OpenAI ответила на компрометацию инструмента Axios: ротация подписи и обновления для macOS

Компания OpenAI [LINK:опубликовала] разъяснения по поводу инцидента, связанного с атакой на цепочку поставок вокруг инструмента для разработчиков Axios. В материале перечислены шаги, которые уже предприняты, и зафиксированы выводы по влиянию на пользователей.

Для экосистемы macOS выполнена ротация сертификатов кода (code signing): старые ключи выводятся из оборота, приложения получают актуальные подписи. Параллельно отмечается выкат обновлений клиентского ПО, чтобы пользователи могли перейти на проверенные сборки без ручной возни с деталями криптографии.

OpenAI подчёркивает, что в результате расследования не выявлено компрометации пользовательских данных: акцент сделан на санации доверия к артефактам сборки и дистрибуции, а не на утечке аккаунтов или контента из продуктов.

Для разработчиков и инди-хакеров это напоминание проверять происхождение CLI и вспомогательных тулов, следить за официальными каналами обновлений и не откладывать патчи, когда вендор явно меняет цепочку доверия.

Источник: Our response to the Axios developer tool compromise — OpenAI