OpenAI, üçüncü taraf Axios aracı üzerinden tespit edilen güvenlik açığı sonrası macOS kullanıcılarına kritik güncelleme çağrısı yaptı. Eski sürümler 8 Mayıs’tan sonra çalışmayacak.
Yapay zeka şirketi OpenAI, üçüncü taraf geliştirici aracı Axios ile ilgili bir güvenlik açığı tespit ettiğini duyurdu. Şirket, macOS uygulamalarının meşru OpenAI ürünleri olduğunu doğrulayan güvenlik süreçlerini güçlendirmek amacıyla adımlar attığını belirtti.
Reuters’ın haberine göre, yaygın kullanılan bir üçüncü taraf geliştirici kütüphanesi olan Axios’un güvenliği, Kuzey Kore ile bağlantılı olduğu düşünülen aktörler tarafından gerçekleştirilen daha geniş bir saldırının parçası olarak 31 Mart’ta ihlal edildi. Bu saldırı, OpenAI tarafından kullanılan bir GitHub Actions iş akışının zararlı bir Axios sürümünü indirmesine ve çalıştırmasına neden oldu.
Söz konusu iş akışının, ChatGPT Desktop, Codex, Codex-cli ve Atlas gibi macOS uygulamalarını imzalamak için kullanılan bir sertifikaya ve noterleştirme materyallerine erişim yetkisi bulunuyordu.
OpenAI, kullanıcı verilerine erişildiğine, sistemlerinin veya fikri mülkiyetinin tehlikeye atıldığına ya da yazılımının değiştirildiğine dair herhangi bir kanıt bulamadığını açıkladı. Şirket ayrıca, şifrelerin ve OpenAI API anahtarlarının da bu güvenlik sorunundan etkilenmediğini belirtti.
Güvenlik olayının temel nedeninin GitHub Actions iş akışındaki bir yapılandırma hatası olduğu ve bu hatanın giderildiği ifade edildi. OpenAI’ın analizleri, söz konusu iş akışındaki imzalama sertifikasının büyük olasılıkla sızdırılmadığı sonucuna ulaştı.
OpenAI, olası sahte uygulama dağıtım girişimlerini önlemek amacıyla güvenlik sertifikalarını güncellediğini duyurdu. Tüm macOS kullanıcılarının OpenAI uygulamalarını en son sürümlere yükseltmesi gerektiği vurgulandı. Şirketin açıklamasına göre 8 Mayıs’tan itibaren OpenAI’ın macOS masaüstü uygulamalarının eski sürümleri destek almayacak ve işlevsiz hale gelebilecek.
Yorum Yap