OpenAI, üçüncü taraf bir yazılım bileşeni üzerinden ortaya çıkan güvenlik riskiyle ilgili önemli bir açıklama yaptı. Şirket, özellikle macOS kullanıcılarını yakından ilgilendiren bu olayın ardından uygulamaların güncellenmesi gerektiğini duyurdu.
Uluslararası basında yer alan bilgilere göre, yaygın olarak kullanılan Axios kütüphanesi üzerinden bir güvenlik ihlali yaşandı.
Söz konusu ihlalin, Kuzey Kore bağlantılı olduğu düşünülen daha geniş kapsamlı bir saldırının parçası olduğu değerlendiriliyor.
Bu süreçte, OpenAI’nin kullandığı bir GitHub Actions iş akışı, farkında olmadan kötü amaçlı bir Axios sürümünü indirip çalıştırdı.
İMZALAMA SÜRECİNE ERİŞİM RİSKİ OLUŞTU
Etkilenen iş akışının, macOS uygulamalarını imzalamak için kullanılan sertifikalara erişim yetkisi bulunuyordu. Bu durum; ChatGPT Desktop başta olmak üzere Codex ve benzeri araçların güvenliği açısından potansiyel risk oluşturdu.
Ancak OpenAI, yaptığı incelemelerde kullanıcı verilerinin sızdırıldığına, sistemlerin ele geçirildiğine ya da yazılımların değiştirildiğine dair herhangi bir kanıt bulunmadığını vurguladı. Aynı şekilde şifreler ve API anahtarlarının da etkilenmediği açıklandı.
SORUN GİDERİLDİ, SERTİFİKALAR YENİLENDİ
Şirket, olayın temel nedeninin yapılandırma hatasından kaynaklandığını ve bu açığın tamamen kapatıldığını duyurdu. Ayrıca olası riskleri ortadan kaldırmak için güvenlik sertifikalarının da yenilendiği belirtildi.
OpenAI, özellikle macOS kullanıcılarına kritik bir çağrıda bulundu. Olası sahte uygulama riskine karşı tüm kullanıcıların OpenAI uygulamalarını en güncel sürüme yükseltmesi gerektiği ifade edildi.
Bu gelişme, üçüncü taraf yazılım bileşenlerinin teknoloji ekosisteminde ne denli kritik bir rol oynadığını bir kez daha gözler önüne sererken, güvenlik süreçlerinin sürekli güncel tutulmasının önemini de ortaya koydu.
