FFeel.Trading
Danh sách tinOpenAI xác nhận hai máy tính nhân viên bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng TanStack, người dùng ChatGPT, Codex macOS phải cập nhật trước ngày 12/6
動區 BlockTempo2026-05-15 07:15:22

OpenAI xác nhận hai máy tính nhân viên bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng TanStack, người dùng ChatGPT, Codex macOS phải cập nhật trước ngày 12/6

ORIGINALOpenAI 證實兩臺員工電腦遭 TanStack 供應鏈攻擊波及,ChatGPT、Codex macOS 用戶須在 6/12 前更新
Phân tích tác động AIGrok đang phân tích...
📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯2059 từ
Ngày 11 tháng 5, nhóm hacker TeamPCP đã thực hiện một cuộc tấn công chuỗi cung ứng npm quy mô lớn bằng cách sử dụng TanStack làm bàn đạp, khiến hai thiết bị của nhân viên OpenAI bị ảnh hưởng. Các nền tảng bị ảnh hưởng bao gồm chứng chỉ ký mã (code signing certificate) cho iOS, macOS và Windows. Người dùng macOS bắt buộc phải cập nhật ứng dụng trước ngày 12 tháng 6 năm 2026, nếu quá hạn sẽ không thể khởi chạy. (Tiền đề: OpenClaw đối mặt với khủng hoảng kép! Chuỗi cung ứng axios chứa backdoor độc hại, lỗ hổng MEDIA ảnh hưởng đến 170.000 trường hợp trên toàn cầu) (Bối cảnh bổ sung: Ledger cảnh báo "đừng tương tác với các hợp đồng on-chain": Gói JavaScript NPM bị hack, hàng tỷ thiết bị có nguy cơ nhiễm mã độc) Một thư viện mã nguồn mở không ai chú ý đến đã khiến công ty AI lớn nhất thế giới rơi vào rủi ro. Vào sáng sớm ngày 12 tháng 5 năm 2026 theo giờ Đài Loan, nhóm hacker TeamPCP đã hoàn tất cuộc tấn công chỉ trong sáu phút: 42 gói npm thuộc namespace @tanstack đã bị nhiễm độc, 84 phiên bản độc hại đã được đẩy lên kho lưu trữ npm. @tanstack/react-router có khoảng 12 triệu lượt tải xuống mỗi tuần, toàn bộ cuộc tấn công ảnh hưởng đến hơn 170 gói npm và PyPI, với tổng số lượt tải xuống vượt quá 518 triệu. Những bên bị ảnh hưởng không chỉ có các nhà phát triển mà còn có môi trường nội bộ của các công ty AI như OpenAI, Mistral AI, Guardrails AI. OpenAI xác nhận trong thông báo rằng hai thiết bị của nhân viên trong môi trường công ty đã bị ảnh hưởng bởi cuộc tấn công này. Trong tập hợp con các kho mã nguồn mà hai nhân viên này có quyền truy cập, cuộc điều tra đã phát hiện các hoạt động nhất quán với hành vi của phần mềm độc hại: truy cập trái phép và các hành động rò rỉ nhắm vào thông tin xác thực. May mắn thay, phạm vi xác nhận bị đánh cắp tương đối hạn chế: chỉ một phần tài liệu xác thực bị rò rỉ thành công từ các kho lưu trữ này, các mã nguồn và thông tin khác không bị ảnh hưởng. Cuộc điều tra đã ủy thác cho một công ty pháp y kỹ thuật số và ứng phó sự cố bên thứ ba can thiệp, không tìm thấy bằng chứng nào cho thấy dữ liệu khách hàng hoặc quyền sở hữu trí tuệ bị ảnh hưởng, cũng không xác định được dấu hiệu thông tin xác thực bị lạm dụng hoặc kẻ tấn công tiếp tục truy cập sau đó. Tuy nhiên, vấn đề nằm ở chỗ các kho mã nguồn này tình cờ lưu trữ chứng chỉ ký mã (code signing certificate, hiểu đơn giản là con dấu hợp pháp chứng minh với hệ điều hành rằng phần mềm này do tôi phát hành), bao gồm ba nền tảng iOS, macOS và Windows. Điều này trực tiếp kích hoạt một loạt các biện pháp phòng ngừa tiếp theo. OpenAI đang xoay vòng (rotate) chứng chỉ ký mã cho tất cả các nền tảng bị ảnh hưởng và ký lại tất cả các ứng dụng bằng chứng chỉ mới. Người dùng Windows và iOS không cần thực hiện bất kỳ hành động nào. Người dùng macOS phải chủ động cập nhật. Thời hạn là trước ngày 12 tháng 6 năm 2026. Một khi chứng chỉ cũ bị thu hồi hoàn toàn vào ngày này, cơ chế bảo mật của macOS sẽ chặn các ứng dụng được ký bằng chứng chỉ cũ không cho tải xuống hoặc khởi chạy. Sau đây là các phiên bản cuối cùng sử dụng chứng chỉ cũ, các phiên bản này sẽ không hoạt động bình thường sau ngày hết hạn: - ChatGPT Desktop 1.2026.125 - Codex App 26.506.31421 - Codex CLI 0.130.0 - Atlas 1.2026.119.1 Bài học cốt lõi từ sự kiện này, chính OpenAI đã nói thẳng: Kẻ tấn công ngày càng nhắm mục tiêu vào các phụ thuộc phần mềm và công cụ phát triển dùng chung, thay vì bất kỳ công ty đơn lẻ nào. Phần mềm hiện đại được xây dựng trên hệ sinh thái các thư viện mã nguồn mở, trình quản lý gói và cơ sở hạ tầng CI/CD liên kết sâu sắc với nhau—một lỗ hổng ở thượng nguồn có thể lan rộng nhanh chóng giữa các tổ chức. Công ty của bạn có bao nhiêu phụ thuộc kiểu "ai cũng dùng, không ai quản" như TanStack, không ai
Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (動區 BlockTempo)
🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin
2026-05-16
OpenAI hợp nhất chiến tuyến sản phẩm! Greg Brockman đồng thời tiếp quản ChatGPT, Codex và API dành cho nhà phát triển
Độ tương đồng 220%關鍵字 chatgpt/openai/codex同分類 zh
2026-05-15
OpenAI ra mắt tính năng "ChatGPT Personal Finance": Kết nối tài khoản ngân hàng thực tế, giúp bạn tính toán chi tiêu và lập kế hoạch vay thế chấp
Độ tương đồng 170%關鍵字 chatgpt/openai同分類 zh
2026-05-15
Codex hoạt động trên điện thoại đã ra mắt: có thể trực tiếp giám sát AI từ xa trên ChatGPT, khởi tạo nhiệm vụ mới, xem kết quả đầu ra
Độ tương đồng 170%關鍵字 chatgpt/codex同分類 zh
2026-05-14
OpenAI được cho là sẽ kiện Apple "vi phạm hợp đồng"! Phẫn nộ chỉ trích việc tích hợp ChatGPT vào Siri không đạt tiêu chuẩn, hàng chục tỷ doanh thu đăng ký tan thành mây khói
Độ tương đồng 170%關鍵字 chatgpt/openai同分類 zh
2026-05-10
OpenAI hướng dẫn bạn cách sử dụng Codex an toàn: ranh giới sandbox, phê duyệt tự động, phân loại bảo mật, khung triển khai doanh nghiệp hoàn chỉnh
Độ tương đồng 170%關鍵字 openai/codex同分類 zh
2026-05-03
Tuần đầu tiên của vụ kiện OpenAI của Musk, kết quả bất ngờ nhất là việc thừa nhận xAI đã chưng cất (distill) ChatGPT
Độ tương đồng 170%關鍵字 chatgpt/openai同分類 zh
💡 Hiện đang sử dụng đối chiếu từ khóa + tài sản (MVP) · Sau này sẽ nâng cấp lên tìm kiếm ngữ nghĩa embedding
Thông tin gốc
ID:d7dd322ae4
Nguồn:動區 BlockTempo
Đăng:2026-05-15 07:15:22
Danh mục:zh_news · Danh mục xuất zh
Tài sản:Chưa chỉ định
Bình chọn cộng đồng:+0 /0 · ⭐ 0 quan trọng · 💬 0 bình luận