Nhà phát triển ChatGPT, OpenAI, xác nhận một sự cố bảo mật liên quan đến bên thứ ba xảy ra ngày 31/3 đã buộc hãng phải thu hồi và thay thế chứng chỉ bảo mật trên macOS. Điều này đồng nghĩa với việc toàn bộ người dùng Mac cần cập nhật ứng dụng lên phiên bản mới nhất.
Sự cố bắt nguồn từ thư viện JavaScript Axios do bên thứ ba cung cấp mà OpenAI sử dụng. Hai phiên bản Axios (v1.14.1 và v0.30.4) đã bị phát tán kèm mã độc dạng Trojan truy cập từ xa (RAT). Theo người dùng GitHub @jasonsaayman – nạn nhân có tài khoản bị xâm phạm – các phiên bản độc hại này tồn tại trong khoảng 3 giờ trước khi bị gỡ bỏ.
Trong tuyên bố chính thức, OpenAI cho biết chưa phát hiện bằng chứng nào cho thấy dữ liệu người dùng, hệ thống nội bộ hay tài sản trí tuệ bị truy cập hoặc xâm phạm, cũng như không ghi nhận phần mềm của hãng bị chỉnh sửa.
Tuy nhiên, nhằm đảm bảo an toàn, OpenAI đã nhanh chóng thay thế chứng chỉ bảo mật dùng để xác minh tính hợp pháp của các ứng dụng. Hãng cảnh báo người dùng macOS cần hoàn tất cập nhật trước ngày 8/5. Sau thời điểm này, các phiên bản cũ của ChatGPT Desktop, Codex App, Codex CLI và Atlas có thể ngừng hoạt động, đồng thời không còn được hỗ trợ hay nhận bản vá bảo mật.
Ảnh minh họa
Theo phân tích ban đầu, kẻ tấn công đã xâm nhập vào máy tính của một lập trình viên bảo trì thông qua hình thức tấn công phi kỹ thuật (social engineering), kết hợp với mã độc RAT. Từ đó, chúng chiếm được thông tin đăng nhập tài khoản npm và sử dụng để phát tán các phiên bản Axios bị nhiễm mã độc.
Dù đánh giá cho thấy chứng chỉ ký phần mềm của OpenAI nhiều khả năng không bị đánh cắp, công ty vẫn chủ động cập nhật chứng chỉ mới để loại bỏ mọi rủi ro, kể cả khả năng rất thấp tin tặc tạo ra ứng dụng giả mạo giống hệt sản phẩm chính thức. Đại diện OpenAI nhấn mạnh, việc cập nhật là bắt buộc nhằm đảm bảo an toàn cho người dùng, và các phiên bản mới nhất hiện đã được cung cấp thông qua các kênh chính thức của hãng.
