Prima di procedere
OpenAI ha recentemente comunicato di aver individuato una potenziale falla di sicurezza all'interno di un componente di terze parti, denominato Axios, ampiamente utilizzato in diverse applicazioni sviluppate dall'azienda. La scoperta ha immediatamente innescato una serie di contromisure volte a salvaguardare il processo di certificazione delle applicazioni destinate al sistema operativo macOS di Apple.
Nonostante la tempestiva reazione, OpenAI ha tenuto a precisare che, al momento, non sono emersi elementi che possano suggerire un accesso non autorizzato ai dati degli utenti, una compromissione dei sistemi interni o della proprietà intellettuale, né tantomeno una manipolazione del software da parte di soggetti terzi. Tuttavia, per neutralizzare definitivamente la vulnerabilità, la società ha provveduto ad aggiornare i certificati di sicurezza e ha vivamente raccomandato a tutti gli utilizzatori delle proprie app per macOS di effettuare l'upgrade all'ultima versione disponibile, al fine di prevenire la diffusione di software contraffatto.
L'indagine ha rivelato che la libreria di terze parti Axios, il 31 marzo, è stata oggetto di un attacco informatico, durante il quale uno strumento di sviluppo GitHub Actions ha scaricato ed eseguito una variante compromessa della libreria stessa. Questa versione malevola aveva accesso ai certificati utilizzati per firmare le applicazioni ChatGPT Desktop, Codex, Codex-cli e Atlas. Ulteriori analisi hanno però scongiurato l'ipotesi che il certificato impiegato in GitHub Actions sia stato sottratto tramite il payload dannoso.
Per garantire la massima sicurezza, le versioni obsolete delle applicazioni desktop di OpenAI per macOS cesseranno di ricevere aggiornamenti e supporto a partire dall'8 marzo, con la conseguente perdita di funzionalità. L'azienda ha inoltre rassicurato gli utenti, sottolineando che l'incidente non ha compromesso in alcun modo le password o le chiavi API di OpenAI, e che la causa principale è stata individuata in una configurazione errata di GitHub Actions, prontamente corretta.
La vicenda sottolinea l'importanza cruciale della sicurezza informatica, soprattutto per le aziende che operano nel settore dell'intelligenza artificiale, e la necessità di monitorare costantemente le proprie infrastrutture e i componenti di terze parti utilizzati nello sviluppo del software. OpenAI ha dimostrato di aver affrontato la situazione con prontezza e trasparenza, adottando le misure necessarie per proteggere i propri utenti e preservare l'integrità dei propri sistemi.
