OpenAI确认发生与AI恶意软件活动相关的安全漏洞事件

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯3033 字

簡要說明 - OpenAI 表示，與 Shai-Hulud 行動有關的惡意軟件感染了兩台員工設備，並讓攻擊者訪問了少量內部代碼存儲系統。 - 公司表示，未發現客戶數據、核心系統或公司技術受到影響的證據。 - 此次披露緊隨此前涉及 Microsoft 和 Mistral AI 的相關報告，均與同一更廣泛的惡意軟件行動有關。 OpenAI 本周證實，與 Shai-Hulud 惡意軟件行動有關的黑客通過一個被入侵的開源軟件包，攻破了其內部開發環境的部分內容。此事件緊隨 Mistral AI 的類似披露，黑客正越來越多地針對用於構建 AI 模型和應用程序的軟件工具。在周三的一篇博客文章中，OpenAI 表示黑客入侵了 TanStack npm，這是一款開發人員用於下載和管理編碼包的軟件工具。公司表示，惡意軟件感染了兩台員工設備，並讓攻擊者在 OpenAI 阻止該活動之前訪問了少量內部代碼存儲系統。 "我們在這兩名受影響員工有權訪問的有限內部源代碼倉庫子集中，觀察到與該惡意軟件公開描述行為相符的活動，包括未經授權的訪問和以憑證為目標的數據外洩活動，"OpenAI 寫道。公司表示，未發現客戶數據、生產系統或知識產權遭到入侵的證據。 OpenAI 表示，受影響的倉庫包括用於 macOS、Windows 和 iOS 產品的代碼簽名證書。這些證書幫助操作系統驗證軟件確實來自可信公司且未經篡改。 "因此，作為預防措施，我們正在輪換代碼簽名證書，這將要求 macOS 用戶更新其應用程序，"公司表示。"Windows 和 iOS 應用的用戶無需採取任何操作。我們將向 macOS 用戶提供有關這些必需更新的更多指引。" OpenAI 表示 macOS 用戶必須在 6 月 12 日之前更新 OpenAI 應用程序。使用先前證書簽名的舊版本可能在該日期後停止運作。 OpenAI 未立即回應 Decrypt 的置評請求。此次披露緊隨本周早些時候涉及 Microsoft 和法國 AI 初創公司 Mistral AI 的報告，均與同一更廣泛的惡意軟件行動有關。周一，Microsoft Threat Intelligence 表示，攻擊者將惡意代碼插入了通過 PyPI 分發的 Mistral AI 軟件包，PyPI 是開發者用於下載 Python 軟件工具的平台。據 Microsoft 稱，該惡意軟件下載了另一個惡意文件，其外觀被設計成類似 Hugging Face 廣受歡迎的 Transformers 庫，以便融入 AI 開發環境。 OpenAI 表示，這些攻擊凸顯了科技行業日益增長的風險。 "此次事件反映了威脅格局的更廣泛轉變：攻擊者正越來越多地針對共享的軟件依賴項和開發工具，而不是任何單一公司，"他們寫道。

数据状态✓ 已抓取全文阅读原文（Decrypt）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-05-01

OpenAI 的 GPT-5.5 在網絡攻擊能力上與 Claude Mythos 持平：AI Security Institute

相似度 170%關鍵字 security/openai同分類 hot

2026-04-30

OpenAI 为 ChatGPT 用户推出高级账户安全功能

相似度 140%關鍵字 security/openai同分類 hot

2026-04-23

超越漏洞：為何 rsETH 的脫鉤要求建立橋接安全的新標準

相似度 140%關鍵字 breach/security同分類 hot

2026-04-21

Arbitrum Security Council 冻结了与 $292M KelpDAO 漏洞利用相关的 $71.5M ETH

相似度 140%關鍵字 security/linked同分類 hot

2026-04-21

Arbitrum Security Council 冻结了与 $292M KelpDAO 漏洞利用相关的 $71.5M Ethereum

相似度 140%關鍵字 security/linked同分類 hot

2026-04-19

Vercel 安全漏洞引发对 Crypto 项目的担忧

相似度 140%關鍵字 breach/security同分類 hot

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：824ca2ba52

来源：Decrypt

发布：2026-05-14 17:30:33

分类：hot · 导出分类 hot

标的：未指定

社群投票：+0 / −0 · ⭐ 1 重要 · 💬 0 留言