根據 Beating,OpenAI 的 macOS 簽署憑證將於 5 月 8 日被吊銷,導致過時版本的 ChatGPT Desktop、Codex、Codex CLI 和 Atlas 無法使用,且無法接收更新。使用 Mac 的用戶應立即透過應用程式內更新,或從 OpenAI 的官方網站下載更新。
吊銷原因源自 3 月 31 日針對 Axios 的 npm 供應鏈攻擊;Axios 是一個 JavaScript HTTP 函式庫,每週下載量超過 7,000 萬次。攻擊者使用遭竊的維護者憑證釋出惡意版本,該版本會注入名為 plain-crypto-js 的假依賴,並會自動下載影響 macOS、Windows 和 Linux 的遠端存取木馬(RAT)。微軟將此次攻擊歸因於北韓威脅行為者 Sapphire Sleet。OpenAI 的 GitHub Actions 工作流程在 macOS 應用程式建置期間會自動拉取惡意版本,但該公司未發現憑證遭竊、使用者資料外洩或系統遭入侵的證據。
