OpenAI:Axios 开发工具遭攻陷——已轮换代码签名证书,用户数据安全

发生了什么

OpenAI 于 4 月 10 日发布了关于影响开发工具 Axios 的供应链事件的官方博文。尽管该公司没有公布攻击本身的技术细节,但该帖子确认 Axios 是 OpenAI 内部开发工具链中的一个组件,并且发现的活动需要认真的安全响应。

OpenAI 的响应

团队采取的主要步骤:

• 轮换 macOS 代码签名证书 — 事件期间所有可能暴露的证书都已替换为新的
• 取证分析 — 确定影响范围
• 确认用户数据完整性 — OpenAI 明确表示,没有任何用户数据遭到泄露或受到影响

该公司还宣布将更新内部流程,以减少第三方开发工具未来面临类似攻击的风险。

为什么这对 AI 生态系统很重要

针对开发工具的供应链攻击并不新鲜——SolarWinds 和 SushiSwap 攻陷等事件显示了它们的破坏力。新的是,AI 实验室越来越多地成为高价值目标,因为它们:

• 拥有攻击者想要获取的加密模型和训练数据
• 拥有代码签名基础设施,使得”合法”恶意二进制文件的分发成为可能
• 运营着拥有数十亿用户信任的大规模云环境

OpenAI 的快速和透明响应设立了其他公司应该效仿的标准。这次事件也证实了基本的安全卫生(密钥轮换、取证、公开事后分析)在面向 AI 的组织时代仍然至关重要。