来源:互联网 更新时间:2026-07-06 15:53
2026年4月,OpenAI发布的一则安全声明,将一起供应链安全事件推至台前。声明确认,由于广泛使用的第三方开发库Axios遭遇供应链攻击,其旗下产品受到波及。事件的源头,是Axios在npm包管理平台的开发者账户被黑客劫持。攻击者不仅植入了恶意程序,还篡改了账户的注册邮箱,以图彻底掌控。OpenAI在声明中强调,目前未发现用户数据泄露或系统入侵等问题,并已紧急更新了macOS端应用的安全认证,同时敦促用户尽快升级至最新版本。
对于全球AI开发者而言,Axios这个名字几乎等同于网络请求的基础设施。这个开源的第三方HTTP请求库,被数百万开发项目所引用,其中自然也包括OpenAI的多款产品。上周爆发的这起账户劫持事件,让这个久经考验的老牌工具,瞬间成为了安全风波的焦点。
复盘这次攻击,其操作路径堪称供应链攻击的“教科书式”案例。黑客在获取Axios npm账户的访问权限后,第一步并非直接发布恶意代码,而是迅速篡改了账户绑定的注册邮箱。这一招切断了原开发者的找回路径,为后续行动扫清了障碍。随后,恶意程序被植入到官方发布的库代码中,其最终目标直指受害者设备的控制权。
这种模式,在安全行业被称为
事件发酵后,OpenAI第一时间发布了安全声明,确认自身产品受到波及。根据声明内容,其安全团队已经完成了全链路的排查,并且
但值得称道的是,即便在没有发生实际安全损失的情况下,OpenAI依然采取了一系列主动措施。公司快速完成了macOS端官方应用的安全认证更新,移除了受污染的依赖项。同时,明确敦促所有使用其macOS应用的用户,尽快通过应用内升级提示或官方渠道更新至最新版本。对于普通用户来说,整个升级过程设计得相当简便。
近年来,AI行业的发展可谓一日千里。但与之相伴的是,几乎所有AI公司的开发流程,都高度依赖开源生态的第三方工具。这种高效协作的模式,在另一方面也让供应链攻击成为了AI领域安全风险的重灾区。相较于直接攻击防守严密的企业服务器,向那些被广泛信赖的开源库“投毒”,攻击门槛更低,隐蔽性更强,而一旦得手,影响范围将呈指数级扩散。
本次事件中,OpenAI的处置方式为行业提供了一个参考范本:安全响应,贵在主动。即便损害尚未发生,提前进行彻底排查、主动向用户发出通知并推动升级,这本身就是对用户数据安全负责任的表现。话说回来,对于广大普通用户而言,防范这类隐蔽的供应链风险,最直接也最有效的手段其实很简单:及时安装官方推送的应用更新。这看似微小的习惯,往往是构筑安全防线的第一块基石。