أعلنت شركة OpenAI أنها رصدت مشكلة أمنية مرتبطة بمكتبة Axios، أداة تطوير خارجية واسعة الاستخدام، ضمن إطار هجوم أوسع على سلاسل الإمداد البرمجية بدأ في 31 مارس وتعتقد أن جهات مرتبطة بكوريا الشمالية تقف وراءه. وأوضحت أن التحقيقات لم تعثر على دليل يثبت تعرض بيانات المستخدمين للاختراق أو المساس بأنظمتها أو ملكيتها الفكرية، كما لم يظهر وجود تلاعب في برمجياتها. وأشار البيان إلى أن الهجوم استغل مسار عمل GitHub Actions كان لديه صلاحية الوصول إلى شهادات وتوثيق توقيع تطبيقات macOS، بما فيها تطبيقات مثل ChatGPT Desktop وCodex وCodex-cli وAtlas، وتسبب بتحميل وتنفيذ نسخة خبيثة من المكتبة. وأوضحت أن تحليلها أظهر أن البرمجية الخبيثة لم تتمكن من تسريب الشهادة المخصصة لتوقيع التطبيقات.

الإجراءات والتحديثات الوقائية

أعلنت الشركة أن اعتبارًا من 8 مايو لن تتلقى الإصدارات القديمة من تطبيقاتها على macOS أي تحديثات أو دعم، وقد يتوقف تشغيلها كإجراء وقائي لتقليل مخاطر الإصدارات السابقة. كما شدّدت على تعزيز آليات التحقق والتوثيق لضمان أن الإصدار الرسمي فقط هو من يحصل على التوقيع والتوزيع. وأشارت إلى أن كلمات المرور ومفاتيح API الخاصة بالمستخدمين لم تتأثر بالحالة، وأن السبب الأساسي كان خللًا في إعداد أحد مسارات العمل في GitHub Actions، وهو ما تم إصلاحه بالكامل.

التحديات والانعكاسات

ترتبط الحادثة بتحديات أمن سلاسل الإمداد البرمجية مع تزايد الاعتماد على المكتبات الخارجية بين المطورين. وتؤكد OpenAI أنها تواصل تعزيز الضمانات التقنية وتقوم بإجراء تقييم مستمر للمكونات الخارجية التي تعتمدها. كما تدعو المستخدمين إلى تحديث تطبيقاتهم إلى أحدث الإصدارات كإجراء وقائي لحماية أنفسهم من أي نسخ مزيفة أو مخاطر محتملة.

هذا المحتوى مقدم من مجلة صوت المرأة العربية