OpenAI 表示，TanStack npm 供應鏈攻擊導致員工設備受損，但並未造成用戶數據泄露。

OpenAI 承認，兩名員工的設備因惡意版本的 TanStack npm 包而受到入侵。.

該公司堅稱，沒有發現任何證據表明用戶數據、生產系統或知識產權遭到篡改。.

OpenAI是否遭到黑客攻擊？

OpenAI 已 證實 ，惡意行爲者入侵了其兩名員工的設備，這是名爲“Mini Shai-Hulud”的大規模軟件供應鏈攻擊活動的一部分。

OpenAI 此前在 Axiosdent 後部署了控制措施來限制供應鏈攻擊風險，但兩名受影響員工的設備尚未收到更新的配置，而這些配置本可以阻止惡意軟件包的下載。.

此次攻擊的目標是 TanStack，這是一個被數百萬開發者使用的開源庫。攻擊者在 42 個 npm 包中發佈了 84 個惡意版本，其中包括廣受歡迎的 @tanstack/react-router，該包每週下載量超過 1200 萬次。

StepSecurity 的一名外部研究人員在發佈後大約 20 分鐘內檢測到了惡意軟件包，並直接通知了 npm 安全團隊。.

此次攻擊利用了用戶對自動化構建系統的信任。惡意代碼使用 TanStack 自身的合法發佈密鑰發佈，使其看起來像是官方更新。.

Mini Shai-Hulud 是一種可自我複製的惡意軟件，一旦開發者或 CI/CD 系統安裝了它，它就會竊取 GitHub 令牌、雲密鑰和 SSH 密鑰等dent。然後，該惡意軟件會嘗試重新發布到受害者維護的其他軟件包中。.

安全研究人員報告稱，此次攻擊活動已導致 npm 和 PyPI 生態系統中的多個軟件包遭到入侵。除了 OpenAI 和 TanStack 之外，此次攻擊還影響了 Mistral AI、UiPath (NYSE: PATH)、OpenSearch 和 Guardrails AI 的代碼。

研究人員指出，該惡意軟件會安裝一個持久守護進程，充當“死亡開關”。如果受害者撤銷了被盜的 GitHub 令牌，該惡意軟件可以觸發命令來清除用戶的主目錄。.

OpenAI的用戶數據是否遭到泄露？ 

攻擊發生後，OpenAI聘請了一家第三方取證公司協助調查。該公司表示，調查未發現任何證據表明其用戶數據遭到訪問，其生產系統、知識產權或軟件也未受到損害。.

然而，攻擊者仍然設法從這些設備有權訪問的內部代碼庫中trac了一些dent材料，其中包括 macOS 應用程序的代碼簽名證書。.

現在，Mac 用戶必須在 2026 年 6 月 12 日之前將 ChatGPT Desktop、Codex 和 Atlas 應用程序更新到最新版本，否則該軟件將被 macOS 安全保護措施阻止。.

OpenAI 表示，他們沒有發現任何使用其證書籤名的惡意軟件的證據，也沒有發現對已發佈應用程序的未經授權的修改。

該公司指出，使用舊證書進行的新公證已被阻止，這意味着任何試圖使用這些證書的欺詐性應用程序都將缺乏蘋果公司的公證，並且默認情況下會被 macOS 安全保護措施阻止。.

不要只是閱讀加密貨幣新聞，要理解它。訂閱我們的新聞簡報， 完全免費。