ChatGPT’nin geliştiricisi yapay zeka şirketi OpenAI, yaptığı açıklamada Axios adlı üçüncü taraf geliştirici aracında bir güvenlik sorunu tespit edildiğini duyurdu. Şirket, macOS uygulamalarının resmi OpenAI yazılımları olduğunu doğrulayan süreci korumak için gerekli adımların atıldığını belirtti.
KUZEY KORE BAĞLANTILI SALDIRI
Reuters’ın haberine göre, yaygın kullanılan üçüncü taraf geliştirici kütüphanesi Axios’un güvenliği, Kuzey Kore bağlantılı olduğu değerlendirilen aktörlerin düzenlediği daha geniş çaplı bir saldırının parçası olarak 31 Mart’ta ihlal edildi.
Bu saldırı, OpenAI’nin kullandığı bir GitHub Actions iş akışının Axios’un 'kötü amaçlı' bir sürümünü indirip çalıştırmasına neden oldu. Söz konusu iş akışının; ChatGPT Desktop, Codex, Codex-cli ve Atlas dahil olmak üzere macOS uygulamalarını imzalamada kullanılan sertifikalara ve noterleştirme materyallerine erişim yetkisi bulunduğu belirtildi.
ŞİFRELER VE VERİLER GÜVENDE Mİ?
ChatGPT’nin geliştiricisi olan şirket, kullanıcı verilerine erişildiğine, sistemlerin ya da fikri mülkiyetin tehlikeye girdiğine ve yazılımın değiştirildiğine dair herhangi bir kanıt bulunmadığını açıkladı. Ayrıca şifrelerin ve OpenAI API anahtarlarının da bu güvenlik açığından etkilenmediği belirtildi.
Güvenlik sorununun temelinde GitHub Actions iş akışındaki bir yapılandırma hatasının yer aldığı ve bu hatanın artık giderildiği ifade edildi.
OpenAI tarafından yapılan incelemelerde, söz konusu iş akışında kullanılan imzalama sertifikasının büyük olasılıkla sızdırılmadığı sonucuna ulaşıldı.
UYGULAMALAR GÜNCELLENMELİ
OpenAI, olası sahte uygulama dağıtımlarının önüne geçmek amacıyla güvenlik sertifikalarını yenilediğini duyurdu. Bu kapsamda tüm macOS kullanıcılarının OpenAI uygulamalarını 8 Mayıs'a kadar en güncel sürüme yükseltmeleri gerektiği belirtildi.
