OpenAI descubrió una vulnerabilidad en un módulo externo de sus productos: la seguridad de los datos de los usuarios no se vio comprometida

OpenAI informa sobre una amenaza de seguridad identificada y las medidas para mitigarla

OpenAI ha anunciado la detección de una posible vulnerabilidad en el componente externo Axios, que se utiliza en varias de sus aplicaciones. Como resultado, la compañía tuvo que tomar medidas para proteger el proceso de certificación de software en macOS.

- Falta de evidencia de compromiso

Hasta ahora OpenAI no ha encontrado confirmaciones de que los atacantes hayan accedido a datos de usuarios, interrumpido el funcionamiento del sistema o alterado el software.

- Cómo se cerró la vulnerabilidad

La empresa actualizó los certificados de seguridad y recomienda encarecidamente a todos los usuarios de aplicaciones para macOS que pasen a las versiones más recientes. Esto ayudará a eliminar el riesgo de propagación de software falsificado.

- Esencia del incidente

A principios de marzo, la biblioteca Axios fue comprometida, y una variante maliciosa se cargó y ejecutó en el proceso CI/CD mediante GitHub Actions. La versión maliciosa obtuvo acceso a los certificados utilizados para firmar las aplicaciones ChatGPT Desktop, Codex, Codex‑cli y Atlas. El análisis mostró que los certificados no fueron robados por el código malicioso.

- Problema de versiones antiguas

Las aplicaciones de escritorio de OpenAI para macOS lanzadas antes del 8 de marzo ya no recibirán actualizaciones ni soporte. Esto puede provocar la pérdida de funcionalidad del software.

- Seguridad de las claves

La compañía enfatizó que las contraseñas y los API‑keys de OpenAI permanecen protegidos. La causa principal del incidente fue una configuración incorrecta de GitHub Actions, que ya se ha corregido.

En resumen, OpenAI ha concluido el trabajo para eliminar la amenaza, actualizando los certificados y sugiriendo a los usuarios que migren a las versiones más recientes de las aplicaciones para macOS.