OpenAI 因 Axios 程式庫漏洞，強制要求 macOS 使用者更新應用程式

OpenAI 因 Axios 程式庫漏洞，強制要求 macOS 使用者更新應用程式。

OpenAI 於 2026 年 4 月 10 日發布公告，說明其 macOS 應用程式簽署流程因第三方開發工具「Axios」遭受軟體供應鏈攻擊而面臨潛在風險，目前正採取預防性措施進行憑證輪替。

事件起因與影響範圍
2026 年 3 月 31 日，廣泛使用的第三方開發工具「Axios」遭軟體供應鏈攻擊。OpenAI 在 macOS 應用程式簽署流程中使用的「GitHub Actions」工作流，下載並執行了惡意版本的「Axios」（版本 1.14.1）。該工作流具備存取簽署 macOS 應用程式（包括「ChatGPT Desktop」、「Codex」、「Codex-cli」及「Atlas」）所需的憑證與公證資料之權限。

技術分析與修復措施
儘管 OpenAI 評估認為憑證未被成功竊取，但基於謹慎原則，仍決定撤銷並輪替該簽署憑證。此次事件的根本原因在於「GitHub Actions」工作流配置錯誤，具體表現為：

• 使用了浮動標籤（floating tag）而非具體的提交雜湊值（commit hash）。
• 未針對新套件配置「minimumReleaseAge」。
  OpenAI 已聘請第三方數位鑑識公司協助調查，並與 Apple 合作確保舊憑證無法進行新的公證。

使用者影響與更新時程
自 2026 年 5 月 8 日起，舊版 macOS 應用程式將停止更新與支援，且可能無法運作。使用者需更新至以下版本：

• 「ChatGPT Desktop」：1.2026.051
• 「Codex App」：26.406.40811
• 「Codex CLI」：0.119.0
• 「Atlas」：1.2026.84.2
  OpenAI 強調，目前無證據顯示使用者資料、系統或智慧財產權遭到侵害，亦無證據顯示惡意軟體已使用該憑證進行簽署。

安全立場與建議
OpenAI 採取 30 天的緩衝期以最小化使用者干擾，並將在 5 月 8 日全面撤銷舊憑證，屆時 macOS 安全機制將自動封鎖使用舊憑證簽署的應用程式。官方提醒使用者僅透過應用程式內更新或官方連結下載軟體，切勿安裝來自電子郵件、訊息、廣告或第三方網站的來源不明安裝檔。