OpenAI因第三方开发库Axios漏洞更新安全证书 保障用户数据安全

2026年4月13日，全球头部AI研发企业OpenAI发布公告，针对旗下产品依赖的第三方HTTP开发库Axios遭遇的供应链攻击，完成安全证书更新以保障全球用户数据安全。本次攻击发生于3月31日UTC时间，黑客入侵Axios维护者账户植入恶意脚本，可远程访问Windows、macOS、Linux全平台设备，波及OpenAI多款产品的开发签名流程。

本次攻击的源头要追溯到2026年3月31日UTC时间，黑客通过盗用账号权限，拿下了广泛使用的开源开发库Axios的发布权限，向npm开源仓库推送了被篡改的恶意版本1.14.1。

Axios是全球JavaScript生态中使用率最高的HTTP请求库之一，超过百万个软件项目将其作为依赖引入，本次攻击属于典型的软件供应链投毒，核心目标是下游各类使用该库的开发项目，而非单一企业。

OpenAI在给macOS端应用签名的GitHub Actions自动化工作流中，恰好自动拉取了这个被篡改的版本，而该工作流本身拥有访问应用签名证书的权限，覆盖了ChatGPT桌面版、Codex、Codex-cli等多款OpenAI官方产品。

发现权限异常和恶意代码后，OpenAI安全团队第一时间暂停了受影响的自动化工作流，移除了恶意依赖，并启动了全量安全证书更换流程，避免攻击者利用失窃的证书签名恶意程序，危害用户设备和数据安全。