OpenAI 回應 TanStack npm 供應鏈攻擊事件

OpenAI 已詳細說明其對 TanStack「Mini Shai-Hulud」供應鏈攻擊的回應，概述了為保護其系統和簽署憑證所採取的防護措施。該公司也解釋了為何 macOS 使用者必須在 2026 年 6 月 12 日前更新其 OpenAI 應用程式，作為安全回應的一部分。 TanStack 攻擊事件針對的是 npm 生態系統，影響了眾多套件，並可能危及軟體供應鏈。與許多其他組織一樣，OpenAI 必須評估其暴露風險，並採取糾正措施以確保其軟體分發的完整性。 在一份詳細的事後分析報告中，OpenAI 解釋了攻擊期間發生的事情、哪些系統受到影響，以及為加強防禦以應對未來供應鏈攻擊所採取的步驟。該公司強調了 AI 生態系統中安全的重要性，因為受損的軟體可能會產生深遠的影響。 OpenAI 採取的關鍵行動包括輪換簽署憑證、審計內部系統以尋找受損跡象，以及對軟體依賴項實施額外的驗證步驟。該公司還與更廣泛的安全社群合作，分享有關此次攻擊的資訊並協調回應。 macOS 使用者在 2026 年 6 月 12 日前更新 OpenAI 應用程式的最後期限與憑證輪換有關。在那之後，舊版本的應用程式將不再被視為安全，因為它們所依賴的簽署憑證將已被撤銷。未能更新的使用者可能會遇到應用程式功能問題或安全警告。 OpenAI 對此次事件的透明回應反映了該公司對安全最佳實務的承諾，以及其認識到供應鏈攻擊在軟體行業中日益常見的威脅。此事件提醒我們，即使是安全措施完善的組織也必須對針對軟體供應鏈的攻擊保持警惕。 對於開發者和使用者而言，此事件凸顯了保持軟體更新的重要性。