OpenAI, compania din spatele ChatGPT, a anunțat o problemă de securitate legată de un instrument de dezvoltare terță parte, Axios. Nu există indicii că datele utilizatorilor au fost compromise, dar compania ia măsuri pentru a proteja aplicațiile macOS. Incidentul subliniază importanța actualizărilor de securitate și a vigilenței în fața amenințărilor din mediul digital.
Compromiterea software-ului utilizat
Problema a fost identificată ca rezultat al unui atac asupra lanțului de aprovizionare software, atribuit unor actori legați de Coreea de Nord. Atacul a afectat biblioteca Axios, un instrument software utilizat pe scară largă de dezvoltatori. Compania a declarat că a fost compromisă pe 31 martie. Un flux de lucru GitHub Actions utilizat de OpenAI a descărcat și executat o versiune „malițioasă” a Axios.
Acest flux de lucru avea acces la materiale de certificare și notarizare folosite pentru semnarea aplicațiilor macOS, inclusiv ChatGPT Desktop, Codex, Codex-cli și Atlas. Deși atacul a fost oprit, OpenAI a luat măsuri rapide pentru a minimiza impactul. Analiza incidentului sugerează că certificatul de semnare nu a fost exfiltrat cu succes. Nu se cunosc pentru moment consecințe grave pentru utilizatorii finali.
Recomandări pentru utilizatori și măsuri luate de OpenAI
Pentru a mitiga riscurile, OpenAI le solicită utilizatorilor de macOS să își actualizeze aplicațiile OpenAI la cele mai recente versiuni. Versiunile mai vechi ale aplicațiilor desktop OpenAI pentru macOS nu vor mai primi actualizări sau suport începând cu 8 mai și este posibil să nu mai funcționeze. Parolele și cheile API OpenAI nu au fost afectate de această problemă de securitate.
Incidentul a fost cauzat de o configurare greșită a fluxului de lucru GitHub Actions, care a fost între timp corectată. Compania continuă să monitorizeze situația și să ia măsuri suplimentare pentru a preveni astfel de incidente în viitor.
Implicații mai largi și importanța securității cibernetice
Acest eveniment reamintește importanța securității cibernetice, în special în contextul utilizării pe scară largă a inteligenței artificiale. Companiile de tehnologie trebuie să fie vigilente în fața amenințărilor, deoarece actorii malițioși devin din ce în ce mai sofisticați. În România, autoritățile au început să acorde o atenție sporită securității cibernetice, având în vedere creșterea atacurilor cibernetice la nivel global. Președintele Nicușor Dan a menționat într-o declarație recentă importanța investițiilor în infrastructura digitală și protejarea datelor cetățenilor.
Incidentul de securitate OpenAI evidențiază complexitatea lanțurilor de aprovizionare software și necesitatea de a consolida măsurile de securitate. Compania va continua să implementeze măsuri suplimentare pentru a proteja atât aplicațiile, cât și datele utilizatorilor.
