#安全资讯 OpenAI 受 TanStack 供应链攻击影响，两名员工设备被感染并泄露部分数据，OpenAI 决定再次轮换代码签名证书。ChatGPT、Codex、Atlas 浏览器的 macOS 版用户都需要下载新版本，旧版本代码签名证书将被吊销，到时候用户将无法在 macOS 上安装。查看详情：https://ourl.co/112975

近期黑客针对 NPM 生态系统发起多次供应链攻击，而 OpenAI 已经连续两次成为供应链攻击的受害者，据该公司发布的安全公告，其员工受到 TanStack 供应链攻击事件影响，黑客可能已经窃取 OpenAI 的代码签名证书。

基于安全考虑 OpenAI 宣布将轮换代码签名证书，防止黑客通过窃取的代码签名证书发布携带后门的 ChatGPT 或其他应用程序，对用户而言需要做的事情就是立即将 ChatGPT、Codex、Atlas 浏览器等升级到最新版。

用户数据不受影响但内部信息被窃取：

针对 TanStack 供应链攻击事件，OpenAI 进行调查后确认两名员工设备受到影响，也就是安装被黑客投毒的 NPM 包，恶意活动被发现后 OpenAI 迅速展开调查并采取措施保护系统。

这两名被感染的员工有权访问 OpenAI 内部部分源代码库，OpenAI 确认只有少量凭证信息被黑客从源代码库中窃取，其他信息或代码未受影响，所有用户的数据也都是安全的，没有出现任何泄露。

受影响的数据包括 iOS、macOS 和 Windows 的代码签名证书，作为预防措施，OpenAI 决定再次轮换代码签名证书，这需要 macOS 用户更新客户端程序，Windows 和 iOS 用户不需要执行任何操作。

根据安排，OpenAI 将在 2026 年 6 月 12 日完全撤销这些被窃取的代码签名证书，到时候 macOS 的安全保护系统将阻止使用被吊销的代码签名证书发布的 OpenAI for macOS 系列软件。

受影响的版本：

• 将被拦截的版本：ChatGPT 桌面版 1.2026.125 及更旧的版本
• 将被拦截的版本：Codex 桌面版 26.506.31421 及更旧的版本
• 将被拦截的版本：Codex CLI 版 0.130.0 及更旧的版本
• 将被拦截的版本：Atlas 浏览器 1.2026.119.1 及更旧的版本

via OpenAI