如果你在 Mac 上使用 ChatGPT 或 Codex，OpenAI 建议你尽快更新到最新版本。

2026年4月11日，OpenAI 发布安全公告，披露其 macOS 应用签名流程曾受到第三方开发工具供应链攻击的影响。虽然官方表示"无证据表明用户数据被访问"，但出于谨慎考虑，已更换安全证书，旧版本应用将于2026年5月8日失效。

发生了什么？

问题的根源是一个名为 Axios 的第三方开发工具。

Axios 是一个广泛使用的 npm 包，用于 HTTP 请求。2026年3月31日，该包的某个版本（v1.14.1）被植入了恶意代码——这是朝鲜黑客组织发起的更大规模供应链攻击的一部分。

OpenAI 在 macOS 应用签名流程中使用了这个工具。公告指出，受影响的 GitHub Actions 工作流曾下载并执行了恶意版本的 Axios。该工作流可以访问用于签名 macOS 应用的证书和公证材料，涉及的应用包括：

• ChatGPT Desktop
• Codex
• Codex-cli
• Atlas

用户数据是否泄露？

OpenAI 的官方结论是：没有证据表明用户数据被访问。

公告中列出了三点：

1. 无证据表明 OpenAI 用户数据被访问
2. 无证据表明系统或知识产权被泄露
3. 无证据表明软件被篡改

OpenAI 的分析认为，由于恶意载荷执行的时间点、证书注入时机、任务排序等因素，签名证书"很可能没有被成功窃取"。但出于谨慎，他们仍将证书视为"已泄露"，并已撤销和更换。

用户需要做什么？

立即更新应用。

你可以通过两种方式更新：

1. 应用内更新：打开 ChatGPT 或 Codex，按提示更新
2. 官方链接：从 OpenAI 官网下载最新版本

时间窗口：2026年5月8日后，旧版本的 macOS 应用将无法正常使用。OpenAI 正在更换安全证书，旧证书将被撤销。

为什么这件事值得关注？

这是一次典型的"软件供应链攻击"——黑客不直接攻击目标公司，而是攻击其依赖的第三方工具。

Axios 是 npm 生态中最流行的包之一，每周下载量超过千万。攻击者通过污染这个广泛使用的依赖，可以同时影响大量下游项目。Google 威胁情报团队已公开分析了此次攻击的技术细节。

对于普通用户来说，这类攻击的警示在于：即使你信任某个软件（比如 ChatGPT），它的安全性也取决于其依赖链条中最薄弱的环节。

总结

如果你在 Mac 上使用 OpenAI 的应用，现在就去更新。这不是"建议更新"，而是"必须更新"——5月8日后旧版本将失效。

好消息是，目前没有证据表明用户数据泄露。但供应链攻击的隐蔽性意味着，谨慎起见，及时更新是最稳妥的选择。

---

来源：

• OpenAI 官方公告：https://openai.com/index/axios-developer-tool-compromise/
• Google 威胁情报分析：https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package

参考来源

• https://openai.com/index/axios-developer-tool-compromise/
• https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package

说明：该页面由基础模板稳定生成，后续可继续局部润色样式或补充模块，再进入发布检查。