Yapay zeka devi OpenAI, popüler macOS uygulamalarını etkileyen ciddi bir güvenlik ihlali tespit edildiğini duyurdu. Üçüncü taraf bir geliştirici aracı olan Axios kütüphanesinde yaşanan sızıntı nedeniyle, aralarında ChatGPT Desktop ve Codex'in de bulunduğu uygulamaların güvenlik sertifikaları risk altına girdi. Şirket, tüm macOS kullanıcılarının 8 Mayıs tarihine kadar uygulamalarını en son sürüme güncellemeleri gerektiğini vurguladı.
Kuzey Kore Bağlantılı "Tedarik Zinciri" Saldırısı
Reuters tarafından aktarılan bilgilere göre, dünya genelinde yaygın olarak kullanılan Axios adlı geliştirici kütüphanesinin güvenliği 31 Mart tarihinde ihlal edildi. Saldırının arkasında Kuzey Kore ile bağlantılı olduğu düşünülen aktörlerin yer aldığı bir "tedarik zinciri saldırısı" (supply chain attack) olduğu belirtiliyor.
Saldırı sonucunda, OpenAI'ın kullandığı bir GitHub Actions iş akışı, Axios kütüphanesinin kötü amaçlı bir sürümünü yanlışlıkla indirdi ve çalıştırdı. Bu iş akışının; ChatGPT Desktop, Codex, Codex-cli ve Atlas gibi macOS uygulamalarının imzalanmasında kullanılan sertifikalara erişim yetkisi bulunması, güvenlik riskinin temelini oluşturdu.
Veri Sızıntısı ve Şifre Güvenliği Hakkında Açıklama
Kullanıcılarını rahatlatacak bir açıklama yapan OpenAI, sistem genelinde yapılan detaylı incelemelerde; kullanıcı verilerine yetkisiz erişim sağlandığına, fikri mülkiyetin çalındığına veya mevcut yazılımların kodlarının değiştirildiğine dair herhangi bir kanıt bulunmadığını bildirdi. Ayrıca, kullanıcı şifrelerinin ve OpenAI API anahtarlarının bu olaydan etkilenmediği kesin bir dille ifade edildi. Güvenlik olayına neden olan GitHub Actions iş akışındaki yapılandırma hatasının giderildiği de not düşüldü.
8 Mayıs: Uygulamalar İşlevsiz Kalabilir
OpenAI, olası bir sahte uygulama dağıtımını engellemek amacıyla tüm güvenlik sertifikalarını yeniledi. Bu kapsamda eski sertifikalarla imzalanmış uygulamalar devre dışı kalacak. Şirketin açıklamasına göre:
Güncelleme Şartı: Tüm macOS kullanıcıları, uygulamalarını resmi kanallar üzerinden en son sürüme yükseltmelidir.
Son Tarih: 8 Mayıs 2026 itibarıyla eski sürümler artık güncellenmeyecek, teknik destek almayacak ve tamamen işlevsiz hale gelebilecek.
Şirket, kullanıcıların güvenliğini sağlamak amacıyla sertifika değiştirme sürecinin bir parçası olarak bu adımı attığını ve sürecin titizlikle takip edildiğini belirtti.
