# 策展 · X (Twitter) 🔥

> 📖 本站完整內容索引（documentation index）：[llms.txt](/llms.txt)

> 作者：OpenAI (@OpenAI) · 平台：X (Twitter) · 日期：2026-04-11

> 原始來源：https://x.com/openai/status/2042780052669239782

## 中文摘要

OpenAI 因 Axios 程式庫漏洞，強制要求 macOS 使用者更新應用程式。

OpenAI 於 2026 年 4 月 10 日發布公告，說明其 macOS 應用程式簽署流程因第三方開發工具「Axios」遭受軟體供應鏈攻擊而面臨潛在風險，目前正採取預防性措施進行憑證輪替。

**事件起因與影響範圍**
2026 年 3 月 31 日，廣泛使用的第三方開發工具「Axios」遭軟體供應鏈攻擊。OpenAI 在 macOS 應用程式簽署流程中使用的「GitHub Actions」工作流，下載並執行了惡意版本的「Axios」（版本 1.14.1）。該工作流具備存取簽署 macOS 應用程式（包括「ChatGPT Desktop」、「Codex」、「Codex-cli」及「Atlas」）所需的憑證與公證資料之權限。

**技術分析與修復措施**
儘管 OpenAI 評估認為憑證未被成功竊取，但基於謹慎原則，仍決定撤銷並輪替該簽署憑證。此次事件的根本原因在於「GitHub Actions」工作流配置錯誤，具體表現為：
- 使用了浮動標籤（floating tag）而非具體的提交雜湊值（commit hash）。
- 未針對新套件配置「minimumReleaseAge」。
OpenAI 已聘請第三方數位鑑識公司協助調查，並與 Apple 合作確保舊憑證無法進行新的公證。

**使用者影響與更新時程**
自 2026 年 5 月 8 日起，舊版 macOS 應用程式將停止更新與支援，且可能無法運作。使用者需更新至以下版本：
- 「ChatGPT Desktop」：1.2026.051
- 「Codex App」：26.406.40811
- 「Codex CLI」：0.119.0
- 「Atlas」：1.2026.84.2
OpenAI 強調，目前無證據顯示使用者資料、系統或智慧財產權遭到侵害，亦無證據顯示惡意軟體已使用該憑證進行簽署。

**安全立場與建議**
OpenAI 採取 30 天的緩衝期以最小化使用者干擾，並將在 5 月 8 日全面撤銷舊憑證，屆時 macOS 安全機制將自動封鎖使用舊憑證簽署的應用程式。官方提醒使用者僅透過應用程式內更新或官方連結下載軟體，切勿安裝來自電子郵件、訊息、廣告或第三方網站的來源不明安裝檔。

## 標籤

功能更新, macOS, 資安, OpenAI