Axios供应链投毒引发安全地震 OpenAI紧急撤销Mac应用证书强制全量更新

Axios供应链投毒引发安全地震 OpenAI紧急撤销Mac应用证书强制全量更新

开源依赖漏洞击穿顶级科技公司防线，暴露现代软件供应链核心信任危机

【旧金山，2026 年 4 月电】AI 编程工具的强大能力，始终依托于后端构建并发布的复杂软件流水线。水能载舟，亦能覆舟。2026 年 4 月，这条流水线上一个看似不起眼的节点 —— 第三方 HTTP 请求库 Axios 出现重大安全漏洞，直接导致 OpenAI 向所有 Mac 用户发布紧急通知，要求立即更新 ChatGPT、Codex 等旗下桌面应用，同步启动最高等级的安全响应流程。

代码签名证书：macOS 生态不可触碰的信任根基

要理解 OpenAI 此次近乎严苛的应急响应，核心要读懂 macOS 安全体系中的核心概念：代码签名证书。

它是 Mac 软件在苹果 App Store 审核之外，最后一道不可逾越的 “信任锁”。

开发者从苹果官方获取签名证书，对应用完成加密与签名。macOS 系统在用户首次打开应用时，会验证签名及公证记录，确认应用来自可识别的开发者、且未被第三方篡改，才会通过 Gatekeeper 放行。

一旦证书失效或被官方撤销，macOS 会直接阻止应用运行。

这也意味着，掌握了合法的开发者签名证书，就等于手握伪造任何 “正版 OpenAI 应用” 的万能钥匙。

攻击者只需在恶意软件上签署 OpenAI 的有效证书，macOS 系统便会无条件放行，所有底层安全机制瞬间形同虚设。

这正是 OpenAI 发现证书存在暴露风险后，不惜影响数百万 Mac 用户的正常使用，也要强制更新、火速撤销旧证书的核心原因。

供应链攻击：从开源库投毒到顶级公司防线击穿

此次事件的导火索，是一次精心策划的供应链攻击。

黑客并未直接攻破 OpenAI 的核心服务器，而是选择从上游开源依赖投毒，让 OpenAI 的构建机器主动 “引狼入室”。

2026 年 3 月 31 日，朝鲜黑客组织 UNC1069（微软官方追踪代号）通过社会工程学手段，攻破了 Axios 核心维护者的 npm 账号，发布了植入恶意后门的两个版本 ——1.14.1 与 0.30.4。

Axios 是前端与 Node.js 生态中最主流的 HTTP 请求库，几乎被应用于每一个现代 JavaScript/Node.js 项目，每周全球下载量近亿次，使用率覆盖约 80% 的云环境。

一个核心维护者账号的失守，让整个开源世界的下游项目，全部暴露在攻击风险之中。

OpenAI 正是受影响的核心下游企业之一。

该公司用于签署 macOS 应用的 GitHub Actions 自动化工作流，在执行过程中，恰好下载并运行了被植入后门的 Axios 版本。

更致命的风险在于，这条自动化工作流，拥有访问 OpenAI 核心资产的权限 —— 用于签署 ChatGPT、Codex 等多款 Mac 应用的官方代码签名证书。

最高等级响应：宁错杀不放过的风险清零策略

在与第三方安全公司完成联合调查后，OpenAI 判定，攻击者大概率并未成功盗取核心签名证书。

但由于自动化工作流缺少充分的环境隔离，证书访问权限被暴露给了不受信任的上游代码，这种潜在风险本身，已被 OpenAI 定义为 “不可接受”。

随即，OpenAI 启动了最高等级的安全响应动作。

公司正式宣布现有证书存在泄露风险，立即启动证书撤销与全量轮换流程，用全新证书快速签署了旗下应用的更新版本。

同时，OpenAI 与苹果官方紧急协作，在服务端封堵了所有使用旧证书的应用 “公证” 请求。

最终，2026 年 5 月 8 日被定为旧证书的最终 “死亡线”，到期后，macOS 系统将彻底阻止所有使用旧证书签名的 OpenAI 应用运行。

行业深层反思：开源生态的信任根基正在动摇

此次事件最令人不安的，并非 OpenAI 的高强度应急响应，而是现代软件开发体系中，两个足以让全行业脊背发凉的现实，被彻底暴露在公众面前。

第一个现实，是主流开源库的规模本身，就意味着不可控的系统性风险。

此次被植入后门的 Axios 恶意版本，在 npm 平台上仅存活了 3 个小时便被官方下架，但它在全球引发的连锁反应，至今仍在持续扩散。

Suzu Labs 的 CTO 公开评论称：“每周近亿次下载、80% 的云环境覆盖率，从任何角度看，它的影响面都大到不可思议。真正耐人寻味的是，这次事件砸中的，是 OpenAI 这种体量的行业巨兽。”

即便是拥有顶级安全资源与工程人才的科技公司，也会被一个仅存活 3 小时的恶意开源包击中，足以窥见这场供应链灾难的严重程度。

第二个现实，是 CI/CD 流水线的环境隔离机制，早已成为行业普遍的安全盲区。

OpenAI 内部调查将此次事件的根本原因，归咎于 GitHub Actions 工作流中的配置缺陷 —— 核心签名证书的访问权限，被错误地暴露给了一个不受信任的构建步骤。

这暴露了行业长期忽视的安全隐患：我们耗费大量精力加固生产服务器，却往往对 CI/CD 流水线上的供应链攻击，缺乏足够的警惕与防护。

而更深层的结构性问题，在于现代开源软件生态的 “信任模式”，早已无法适应当前的网络安全威胁等级。

当一个开源维护者的社交账号，就能成为攻入 OpenAI 这种顶级公司的突破口时，整个行业都需要重新思考开源依赖管理的安全基线。

Axios 不会是第一个被黑客攻破的开源库，也绝不会是最后一个。

OpenAI 最终选择强制全量用户更新、彻底撤销旧证书，而非让数百万用户的应用在未来某天突然失效。这个选择，也向整个行业传递了一个清晰的警示：当我们构建现代软件体系时，如果连信任链的根基是否安全都无法确认，那么所有上层的 AI 安全措施，都只是空谈。

对于想要一站式体验全球前沿 AI 大模型的开发者与企业，UseAIAPI 可提供完整的接入解决方案。 UseAIAPI 覆盖 Gemini、Claude、ChatGPT、DeepSeek 等全球热门 AI 大模型的最新版本接入服务，同时为企业提供专属定制化服务，实现无门槛无忧接入。 价格方面，UseAIAPI 推出专属优惠政策，折扣最低可达官方价格的 50%，大幅降低企业与开发者高强度使用 AI 生成内容的成本压力。

|（注：文档部分内容可能由 AI 生成）