OpenAI回应供应链攻击：用户数据安全未受影响，官方声明解读

开源软件供应链的安全风险再次成为焦点。知名前端工具库TanStack（包含广泛使用的React Query）的npm包遭遇恶意劫持，攻击者植入了名为“Mini Shai-Hulud”的恶意脚本。这一针对上游依赖的攻击迅速影响了大量下游开发者与项目。

作为开源生态的重度参与者，OpenAI对此事件反应迅速。公司安全团队在监测到针对多个主流npm包的恶意活动后，立即启动了全面的内部审计与影响评估。

根据OpenAI发布的初步调查报告，现有证据表明，此次供应链攻击并未导致其用户数据被外泄或遭到未授权访问。公司确认，其核心服务平台与基础设施未受直接影响，服务状态保持稳定。

尽管如此，为彻底消除本地环境中的潜在威胁，OpenAI已采取主动防御措施。公司特别建议所有macOS平台的官方应用用户，务必在2026年6月12日截止日期前完成应用更新至最新版本。该版本包含了针对此类供应链攻击载体的专项安全修复。

TanStack事件深刻揭示了现代软件开发对第三方依赖的深层风险。一个关键开源组件的安全漏洞，其破坏力会沿依赖链快速放大。这为所有技术团队敲响了警钟：在高效集成开源组件的同时，必须构建严格的依赖监控、漏洞扫描与应急响应体系，以保障软件供应链的完整性。