أعلنت شركة “أوبن إيه آي” عن رصد مشكلة أمنية مرتبطة بأداة تطوير خارجية تابعة لطرف ثالث تُدعى “أكسيوس”، مؤكدة أنها تتخذ خطوات لحماية آلية التحقق التي تُثبت أن تطبيقاتها على نظام ماك أو إس وهي تطبيقات رسمية وشرعية تابعة للشركة.
وأكدت “أوبن إيه آي” أنها لم تجد أي دليل على الوصول إلى بيانات المستخدمين، أو تعرض أنظمتها أو ملكيتها الفكرية للاختراق، أو إجراء أي تعديل على برمجياتها.
تحديثات إلزامية
وقالت “أوبن إيه آي” إنها تعمل حالياً على تحديث شهادات الأمان الخاصة بها، كما ألزمت جميع مستخدمي تطبيقاتها على نظام ماك أو إس بتحديث تطبيقاتها إلى أحدث الإصدارات، للمساعدة في منع أي مخاطر محتملة تتعلق بمحاولات توزيع تطبيق مزيف.
وبحسب مطورة “شات جي بي تي” تعرضت مكتبة “أكسيوس” وهي مكتبة تطوير خارجية واسعة الاستخدام، للاختراق في 31 مارس، وذلك ضمن هجوم أوسع على سلسلة توريد البرمجيات، يُعتقد أن منفذيه مرتبطون بكوريا الشمالية.
وأدى هذا الهجوم إلى قيام سير عمل جيت هب أكشنز المستخدم من قبل الشركة بتنزيل وتنفيذ نسخة خبيثة من أكسيوس.
وأوضحت الشركة أن هذا المسار البرمجي كان يملك صلاحية الوصول إلى شهادة رقمية ومواد التوثيق المستخدمة في توقيع تطبيقات ماك أو إس، بما في ذلك تطبيقات:
– شات جي بي تي ديسكتوب
– كوديكس
– كوديكس سي إل آي
– أطلس
وأشارت مطورة شات جي بي تي إلى أن تحليلها للحادث خلص إلى أن شهادة التوقيع الموجودة ضمن هذا المسار البرمجي لم يتم على الأرجح تسريبها بنجاح عبر الحمولة الخبيثة.
إيقاف دعم الإصدارات القديمة
وأضافت الشركة أنه ابتداء من 8 مايو لن تتلقى الإصدارات القديمة من تطبيقات أوبن إيه آي المكتبية على ماك أو إس أي تحديثات أو دعم، وقد تصبح غير قابلة للعمل.
وشددت الشركة على أن كلمات المرور ومفاتيح واجهة برمجة تطبيقات أوبن إيه آي (API Keys) لم تتأثر بهذه المشكلة الأمنية المرتبطة بالطرف الثالث.
كما أوضحت أن السبب الجذري للحادث الأمني كان سوء تهيئة في سير عمل جيت هب أكشنز، مؤكدة أنه تمت بالفعل معالجة هذه المشكلة.
