OpenAI توضح تفاصيل ثغرة أمنية مرتبطة بأداة Axios وتؤكد عدم تسريب بيانات المستخدمين

كتبت/بوسي عبدالقادر
كشفت شركة OpenAI عن رصد مشكلة أمنية مرتبطة بأداة تطوير خارجية تُعرف باسم Axios، مؤكدة في الوقت نفسه أن التحقيقات لم تُظهر أي دليل على تعرض بيانات المستخدمين للاختراق أو المساس بأنظمتها أو ملكيتها الفكرية، ولم يتم التلاعب ببرمجياتها.
وأوضحت الشركة أن الحادثة دفعتها إلى اتخاذ إجراءات احترازية لتعزيز آليات التحقق من تطبيقاتها على نظام macOS، خصوصًا فيما يتعلق بإثبات أن التطبيقات رسمية وصادرة عنها.
تفاصيل الهجوم وسلسلة الإمداد البرمجية
ترجع جذور المشكلة إلى تعرض مكتبة Axios، وهي أداة شائعة الاستخدام بين المطورين، للاختراق في 31 مارس، ضمن هجوم على سلسلة إمداد البرمجيات، ويُعتقد أن جهات مرتبطة بكوريا الشمالية تقف وراءه.
وأدى الهجوم إلى استغلال أحد مسارات العمل في GitHub عبر GitHub Actions، حيث تم تحميل نسخة خبيثة من المكتبة وتنفيذها ضمن عمليات البناء.
تأثير محدود وإجراءات احترازية
بحسب OpenAI، فإن المسار المتأثر كان يمتلك صلاحيات حساسة مرتبطة بتوقيع تطبيقات macOS، بما في ذلك تطبيقات مثل ChatGPT Desktop وCodex وCodex CLI وAtlas، إلا أن التحليل أظهر أن شهادات التوقيع لم يتم تسريبها أو استغلالها.
وأكدت الشركة أن كلمات المرور ومفاتيح API الخاصة بالمستخدمين لم تتأثر بالحادثة، مشيرة إلى أن المشكلة ناتجة عن خلل في إعدادات أحد مسارات العمل داخل GitHub Actions وتمت معالجته بالكامل.
إيقاف دعم الإصدارات القديمة
كإجراء أمني إضافي، أعلنت الشركة أنه اعتبارًا من 8 مايو، لن تتلقى الإصدارات القديمة من تطبيقات macOS أي تحديثات أو دعم، وقد تتوقف عن العمل لاحقًا، بهدف تقليل المخاطر المرتبطة بالإصدارات غير المحدثة.
كما دعت الشركة المستخدمين إلى تحديث تطبيقاتهم فورًا إلى أحدث الإصدارات لتجنب أي تهديدات محتملة أو محاولات لتوزيع نسخ مزيفة.
خلاصة
تعكس هذه الواقعة تصاعد التحديات المتعلقة بأمن سلاسل إمداد البرمجيات، في ظل الاعتماد المتزايد على أدوات ومكتبات خارجية، ما يدفع شركات التكنولوجيا مثل OpenAI إلى تعزيز إجراءات الحماية لضمان سلامة الأنظمة وثقة المستخدمين.



