Yapay zekâ devi OpenAI, macOS ekosisteminde kullanılan "Axios" adlı üçüncü taraf geliştirici kütüphanesinin ele geçirilmesiyle bir güvenlik açığı yaşandığını duyurdu. Şirket tarafından Cuma günü yapılan açıklamada, kullanıcı verilerine erişildiğine veya fikri mülkiyetin sızdırıldığına dair bir kanıt bulunmadığı vurgulandı. Ancak, yasal OpenAI uygulamalarını belgeleyen "noter tasdik" sürecini korumak amacıyla tüm güvenlik sertifikaları güncellendi.
Güvenlik olayının temel nedeninin, GitHub Eylemleri (GitHub Actions) iş akışındaki bir yanlış yapılandırma olduğu saptandı. 31 Mart tarihinde gerçekleştiği belirlenen saldırıda, Kuzey Kore ile bağlantılı aktörler Axios kütüphanesinin "kötü amaçlı" bir sürümünü kullanarak OpenAI'nin yazılım imzalama mekanizmalarına sızmayı hedefledi.
Sertifikalar yenilendi ve zorunlu güncelleme geldi
Söz konusu siber saldırı girişimi; ChatGPT Desktop, Codex, Codex-cli ve Atlas dahil olmak üzere kritik macOS uygulamalarını imzalayan sertifikalara erişim sağlamayı amaçladı. OpenAI yetkilileri, yaptıkları analiz sonucunda imza sertifikasının kötü amaçlı yazılım tarafından başarılı bir şekilde sızdırılmadığı kanaatine vardıklarını belirtti.
Şirket, güvenlik risklerini minimize etmek amacıyla 8 Mayıs 2026 tarihinden itibaren macOS masaüstü uygulamalarının eski sürümlerine yönelik desteği tamamen kesecek. Bu tarihten sonra eski sürümler işlevselliğini yitirecek. Kullanıcıların, sahte uygulama dağıtım risklerinden korunması için uygulamalarını vakit kaybetmeden en son sürüme güncellemeleri isteniyor.
API anahtarları ve şifreler güvende
OpenAI, üçüncü taraf kütüphane kaynaklı bu sorundan şifrelerin ve OpenAI API anahtarlarının etkilenmediğini teyit etti. Şirket, siber güvenlik mimarisini güçlendirmek adına GitHub iş akışlarını yeniden yapılandırdığını ve benzer tedarik zinciri saldırılarına karşı savunma hatlarını sıkılaştırdığını duyurdu.
