對於有在 Mac 使用 ChatGPT 桌面版、Codex 或 ChatGPT Atlas 瀏覽器的人,記得趕快檢查是不是最新版本。OpenAI 近日發布一篇安全公告,表示他們在內部開發流程中發現一個安全問題,一個被廣泛使用的第三方開發工具遭到供應鏈攻擊,導致 OpenAI 用來替 macOS 應用程式簽章的憑證可能暴露在風險之中。
OpenAI 強調目前沒有證據顯示使用者資料、內部系統或正式發布的軟體受到影響,但作為預防,他們已經全面輪換簽署憑證,並要求所有 macOS 用戶務必更新到最新版本,5 月 8 日之後,舊版本將不再獲得更新與支援。
OpenAI 緊急要求 macOS 用戶更新!第三方開發工具遭北韓駭客入侵,簽署憑證被迫全面輪換
這次事件的源頭,是 Axios 第三方開發工具出了問題。
Axios 是開發者在寫程式時,經常會用到的「網路請求工具」,功能是幫助程式跟伺服器溝通,在 npm 上每週下載量高達數千萬次。
根據 Axios 官方在 GitHub 上發布的事後調查報告,2026 年 3 月 31 日凌晨,攻擊者透過社交工程手法入侵 Axios 首席維護者 jasonsaayman 的個人電腦,即便該帳號已啟用雙重驗證,攻擊者仍然成功竊取了憑證,並在短短一個多小時內,接連發布了兩個含有惡意程式碼的版本:axios@1.14.1 和 axios@0.30.4。
微軟威脅情報團隊將這次攻擊歸因於 Sapphire Sleet,一個與北韓政府有關聯的駭客組織。
不過好在社群反應夠快,大約在凌晨 1 點左右就有人發現異狀,Axios 團隊成員 DigitalBrainJS 立即通報 npm 平台,在凌晨 3 點 29 分前就將所有惡意版本下架,整個曝險約只有 3 個小時。
OpenAI 的 macOS 應用程式的開發流程中,有使用 GitHub Actions(一種自動化工具)來處理程式碼簽署,在 3 月 31 日當天剛好下載並執行被污染的 Axios 1.14.1 版本。
而這個工作流程擁有存取 macOS 應用程式簽署憑證的權限,包括用來向 Apple 申請「公證」的憑證,ChatGPT Desktop、Codex 和 Atlas 等 macOS 應用程式,都是透過這些憑證來通過 Apple 的安全檢查。
用戶們也不用太擔心,OpenAI 表示,簽署憑證被實際提取的可能性很低,但為了安全起見,已撤銷並輪換所有相關憑證,同時也正在與 Apple 合作,封鎖任何使用舊憑證進行公證的嘗試。
憑證輪換僅針對 macOS 應用程式,如果你是 Windows 用戶,OpenAI 的桌面應用程式不受這次事件影響,無需額外採取行動。
如果你不知道自己使用的是不是最新版本,可以參考以下:
- ChatGPT Desktop:1.2026.051
- Codex App:26.406.40811
- Codex CLI:0.119.0
- Atlas:1.2026.84.2
