TanStack 漏洞影响 OpenAI：Mac 用户升级 ChatGPT 应用权威指南

昨天（5月14日），OpenAI发布了一则紧急公告，给Mac用户提了个醒：如果你在用ChatGPT的桌面应用，最好在6月12日之前完成一次强制更新。

这事儿还得从几天前说起。5月11日，一个名为TanStack的知名开源库遭遇了名为“Mini Shul-Hulud”的供应链攻击。不巧的是，OpenAI有两台员工设备受到了波及。公司反应很快，立刻启动了内部调查，并请来了第三方数字取证和事件响应团队介入处理。

经过排查，影响范围被控制在了很小的范围内——仅限于那两名员工有权访问的内部源代码仓库子集。OpenAI确认，黑客得手的内容非常有限，主要是一些凭证材料，公司的核心代码和其他信息并未泄露。

但问题就出在这些被窃的凭证上。它们具备为OpenAI产品签署安全证书的能力。这就好比有人拿到了你家的门禁卡模板，虽然还没复制出实体卡，但风险已经存在了。为了彻底堵上这个漏洞，OpenAI做出了一个果断的决定：撤销现有的相关证书，并且阻止所有使用旧证书签名的应用继续运行。

所以，对普通Mac用户来说，行动指南很简单：尽快检查并更新你的ChatGPT桌面应用。一旦收到更新提示，立即操作。这个强制更新的截止日期是6月12日。至于使用iOS或Windows版本的用户，则可以放宽心，你们的应用不受此次事件影响，无需任何操作。

OpenAI在公告中特别强调，截至目前，没有证据表明任何用户数据被访问，公司自有的核心系统也未被入侵。除了撤销证书，公司已经采取了额外的遏制措施，并持续监控系统状态。同时，他们承诺会为Mac用户提供更详细的操作指引。

这次事件再次给业界提了个醒：在高度依赖开源生态的今天，供应链安全无小事。即便是OpenAI这样的行业巨头，也需要时刻绷紧这根弦。