OpenAI は 4 月 11 日に安全に関する告知を発表し、最近、サードパーティの開発ライブラリ Axios に関連する安全上の問題が見つかったことを明らかにしました。OpenAI は、ユーザーデータがアクセスされたり、システムが侵害されたり、ソフトウェアが改ざんされたりしたという証拠はないと強調していますが、慎重を期すため、すべての macOS アプリケーションのセキュリティ認証情報を更新しており、すべての macOS ユーザーに最新バージョンへのアップデートを求めています。
Axios サプライチェーン事件の影響
この安全上の問題は、広く利用されている JavaScript HTTP リクエストライブラリである Axios のサプライチェーン攻撃イベントに起因しています。これは OpenAI 固有の問題ではなく、業界全体に影響する出来事です。先に、Anthropic の Claude Code も同じ時期に関連するサプライチェーンのリスクの影響を受けていました。
OpenAI は、誰かが OpenAI 公式アプリケーションになりすまして偽のソフトウェアを配布しようとすることを防ぐため、セキュリティ認証情報を更新していると述べています。この種のリスクは「極めて起こりにくい」ものの、同社は予防措置を取ることを選択しました。
影響を受ける macOS アプリケーション
更新が必要な macOS アプリケーションには、次のものが含まれます:
ChatGPT Desktop
Codex App
Codex CLI
Atlas
ユーザーは、アプリ内の組み込みの更新機能を通じて更新するか、OpenAI 公式リンクにアクセスして最新バージョンをダウンロードできます。OpenAI は、すべての macOS ユーザーにできるだけ早く更新を完了するよう勧めています。
AI ツールのサプライチェーンセキュリティがますます注目される
この出来事は、AI ツールが直面するサプライチェーンの安全リスクを改めて浮き彫りにしました。ChatGPT、Claude Code、Codex などの AI プログラミングツールが開発者の日常の作業フローの中核になっていくにつれて、これらのツールが依存するサードパーティのライブラリも攻撃者の標的になっています。
その直前の日には、安全研究者が 26 個の LLM router がこっそりと悪意のあるコマンドを注入していたことを明らかにした研究レポートが公開され、さらに米国財務省も同時に金融レベルのサイバーセキュリティ情報をデジタル資産産業へと拡張しました。AI ツールの安全性が、業界全体の最優先課題になりつつあります。
この記事は OpenAI が緊急にすべての macOS ユーザーにアプリケーションの更新を求めること、Axios のサプライチェーン攻撃がセキュリティ認証情報の更新につながったことについて、最初に 鏈新聞 ABMedia に掲載されました。
