OpenAI、Axios の supply-chain incident を受け macOS 署名証明書を更新

OpenAIは2026年4月10日、compromised Axios packageが自社のmacOS app-signing processで使われるGitHub Actions workflowに到達したと公表した。同社によれば、この問題は2026年3月31日に起きたより広いsoftware supply-chain incidentに由来し、その際にAxios 1.14.1が悪意あるバージョンへ置き換えられていた。影響を受けたworkflowは、ChatGPT Desktop、Codex App、Codex CLI、AtlasのmacOS署名に使うcertificateとnotarization materialへアクセスできる状態だった。

OpenAIは、user dataがアクセスされた証拠、systemsやintellectual propertyが侵害された証拠、softwareが改変された証拠は見つかっていないと述べた。それでも同社は影響を受けたmacOS signing certificateを更新し、すべてのmacOS usersに対して公式チャネルからのアップデートを求めている。さらに、2026年5月8日以降は旧certificateで署名された古いバージョンがupdatesやsupportを受けられず、動作しなくなる可能性があると説明した。

運用上のポイント

OpenAIは更新後のcertificateで署名されたearliest releasesも公開した。ChatGPT Desktopは1.2026.051、Codex Appは26.406.40811、Codex CLIは0.119.0、Atlasは1.2026.84.2だ。また、third-party digital forensics and incident response firmを起用し、既存certificateを使ったnotarization eventsを確認し、旧certificateで署名されたsoftwareが新たにnotarizedされないようAppleとも連携しているという。

この公表はsoftware supply-chain riskのケーススタディとしても重要だ。OpenAIはroot causeをGitHub Actionsのmisconfigurationに求めており、workflowがfloating tagを使っていたこと、さらに新しいpackagesへのminimum release ageが設定されていなかったことを挙げた。つまり、この件はOpenAI自身のappsだけでなく、CI pipelinesでsigning、release、deployment secretsを扱う他のteamsにも直接関係する教訓になっている。

同社は影響範囲も明確にし、iOS、Android、Linux、Windows、web versionsは影響を受けないと述べた。incident responseでこのようにscopeを切り分けることは、ユーザーに必要なremediation stepsを明確に伝えるうえで重要だ。

Source: OpenAI