2026年4月,OpenAI发布安全声明确认,旗下产品因广泛使用的第三方开发库Axios遭遇供应链攻击受到波及。本次攻击源于Axios在npm包管理平台的开发者账户被黑客劫持,攻击者植入恶意程序后篡改了账户注册邮箱。OpenAI称目前未发现用户数据泄露、系统入侵等问题,已更新macOS端应用安全认证,敦促用户尽快升级至最新版本。
对于全球AI开发者来说,Axios是一个再熟悉不过的基础工具——这个开源第三方HTTP请求库被数百万个开发项目引用,其中也包括OpenAI的多款产品,上周爆发的账户劫持事件,把这个老牌常用库拖入了安全风波。
本次攻击的操作路径十分典型:黑客获取Axios npm账户的访问权限后,第一时间篡改了账户绑定的注册邮箱,切断原开发者的找回路径,随后在官方发布的库代码中植入恶意程序,最终目标是获取受害者设备的控制权。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录