ChatGPT Mac版本捲入供應鏈攻擊漏洞，OpenAI 呼籲用戶在 6/12 前更新程式

蘋果 Mac 使用者請注意，如果你正在使用 ChatGPT 的桌面端應用程式，請務必在近期檢查並完成更新。

OpenAI 發布緊急公告，表示由於受到熱門開源程式庫「TanStack」遭供應鏈攻擊的波及，公司決定採取預防性措施，要求所有 Mac 版 ChatGPT 使用者必須在 6 月 12 日之前完成版本升級，否則應用程式將被阻止執行。

開源程式庫 TanStack 遭駭，OpenAI 員工裝置淪陷

這次事件起源於 5 月 11 日，TanStack 遭遇了名為「Mini Shul-Hulud」的供應鏈攻擊。OpenAI 證實，有兩名員工的裝置受此波及，導致部分內部原始碼與敏感材料外洩。雖然 OpenAI 強調使用者資料目前安全無虞，但為了慎重起見，仍祭出了強制更新的要求。

這次資安危機的核心在於「簽署憑證」。OpenAI 調查發現，駭客竊取的內容雖然有限，但外洩的材料中包含了一些具備為 OpenAI 產品簽署證書能力的程式碼片段。

這意味著，駭客理論上可以利用這些外洩材料，偽造看似正版的應用程式，或對現有應用進行惡意篡改。

為了防止潛在的仿冒風險，OpenAI 決定撤銷現有的舊版證書，並採取「阻斷策略」：所有使用舊證書簽名的應用程式，在 6 月 12 日後都將無法在 macOS 系統上正常開啟。

這也是為什麼 OpenAI 如此急迫地要求使用者升級到採用全新安全證書的版本。

目前 OpenAI 已聘請第三方數位鑑識與事件響應公司介入調查。根據初步回報，除了那兩名員工有權存取的部分原始碼儲存庫子集外，OpenAI 的核心系統與使用者對話資料均未受入侵。

對於一般的 Mac 使用者來說，操作非常簡單：只要打開 ChatGPT App，當系統跳出更新提示時，請務必點擊立即更新。OpenAI 強調，iOS 手機版與 Windows 桌面版並未使用受影響的技術堆疊，因此不受本次事件影響，使用者無需進行額外操作。

這次事件給所有科技巨頭敲響了警鐘：即便是 OpenAI 這樣擁有全球頂尖人才的公司，也無法完全免於開源生態系的資安風險。