وجهت شركة OpenAI دعوة لمستخدمي تطبيقاتها على نظام macOS تؤكد فيها ضرورة تثبيت التحديثات الأخيرة لبرامج ChatGPT وCodex وAtlas، إضافة إلى أداة Codex CLI. تأتي هذه الخطوة عقب رصد خلل أمني طال مكتبة Axios، وهي مكتبة برمجية مفتوحة المصدر تُستخدم لتبادل البيانات بين المتصفحات والخوادم، وكانت جزءاً من المسار الداخلي الذي تعتمده الشركة لبناء تطبيقاتها وتوقيعها رقمياً لضمان موثوقية البرمجيات وسلامتها من التعديل.
ورغم هذه الإجراءات الاحترازية، أكدت الشركة عدم وجود أدلة تشير إلى وقوع اختراقات للأنظمة الداخلية، أو تلاعب بالشيفرات البرمجية، أو وصول غير مصرح به لبيانات المستخدمين. وقد تركزت الجهود بشكل أساسي على تعزيز بنية التحقق من سلامة التطبيقات الموزعة على أجهزة Mac لضمان استمرارية أمنها.
تعود تفاصيل الحادثة إلى 31 مارس 2026، حين نُشرت نسختان خبيثتان من مكتبة Axios، بإصداري 1.14.1 و0.30.4، على سجل npm العالمي، وذلك بعد السيطرة على حساب أحد المشرفين على الحزمة. وتضمن هذان الإصداران اعتماداً مخفياً تحت مسمى plain-crypto-js، وهو برنامج وسيط استُخدم لزرع حمولة خبيثة تستهدف أنظمة التشغيل Windows وmacOS وLinux.
صنفت وحدة Unit 42 التابعة لشركة Palo Alto Networks الواقعة ضمن هجمات سلسلة إمداد البرمجيات. ومن جهتها، ربطت شركة Microsoft البنية التحتية لهذا الهجوم بمجموعة Sapphire Sleet التابعة لكوريا الشمالية.
تداعيات الاختراق على مسارات البناء الرقمي
تشير المعطيات إلى أن OpenAI استخدمت مكتبة Axios المتضررة ضمن سير عمل GitHub Actions، وهي الأداة المسؤولة عن أتمتة مهام التطوير في خط بناء تطبيقات macOS. وقد أدى السحب التلقائي للنسخة المصابة إلى إتاحة الوصول لمواد حساسة تتعلق بالشهادات الرقمية وعمليات التوثيق المستخدمة لتوقيع تطبيقات ChatGPT Desktop وCodex وAtlas.
تعد هذه الشهادات الركيزة الأساسية في نموذج الثقة لدى شركة Apple، إذ تعتمد عليها أنظمة macOS للتحقق من هوية المطور وضمان سلامة المحتوى البرمجي. وقد برزت هذه الثغرة نتيجة تهيئة غير دقيقة في بيئة GitHub Actions، مما دفع OpenAI للمسارعة بتصحيحها فور اكتشافها.
شملت إجراءات الاحتواء التي نفذتها الشركة إلغاء الشهادات السابقة وتدوير مفاتيح الأمان الخاصة بتطبيقات macOS، وذلك لضمان عدم استغلال أي بيانات قد تكون تعرضت للكشف خلال فترة الحادثة. ويهدف هذا المسار التقني إلى منع توزيع أي تطبيقات مزيفة قد تحمل توقيعاً يبدو موثوقاً للمستخدمين.
وفي إطار طمأنة المستخدمين، شددت OpenAI على أهمية التحديث الفوري للحصول على الشهادات الجديدة، مؤكدة أن كلمات المرور ومفاتيح واجهات برمجة التطبيقات (API) لم تتأثر، ولا تتطلب تغييراً. كما أوضحت الشركة أن نطاق التأثير التقني اقتصر على إصدارات macOS فقط، ولم يمتد إلى تطبيقات الأنظمة الأخرى مثل Android أو Windows أو Linux.
الجدول الزمني ومعايير الأمان المستجدة
أعلنت OpenAI أن الإصدارات القديمة من تطبيقات macOS ستفقد الدعم الفني والتحديثات بحلول 8 مايو 2026، مع احتمال توقفها عن العمل بشكل كامل في وقت لاحق. ويمكن للمستخدمين الحصول على التحديثات اللازمة عبر الإشعارات المنبثقة داخل التطبيق أو القنوات الرسمية، حيث يمثل هذا الموعد النهائي شرطاً أساسياً لاستمرارية عمل التطبيقات بكفاءة وأمان.
تبرز هذه الحادثة المخاطر المتزايدة التي تواجه سلاسل إمداد البرمجيات، خاصة عند استهداف مكتبات واسعة الانتشار مثل Axios التي تسجل ملايين التنزيلات الأسبوعية؛ إذ يرتفع مستوى التعرض للخطر عند إدخال شيفرات خبيثة في هذه المكتبات ولو لفترة وجيزة.
تضع هذه الواقعة التركيز على مخاطر الاعتماد التلقائي على تحديثات الحزم البرمجية في بيئات التكامل المستمر والتسليم المستمر (CI/CD) دون وجود ضوابط رقابية إضافية. وبناءً عليه، أوصت جهات بحثية متخصصة مثل Microsoft وUnit 42 بضرورة اتباع ممارسات أمنية تشمل تثبيت إصدارات محددة ومعتمدة مسبقاً، والتحقق الدوري من سلامة الاعتمادات البرمجية، ومراجعة صلاحيات مسارات التوقيع الرقمي.
