OpenAI macOS tətbiqlərində sertifikat problemi: Təhlükəsizlik yeniləmələri nəyi dəyişəcək?

OpenAI macOS tətbiqlərində sertifikat problemi

OpenAI macOS tətbiqlərinin sertifikatlarını ləğv edib və yeniləyib. Bu addım, şirkətin GitHub Actions workflow-da aşkar etdiyi təhlükəsizlik zəifliyinə cavab olaraq atılıb. Köhnə sertifikatla imzalanmış tətbiqlər 8 may 2026-cı ildən sonra macOS tərəfindən bloklanacaq.

Hücum və təhlükəsizlik zəifliyi

Axios kitabxanası, təxminən 100 milyon həftəlik yükləmə ilə geniş istifadə olunur. İki həftə əvvəl bu kitabxana sosial mühəndislik hücumuna məruz qalıb. Hücum, əsas saxlayıcı Jason Saayman-a qarşı yönəlib və Google Threat Intelligence Group tərəfindən Şimali Koreya hədəsi qrupu UNC1069-a aid edilib.

Hücumçular zərərli axios yeniləmələrini npm platformasına yerləşdirərək uzaqdan giriş trojanı (RAT) quraşdırıblar. Bu zərərli yeniləmələr təxminən üç saat aktiv olub. OpenAI-nin GitHub Actions workflow-u isə 31 mart 2026-cı ildə zərərli versiyanı avtomatik yükləyib və işə salıb. Workflow macOS tətbiqlərinin imzalanması üçün sertifikat və digər materiallara çıxış imkanı verirdi.

OpenAI-nin reaksiyası və tədbirlər

OpenAI sertifikatın oğurlandığını düşünmür, lakin onun kompromitasiya olunduğunu qəbul edir. Şirkət Apple ilə sıx əməkdaşlıq edib və üçüncü tərəf forensik və insidentə cavab şirkəti ilə vəziyyəti araşdırıb.

Hücumun əsas səbəbi GitHub Actions workflow-un səhv konfiqurasiyasıdır. Workflow konkret commit hash əvəzinə "floating tag" istifadə edib, həmçinin yeni paketlər üçün minimumReleaseAge təyin etməyib ki, bu da zərərli versiyanın işə düşməsinə şərait yaradıb.

OpenAI istifadəçilərə rəsmi olmayan mənbələrdən tətbiq quraşdırmamağı və yeni sertifikatla imzalanmış versiyalara keçməyi tövsiyə edir. Yeni versiyalar artıq yayımlanıb: ChatGPT Desktop 1.2026.051, Codex App 26.406.40811, Codex CLI 0.119.0 və Atlas 1.2026.84.2.

İnsanlara təsiri və gələcək perspektiv

Bu hadisə proqram təminatı təhlükəsizliyinin nə qədər həssas olduğunu göstərir. Minlərlə layihə Axios kitabxanasından asılıdır və təhlükəsizlik zəifliyi geniş ekosistemə təsir göstərə bilərdi. İstifadəçilər və inkişafçılar üçün bu, rəsmi mənbələrdən istifadə etməyin və proqram yeniləmələrini vaxtında quraşdırmağın vacibliyini bir daha xatırladır.

OpenAI-nin açıqlamasına görə, istifadəçi məlumatları və intellektual mülkiyyət zərər görməyib. Lakin şirkət bu hadisədən dərs çıxararaq təhlükəsizlik tədbirlərini gücləndirir.

Bu vəziyyət texnologiya dünyasında etibarlılıq və təhlükəsizlik məsələlərinin nə qədər önəmli olduğunu bir daha ortaya qoyur. İstifadəçilər üçün ən yaxşı müdafiə yenilənmiş və rəsmi tətbiqləri seçməkdir.