OpenAI Phản Hồi Sự Cố Chuỗi Cung Ứng: Người Dùng macOS Cần Cập Nhật Ngay

Phản Ứng Của OpenAI Trước Cuộc Tấn Công Chuỗi Cung Ứng

Trong một báo cáo bảo mật chi tiết, OpenAI cho biết một quy trình GitHub Actions được sử dụng để ký ứng dụng macOS đã thực thi phiên bản độc hại của thư viện Axios (v1.14.1) vào ngày 31/03/2026. Đây là một phần của cuộc tấn công supply chain quy mô lớn gây ảnh hưởng đến toàn ngành phần mềm.

• Ứng dụng bị ảnh hưởng: ChatGPT Desktop, Codex, Codex CLI và Atlas.
• Không có dữ liệu bị xâm phạm: Các phân tích cho thấy không có dấu hiệu dữ liệu người dùng hay hệ thống nội bộ bị rò rỉ.
• Xoay vòng chứng chỉ bắt buộc: Để đề phòng rủi ro, OpenAI đã tiến hành thu hồi và thay thế các chứng chỉ ký số (signing certificates).

Sự chuyển dịch sang thế chủ động

Tầm quan trọng của phản ứng này nằm ở quyết định xoay vòng chứng chỉ hoàn toàn trong vòng 30 ngày. Dù các bằng chứng pháp y cho thấy mã khóa ký số có thể chưa bị đánh cắp, việc mặc định coi chứng chỉ đã bị "thỏa hiệp" để thay mới là một bước đi cho thấy sự trưởng thành trong quản trị bảo mật. Việc OpenAI chuyển từ sử dụng floating tags sang commit hashes cụ thể trong quy trình CI/CD là một nỗ lực gia cố "thượng nguồn" chuỗi cung ứng phần mềm. Cách tiếp cận "zero-trust" (không tin cậy tuyệt đối) đối với các thư viện bên thứ ba đang dần trở thành tiêu chuẩn mới cho các tổ chức AI đang nắm giữ các luồng dữ liệu nhạy cảm của người dùng.

Lưu ý quan trọng: Kể từ ngày 08/05/2026, các phiên bản cũ của ChatGPT Desktop và Codex trên macOS sẽ ngừng hoạt động. Người dùng được khuyến cáo chỉ cập nhật qua ứng dụng hoặc trang chủ chính thức của OpenAI.

Nguồn: OpenAI Incident Response