OpenAI xác định vấn đề bảo mật liên quan tới công cụ của bên thứ ba

OpenAI xác định vấn đề bảo mật liên quan tới công cụ của bên thứ ba, cho biết dữ liệu người dùng không được truy cập

 

Vào hôm Thứ Sáu vừa qua, hãng OpenAI cho hay họ đã nhận diện được một vấn đề về an ninh liên quan đến một công cụ của bên thứ ba mang tên Axios. Hiện nay, hãng đang thực hiện các bước cần thiết để bảo vệ tiến trình chứng thực cho các ứng dụng chạy trên hệ máy macOS, nhằm bảo đảm đây là những chương trình chánh gốc từ OpenAI.

 

Phía chế tạo ChatGPT cũng cho biết không tìm thấy bằng chứng nào cho thấy dữ liệu của giới tiêu thụ bị truy cập, hay các hệ thống và tài sản trí tuệ của hãng bị tổn hại, hoặc software bị sửa đổi. Công ty đang tiến hành cập nhật các bằng chứng nhận an ninh, đồng thời yêu cầu tất cả những người đang sử dụng macOS phải cập nhật ứng dụng OpenAI lên phiên bản mới nhứt để ngăn ngừa rủi ro bị kẻ gian tung ra các ứng dụng giả mạo.

 

Theo lời OpenAI, Axios – một thư viện dành cho giới thảo chương của bên thứ ba vốn được dùng rộng rãi – đã bị xâm nhập vào ngày 31 tháng 3/2026 vừa qua. Đây là một phần trong cuộc tấn công quy mô vào hệ thống cung ứng software, được cho là có mối liên hệ với các tác nhân từ Bắc Hàn. Cuộc tấn công này đã khiến tiến trình GitHub Actions mà OpenAI sử dụng tải về và chạy một phiên bản Axios có ý đồ xấu. Tiến trình này vốn có quyền truy cập vào các chứng chỉ và tài liệu chứng thực dùng để ký duyệt cho các ứng dụng macOS, bao gồm ChatGPT Desktop, Codex, Codex-cli và Atlas. Tuy nhiên, qua phân tích sự việc, OpenAI kết luận rằng chứng chỉ dùng để ký duyệt trong tiến trình này dường như đã không bị kẻ xấu lấy cắp thành công.

 

Kể từ ngày 8 tháng 5/2026 sắp tới, các phiên bản cũ của ứng dụng OpenAI trên máy tính macOS sẽ không còn được cập nhật hay hỗ trợ, và có thể sẽ không còn hữu dụng được nữa. Hãng cũng xác nhận rằng mật khẩu và các chìa khóa API của OpenAI không bị ảnh hưởng bởi sự cố từ bên thứ ba này. Nguyên nhân chánh yếu của vụ việc là do một sự sai sót trong việc thiết lập cấu hình của tiến trình GitHub Actions, và vấn đề này hiện đã được hãng chỉnh đốn xong xuôi.

 

Theo Reuters