Yapay zeka şirketi OpenAI, üçüncü taraf geliştirici aracı Axios’ta bir güvenlik ihlali tespit ettiğini bildirdi. Şirket, macOS uygulamalarının resmi yazılımlarını korumak için gerekli önlemleri aldığını açıkladı.
KUZEY KORE BAĞLANTILI SALDIRI
Reuters’a göre, 31 Mart’ta Kuzey Kore ile bağlantılı olduğu düşünülen aktörler tarafından Axios üzerinden gerçekleştirilen saldırıyla kütüphanenin güvenliği ihlal edildi. Bu olay, OpenAI’ın kullandığı GitHub Actions iş akışının Axios’un ‘kötü amaçlı’ sürümünü indirmesine ve çalıştırmasına yol açtı. Açıklamalara göre, söz konusu iş akışı; ChatGPT Desktop, Codex, Codex-cli ve Atlas gibi macOS uygulamalarını imzalamada kullanılan sertifikalara ve noterleştirme belgelerine erişim yetkisine sahipti.
ŞİFRELER VE VERİLER GÜVENDE Mİ?
OpenAI, kullanıcı verilerine erişimin söz konusu olmadığını, sistemlerin veya fikri mülkiyetin tehlikeye girmediğini ve yazılım değişikliğine dair herhangi bir kanıt bulunmadığını belirtti. Ayrıca, güvenlik açığından şifrelerin ve OpenAI API anahtarlarının etkilenmediği vurgulandı.
Güvenlik sorununun kaynağının GitHub Actions iş akışındaki bir yapılandırma hatası olduğu ve bu hatanın düzeltildiği belirtildi. OpenAI incelemeleri, imzalama sertifikasının büyük olasılıkla sızdırılmadığını ortaya koydu.
UYGULAMALAR GÜNCELLENMELİ
OpenAI, potansiyel sahte uygulama dağıtımlarını önlemek amacıyla güvenlik sertifikalarını yenilediğini bildirdi. Bu çerçevede, tüm macOS kullanıcılarının OpenAI uygulamalarını 8 Mayıs’a kadar en güncel sürüme yükseltmeleri gerektiği ifade edildi.
