OpenAI 證實兩臺員工電腦遭 TanStack 供應鏈攻擊波及，ChatGPT、Codex macOS 用戶須在 6/12 前更新

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯2059 字

5 月 11 日，駭客組織 TeamPCP 以 TanStack 為跳板發動大規模 npm 供應鏈攻擊，OpenAI 兩臺員工裝置受波及，受影響平台涵蓋 iOS、macOS、Windows 的程式碼簽名證書，macOS 用戶必須在 2026 年 6 月 12 日前更新應用程式，逾期將無法啟動。（前情提要：OpenClaw「小龍蝦」爆雙重危機！axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例）（背景補充：Ledger 警告「別互動鏈上合約」：JavaScript 套件 NPM 遭駭，數十億裝置恐感染惡意程式碼）一個沒人注意的開源函式庫，結果讓全球最大的 AI 公司暴露在風險之中。台灣時間 2026 年 5 月 12 日清晨，駭客組織 TeamPCP 在短短六分鐘內完成攻擊：42 個屬於 @tanstack 名稱空間的 npm 套件遭到毒化，84 個惡意版本被推送至 npm 倉庫。 @tanstack/react-router 每週下載量約 1,200 萬次，整個攻擊波及超過 170 個 npm 與 PyPI 套件，累計下載次數超過 5.18 億次。受波及的不只是開發者，還有 OpenAI、Mistral AI、Guardrails AI 等 AI 公司的內部環境。 OpenAI 公告確認，公司環境中有兩臺員工裝置遭到此次攻擊影響。在這兩名員工可存取的有限程式碼倉庫子集中，調查發現了與惡意軟體行為一致的活動：未經授權的存取，以及以憑證為目標的外洩行動。所幸確認遭竊的範圍相對有限：只有部分憑證材料從這些倉庫成功外洩，其他程式碼與資訊未受影響。調查委託了第三方數位鑑識與事件響應公司介入，未發現客戶資料或智慧財產權受波及的證據，也未識別到憑證被濫用或攻擊者在事後持續存取的跡象。不過問題在於，這些程式碼倉庫中恰好存有產品的程式碼簽名證書（code signing certificate，白話來說就是向作業系統證明這個軟體是我發布的合法印章），涵蓋 iOS、macOS 與 Windows 三個平台。這直接觸發了後續一系列預防性措施。 OpenAI 正在輪換所有受影響平台的程式碼簽名證書，並重新以新證書簽名發布所有應用程式。Windows 與 iOS 用戶無需採取任何行動。macOS 用戶則必須主動更新。時間節點是 2026 年 6 月 12 日之前。一旦舊證書在這天完全撤銷，macOS 的安全保護機制將阻止使用舊證書簽名的應用程式被下載或啟動。以下是使用舊證書簽名的最後版本，這些版本在截止日後將無法正常運作： - ChatGPT Desktop 1.2026.125 - Codex App 26.506.31421 - Codex CLI 0.130.0 - Atlas 1.2026.119.1 這次事件的核心教訓，OpenAI 自己說得直接：攻擊者越來越多地針對共享的軟體依賴項和開發工具，而非任何單一公司。現代軟體建立在深度互聯的開源函式庫、套件管理器和 CI/CD 基礎設施生態系統之上——上游一個漏洞，可以在組織之間廣泛且迅速地傳播。你的公司有多少個像 TanStack 一樣「所有人都在用、沒人在管」的依賴項，沒有人說得清楚。 TeamPCP 的手法讓這次事件在安全史上留下一個記錄：這是首次有人成功發布帶有有效 SLSA Build Level 3 provenance attestations 的惡意套件。解釋一下這意味著什麼。SLSA（Supply-chain Levels for Software Artifacts）是目前最受認可的軟體供應鏈安全驗證標準，Level 3 要求套件在可重現、有記錄的建置環境中生成，並附上可驗證的來源證明。簡單來說：這張「安全認證標章」過去被認為足以排除惡意投毒的可能性，但這次不行了。攻擊者的方式是利用 GitHub Actions 中三個漏洞的組合，毒化 pnpm 快取（pnpm 是 JavaScript 生態中廣泛使用的

資料狀態✓ 已擷取全文閱讀原文（動區 BlockTempo）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-05-21

OpenAI Codex 正式登陸手機！ChatGPT App 可直接寫 code、審查程式碼

相似度 220%關鍵字 codex/chatgpt/openai同分類 zh

2026-05-16

OpenAI 產品合併戰線！Greg Brockman 同時接管 ChatGPT、Codex 與開發者 API

相似度 220%關鍵字 codex/chatgpt/openai同分類 zh

2026-05-29

OpenAI 推出安全 MCP 隧道：讓 ChatGPT 接進企業內網

相似度 170%關鍵字 chatgpt/openai同分類 zh

2026-05-15

OpenAI 推出「ChatGPT 個人理財」功能：串接真實銀行帳戶，幫你精算開銷、規劃房貸

相似度 170%關鍵字 chatgpt/openai同分類 zh

2026-05-15

Codex 手機操作上線：可直接在 ChatGPT 遠端監督 AI、開啟新任務、檢視輸出結果

相似度 170%關鍵字 codex/chatgpt同分類 zh

2026-05-14

OpenAI 傳將起訴蘋果「違約」！怒轟 Siri 整合 ChatGPT 未達標、百億訂閱落空

相似度 170%關鍵字 chatgpt/openai同分類 zh

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：d7dd322ae4

來源：動區 BlockTempo

發佈：2026-05-15 07:15:22

分類：zh_news · 導出分類 zh

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言