户数据可能被窃取，但 OpenAI 的开发者证书可能会被黑客窃取，所以现在 OpenAI 吊销旧开发者证书，全部替换为新证书，因此用户需要下载更新到各个软件最新版。

在供应链攻击发生时，OpenAI 在 macOS 应用签名流程中使用 GitHub Actions 工作流中下载并执行 @Axios 恶意版本（1.14.1 版），这使得攻击者可以访问 OpenAI 的应用签名证书和公证材料。

经过分析后 OpenAI 得出结论：由于恶意载荷的执行时间、证书注入工作流的方式、工作流本身的执行顺序以及其他因素，签名证书可能未被窃取。

但基于安全考虑，OpenAI 仍然将证书视为已经泄露，所以要吊销所有旧版应用签名证书，同时申请新证书并对所有应用程序签名进行替换。

OpenAI 称，如果攻击者成功窃取签名证书，则可以用来分发看起来像是真实的、但可能包含恶意代码的后门版本。

作为过渡，OpenAI 将在 2026 年 5 月 8 日吊销旧签名证书，到时候 macOS 平台的 OpenAI 软件都将无法正常启动，所以建议用户立即升级到最新版。

下面是升级后的版本：

• ChatGPT 桌面版：1.2026.051

• Codex App：26.406.40811

• Codex CLI：0.119.0

• Atlas：1.2026.84.2

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/