北京
2026年3月31日,OpenAI的代码流水线里混进了一个"内鬼"。
这个内鬼叫Axios——不是那个做新闻的Axios,是程序员天天用的HTTP请求库。有人往npm仓库的两个版本里塞了远程控制代码,而OpenAI的Mac应用签名流程恰好下载了其中一个。整个过程像极了外卖骑手从被污染的中央厨房取餐,再打包送到用户桌上:流程看起来没问题,但食材早就坏了。
OpenAI的排查结论是,目前没有证据表明黑客访问了用户数据或篡改了软件。但证书这玩意儿,一旦沾过恶意代码,就像被借出去复印过的身份证——你不确定对方有没有多印几份。OpenAI选择直接注销旧证书,和苹果联手阻断旧版应用的流通。
需要更新的应用共4款:ChatGPT、Codex、Atlas、Codex CLI。macOS的安全机制会在5月8日生效,届时旧证书签名的应用将无法下载和启动。换句话说,这不是建议更新,是强制断网前的最后窗口期。
证书轮换在软件行业不算新鲜事,但普通用户很少感知到。这次OpenAI把时间表和下载链接一并甩出来,算是少见的透明。一位开发者在相关讨论里吐槽:"以前只听说要更新,第一次听说'不更新就锁死'。"这种把安全机制摊到台面上的做法,反而让人看清了现代软件供应链的脆弱——你的应用安不安全,有时候取决于某个你从未听说过的第三方库。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
