美国时间5月11日,开源项目TanStack遭遇供应链攻击,攻击者在六分钟内发布了84个恶意npm包版本,研究人员在20分钟内及时发现该异常 [1]。
OpenAI于5月13日确认,该攻击影响了旗下两名员工的设备,并随即展开内部调查 [2, 1]。5月14日,OpenAI公布调查结果称,未发现任何用户数据被访问的证据,生产系统、知识产权或软件均未被破坏。公司强调,“我们未发现对现有软件安装构成妥协或风险的证据” [3, 2, 1]。
然而,部分来自内部源代码库的有限凭据资料被盗,这些代码库仅限受影响员工访问。OpenAI为防止潜在风险,已开始更换代码签名证书,并要求macOS用户在2026年6月12日前更新应用版本 [3, 2, 1]。
TanStack项目发布事后报告,对恶意版本数和发现过程作出详细说明。84个恶意版本集中在六分钟内发布,攻击行为被研究者迅速捕获并通报 [1]。
OpenAI的应对措施涵盖技术检视和用户保护,更新截止时间锁定为6月12日,macOS用户需按照要求完成软件更新,确保安全防护生效 [3]。
