أعلنت شركة OpenAI أنها اكتشفت ثغرة أمنية مرتبطة بأداة تطوير خارجية تدعى “Axios”، مؤكدة أنها اتخذت إجراءات فورية لتعزيز حماية عملية التحقق من تطبيقاتها على نظام التشغيل macOS، وضمان استمرار اعتمادها كتطبيقات أصلية وموثوقة.
وقالت الشركة، المطوّرة لروبوت الدردشة الشهير ChatGPT، إنها لم ترصد أي دليل يشير إلى وصول غير مصرح به إلى بيانات المستخدمين. أو اختراق لأنظمتها الداخلية، أو التلاعب ببرمجياتها أو ملكيتها الفكرية.
تحديثات أمنية وإجراءات وقائية
كما أضافت OpenAI أنها تعمل على تحديث شهادات الأمان الخاصة بها. مع توجيه مستخدمي نظام macOS إلى ضرورة تحديث تطبيقات الشركة إلى أحدث الإصدارات، بهدف الحد من أي مخاطر محتملة تتعلق بمحاولات توزيع نسخ مزيفة من تطبيقاتها.
كما أوضحت الشركة، وفق ما نقلته وكالة “رويترز”، أن الثغرة مرتبطة بمكتبة تطوير خارجية واسعة الاستخدام تدعى “Axios”. والتي تم اختراقها في 31 مارس ضمن هجوم أوسع على سلسلة توريد البرمجيات، يعتقد أن جهات مرتبطة بكوريا الشمالية تقف وراءه.
كيف وقع الهجوم؟
بحسب التفاصيل التقنية، أدى الاختراق إلى استغلال أداة سير العمل “GitHub Actions”، المستخدمة داخل أنظمة OpenAI. حيث تم تحميل وتشغيل نسخة خبيثة من مكتبة “Axios”.
وكان من الممكن أن يتيح هذا المسار الوصول إلى شهادة التوقيع ومواد التوثيق المستخدمة في اعتماد تطبيقات الشركة على نظام macOS. بما يشمل تطبيقات مثل ChatGPT Desktop وCodex وCodex-cli وAtlas.
لا تسريب لبيانات المستخدمين
رغم خطورة الثغرة، أكدت OpenAI أن تحليلها للحادث أظهر أن شهادة التوقيع لم يتم استخراجها فعليًا من النظام. مرجحةً أن الهجوم لم ينجح في الوصول إلى المكونات الحساسة.
كما شددت الشركة على أن كلمات المرور ومفاتيح واجهة برمجة التطبيقات (API) الخاصة بها لم تتأثر بالحادث الأمني.
تحديثات إلزامية وإيقاف دعم الإصدارات القديمة
وأعلنت الشركة أنه اعتبارًا من 8 مايو، لن تتلقى الإصدارات القديمة من تطبيقات سطح المكتب لنظام macOS أي تحديثات أو دعم فني. ما قد يؤدي إلى توقفها عن العمل بشكل صحيح.
خلل في الإعدادات وراء الحادث
في حين اختتمت الشركة بيانها بالإشارة إلى أن السبب الجذري للحادث. يعود إلى خطأ في تهيئة سير عمل “GitHub Actions”. مؤكدة أنه تم التعامل معه ومعالجته، ضمن إجراءات تهدف إلى تعزيز أمن سلسلة التوريد البرمجية. ومنع تكرار مثل هذه الثغرات مستقبلًا.