Ein schwerwiegender Vorfall in der Software-Lieferkette hat OpenAI dazu veranlasst, präventive Sicherheitsmaßnahmen für seine macOS-Anwendungen zu ergreifen. Nach einem Kompromiss der weit verbreiteten Entwicklerbibliothek Axios hat das Unternehmen entschieden, seine Code-Signing-Zertifikate zu rotieren.

Sicherheitsmaßnahme zur Absicherung von macOS-Apps

OpenAI hat festgestellt, dass ein GitHub Actions Workflow, der für die Signierung von macOS-Anwendungen genutzt wurde, eine manipulierte Version der Bibliothek Axios heruntergeladen und ausgeführt hat. Obwohl es keine Hinweise darauf gibt, dass Nutzerdaten oder das geistige Eigentum von OpenAI kompromittiert wurden, handelt das Unternehmen aus reiner Vorsicht.

Als Reaktion darauf werden die betroffenen Zertifikate widerrufen und neue erstellt. Dies führt dazu, dass macOS-Nutzer ihre installierten Anwendungen wie ChatGPT Desktop, Codex oder Atlas auf die neuesten Versionen aktualisieren müssen, um sicherzustellen, dass sie mit den neuen, sicheren Zertifikaten signiert sind.

Wichtige Termine und Maßnahmen

Ab dem 8. Mai 2026 werden ältere Versionen der macOS-Desktop-Apps keinen Support mehr erhalten und möglicherweise nicht mehr funktionieren. Nutzer sollten daher umgehend die In-App-Updates oder die offiziellen Webseiten von OpenAI nutzen, um die aktuellsten Builds zu installieren.

OpenAI betont, dass dieser Schritt dazu dient, das Vertrauen der Nutzer zu schützen und sicherzustellen, dass nur verifizierte Software auf den Geräten läuft. Passwörter oder API-Keys waren von diesem Vorfall nicht betroffen.