# OpenAI确认Axios供应链漏洞，要求macOS用户立即更新应用防伪造

- 来源：宝玉 (@dotey)
- 发布时间：2026-04-11 10:16
- AIHOT 链接：https://aihot.virxact.com/items/cmnw1yxvr01ovslc3r56ohna6
- 原文链接：https://x.com/dotey/status/2042788780243911135

## AI 摘要

OpenAI确认受第三方库Axios安全漏洞波及，属供应链安全事件。官方称暂无证据表明用户数据被访问或系统遭入侵。出于预防，OpenAI正更新macOS应用签名证书，要求所有macOS用户立即将ChatGPT桌面端、Codex应用等升级至最新版本，以防攻击者分发伪装应用。用户可通过应用内更新或官网下载安装，暂无需担心数据泄露，但需及时更新以防范潜在风险。

## 正文

OpenAI 刚发了一则安全公告：第三方开发库 Axios 出了安全漏洞，属于一次波及整个行业的供应链安全事件。OpenAI 表示没有证据显示用户数据被访问、系统被入侵或软件被篡改。

但出于谨慎，OpenAI 正在更新 macOS 应用的安全签名证书。所有 macOS 用户需要把 ChatGPT 桌面端、Codex 应用、Codex CLI 和 Atlas 都升级到最新版本。这么做是为了防止有人趁机分发一个伪装成 OpenAI 官方的假应用。

Axios 是前端和 Node.js 开发中极其常用的 HTTP 请求库，全球下载量数以亿计。供应链攻击的意思是，攻击者不直接攻击目标公司，而是先污染目标公司依赖的上游组件，让受害者在不知情的情况下把恶意代码引进自己的系统。这类事件近两年越来越频繁，之前 XZ Utils 后门事件也是同一路数。

如果你在 Mac 上用 ChatGPT 桌面端或 Codex，现在就去更新。可以通过应用内更新，也可以去官网重新下载。暂时不用担心数据泄露，但拖着不更新，万一后续出现仿冒应用，旧版本的签名验证可能挡不住。

### 引用推文

> OpenAI：We recently identified a security issue involving the third-party developer library Axios that was part of a broader industry incident. We found no evidence tha...
