OpenAI 確認供應鏈攻擊影響兩名員工裝置 未發現用户數據洩露

近日,黑客針對多個開源項目發動供應鏈攻擊,劫持數十家公司使用的軟件並推送惡意更新,這是近期針對軟件開發者及其項目的連串攻擊之一。本週三,OpenAI 確認兩名員工的裝置受此攻擊影響。公司在其官方博客發文表示,經調查後未發現用户數據被存取、生產系統或知識產權遭洩露,亦無軟件被篡改的證據。攻擊源於 TanStack 這個廣受開發者歡迎的開源庫,該庫用於構建網頁應用。TanStack 於上週一披露事件,並發布事後分析,指出黑客在短短 6 分鐘內發布了 84 個惡意版本。一名研究員在 20 分鐘內偵測到攻擊,惡意軟件旨在竊取安裝該軟件的電腦憑證,並自我傳播至其他系統。OpenAI 表示,僅在兩名受影響員工可存取的有限內部源代碼倉庫中,觀察到未經授權存取及憑證竊取活動,僅少量憑證資料被成功竊取。鑑於受影響倉庫包含用於簽署 OpenAI 產品的數位憑證,公司決定輪換憑證作為預防措施。

受此事件波及,Mac 用户的 ChatGPT 桌面應用程式將於 6 月 12 日前強制更新。OpenAI 強調,iOS 或 Windows 版本應用程式無需即時行動,用户只需在提示時更新即可。公司聘請第三方數位鑑識及事件應變公司調查,確認攻擊與 TanStack 於 2026 年 5 月 11 日 UTC 遭受的「Mini Shai-Hulud」供應鏈攻擊一致。目前尚不清楚 TanStack 攻擊的幕後黑手,過去類似事件曾被歸咎於 TeamPCP 黑客團體,或其他採用相同戰術的組織。例如,今年 3 月,北韓黑客劫持 Axios 開源開發工具,推送可能感染數百萬開發者的惡意軟件;5 月,中國黑客則被指針對運行 Daemon Tools 磁碟映像軟件的數千台 Windows 電腦發動類似攻擊。這些攻擊不針對特定企業,而是透過劫持開源項目偽裝成常規更新推送惡意軟件,一次攻擊即可潛在危害數十目標,擴大網際網路損害範圍。OpenAI 目前無證據顯示現有軟件安裝存在風險,但 Mac 用户將收到額外指引以完成更新。

供應鏈攻擊威脅持續升温

供應鏈攻擊已成為軟件產業重大隱憂,黑客透過開源項目放大影響力,避免直接針對企業。TanStack 事件中,6 分鐘內發布 84 個惡意版本,突顯偵測及回應速度的重要性。OpenAI 的快速隔離及第三方調查,確保僅少量憑證外洩,避免更大損失。公司輪換數位憑證雖影響 Mac 應用更新,但保障產品簽署安全。歷史案例顯示,此類攻擊多由國家支持黑客或犯罪團體執行,如北韓及中國相關事件,凸顯全球開發者需加強開源依賴審核。TechCrunch 記者 Lorenzo Franceschi-Bicchierai 呼籲,若有更多供應鏈攻擊資訊,可透過 Signal(+1 917 257 1382)、Telegram 或 Keybase(@lorenzofb)匿名聯繫。此事件提醒企業及用户,開源軟件便利背後隱藏風險,未來或需更嚴格的供應鏈安全標準。

想睇更深入嘅 AI 模型與工程科技報道?
前往 The Base Principle 繁體中文 AI 新聞 →
Henderson
Henderson

Henderson 是 TechRitual Hong Kong 科技編輯,專注報導智能手機、消費電子產品、SIM 卡及流動通訊市場。自加入 TechRitual 以來,累計撰寫數千篇科技報導及產品評測,內容同步發佈至 SINA 及 Yahoo Tech 等主要平台。

友情網站:日本語版 / TechNipponThe Base Principle(AI・工程)