오픈AI는 자사 제품에서 외부 모듈의 취약점을 발견했으며, 사용자 데이터 보안은 침해되지 않았습니다

OpenAI는 보안 위협 및 완화 조치에 대해 보고합니다

OpenAI는 여러 애플리케이션에서 사용되는 Axios라는 서드파티 컴포넌트의 잠재적 취약점을 발견했다고 발표했습니다. 이로 인해 회사는 macOS용 소프트웨어 인증 프로세스를 보호하기 위한 조치를 취해야 했습니다.

- 침해 증거 부재

현재 OpenAI는 공격자가 사용자 데이터를 획득했거나 시스템 동작을 방해하거나 소프트웨어를 변경했다는 확인된 증거를 찾지 못했습니다.

- 취약점 해결 방법

회사는 보안 인증서를 업데이트하고 macOS용 애플리케이션 사용자를 최신 버전으로 전환할 것을 강력히 권고합니다. 이는 가짜 소프트웨어가 확산될 위험을 차단하는 데 도움이 됩니다.

- 사건의 본질

3월 초에 Axios 라이브러리가 해킹되었으며 악성 버전이 GitHub Actions를 통한 CI/CD 프로세스에서 다운로드 및 실행되었습니다. 악성 버전은 ChatGPT Desktop, Codex, Codex‑cli 및 Atlas 애플리케이션 서명에 사용된 인증서에 접근했습니다. 분석 결과, 인증서는 악성 코드로 인해 도난당하지 않았습니다.

- 구버전 문제

3월 8일 이전에 출시된 macOS용 OpenAI 데스크톱 애플리케이션은 더 이상 업데이트 및 지원을 받지 못합니다. 이는 프로그램의 기능 상실로 이어질 수 있습니다.

- 키 보안

회사는 OpenAI의 비밀번호와 API 키가 여전히 보호되고 있음을 강조했습니다. 사건의 주요 원인은 이미 수정된 GitHub Actions의 잘못된 구성이었습니다.

따라서 OpenAI는 인증서를 업데이트하고 macOS용 애플리케이션을 최신 버전으로 전환하도록 사용자에게 권고함으로써 위협 완화 작업을 완료했습니다