2026年4月13日,全球头部AI研发企业OpenAI发布公告,针对旗下产品依赖的第三方HTTP开发库Axios遭遇的供应链攻击,完成安全证书更新以保障全球用户数据安全。本次攻击发生于3月31日UTC时间,黑客入侵Axios维护者账户植入恶意脚本,可远程访问Windows、macOS、Linux全平台设备,波及OpenAI多款产品的开发签名流程。
本次攻击的源头要追溯到2026年3月31日UTC时间,黑客通过盗用账号权限,拿下了广泛使用的开源开发库Axios的发布权限,向npm开源仓库推送了被篡改的恶意版本1.14.1。
Axios是全球JavaScript生态中使用率最高的HTTP请求库之一,超过百万个软件项目将其作为依赖引入,本次攻击属于典型的软件供应链投毒,核心目标是下游各类使用该库的开发项目,而非单一企业。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录