OpenAI تعلن عن ثغرة في Axios وتطمئن المستخدمين
تفاصيل الثغرة الأمنية واستجابة OpenAI لتأمين التطبيقات
أعلنت شركة OpenAI عن اكتشاف ثغرة أمنية مرتبطة بأداة تطوير خارجية تُعرف باسم Axios، مؤكدة أن الحادث لم يسفر عن أي اختراق لبيانات المستخدمين أو أنظمتها الداخلية، وأن التحقيقات الأولية لم تكشف عن أي أضرار مباشرة.
تفاصيل الحادثة الأمنية
وأوضحت الشركة أن الثغرة ظهرت ضمن ما يُعرف بهجمات سلسلة التوريد البرمجية، حيث تم استهداف مكتبة Axios المستخدمة على نطاق واسع في بيئات التطوير، وذلك في 31 مارس الماضي.
وبحسب بيان OpenAI، فإن الهجوم يُعتقد أنه جزء من نشاط أوسع نُسب إلى جهات مرتبطة بـكوريا الشمالية، واستهدف بيئات عمل تعتمد على أدوات الأتمتة البرمجية مثل GitHub Actions.
كيف وقع الاختراق التقني؟
تشير التفاصيل التقنية إلى أن نظام GitHub Actions المستخدم داخليًا قام بتحميل نسخة خبيثة من مكتبة Axios، وهو ما أتاح وصولًا غير مباشر إلى بيئة تحتوي على شهادات توقيع رقمية خاصة بتطبيقات macOS التابعة للشركة.
وتُستخدم هذه الشهادات للتحقق من أن تطبيقات OpenAI الرسمية — مثل ChatGPT Desktop وأدوات Codex — صادرة بشكل موثوق وغير معدلة.
هل تأثرت بيانات المستخدمين؟
أكدت الشركة بشكل واضح أنه لا يوجد أي دليل على وصول إلى بيانات المستخدمين، ولم يتم اختراق الأنظمة أو البنية التحتية الداخلية، كما لم تتعرض كلمات المرور أو مفاتيح API لأي تسريب.
كما شددت على أن نتائج التحقيق لم تُظهر نجاح عملية سرقة شهادات التوقيع الخاصة بالتطبيقات.
في إطار التعامل مع الحادث، أعلنت OpenAI اتخاذ عدة خطوات أمنية، أبرزها تحديث آليات التحقق والتوقيع لتطبيقات macOS، وإلزام المستخدمين بتحديث التطبيقات إلى أحدث إصدار، وإيقاف دعم الإصدارات القديمة بدءًا من 8 مايو، مع احتمال توقفها عن العمل لاحقًا.
كما أكدت الشركة أنها عالجت الخلل في إعدادات GitHub Actions الذي تسبب في الحادثة.
حذّرت OpenAI من احتمالية استغلال الحادثة في توزيع نسخ مزيفة من التطبيقات، داعية المستخدمين إلى الاعتماد فقط على الإصدارات الرسمية والمحدثة لضمان الأمان.