OpenAI产品遭遇第三方库供应链攻击 敦促macOS用户升级

2026年4月，OpenAI发布安全声明确认，旗下产品因广泛使用的第三方开发库Axios遭遇供应链攻击受到波及。本次攻击源于Axios在npm包管理平台的开发者账户被黑客劫持，攻击者植入恶意程序后篡改了账户注册邮箱。OpenAI称目前未发现用户数据泄露、系统入侵等问题，已更新macOS端应用安全认证，敦促用户尽快升级至最新版本。

对于全球AI开发者来说，Axios是一个再熟悉不过的基础工具——这个开源第三方HTTP请求库被数百万个开发项目引用，其中也包括OpenAI的多款产品，上周爆发的账户劫持事件，把这个老牌常用库拖入了安全风波。

本次攻击的操作路径十分典型：黑客获取Axios npm账户的访问权限后，第一时间篡改了账户绑定的注册邮箱，切断原开发者的找回路径，随后在官方发布的库代码中植入恶意程序，最终目标是获取受害者设备的控制权。

这种攻击模式被行业称为供应链投毒攻击，最大的威胁就在于隐蔽性：开发团队引用的是已经被行业广泛验证的信任库，通常不会对每次更新都做全量代码审计，而下游终端用户更是对依赖项的问题毫无察觉，风险会顺着开发链条直接传导到最终用户。

OpenAI在事件发酵后第一时间发布安全声明，确认自身产品受到本次攻击波及。截至声明发布，OpenAI安全团队已经完成全链路排查，未发现任何用户数据泄露、内部系统入侵或是核心代码被篡改的迹象。