OpenAI 回应 TanStack npm 供应链攻击:macOS 用户需在 6 月 12 日前更新应用
OpenAI 详细披露了针对 TanStack“Mini Shai-Hulud”npm 供应链攻击的响应措施,包括系统加固、签名证书保护,并强调 macOS 用户必须在 2026 年 6 月 12 日前更新 OpenAI 应用。了解事件影响及防御升级。
一句话看懂
OpenAI 披露了针对 TanStack npm 供应链攻击的响应细节,要求 macOS 用户限期更新应用,并加强了代码签名与系统安全措施。
详细发生了什么
2026 年 5 月,TanStack 开源项目遭遇名为“Mini Shai-Hulud”的 npm 供应链攻击。攻击者通过恶意 npm 包感染了 TanStack 的构建环境。OpenAI 作为 TanStack 的用户之一,其部分内部系统可能受到影响。OpenAI 安全团队迅速响应,隔离受影响的系统,轮换所有签名证书和密钥,并加强了构建管道的安全审计。
OpenAI 确认,攻击者并未获得对 OpenAI 核心 AI 模型或用户数据的访问权限,但部分内部开发环境可能被用于分发恶意包。为防范风险,OpenAI 要求所有 macOS 用户在 2026 年 6 月 12 日前更新 OpenAI 桌面应用,以确保使用最新的安全修复。
中文圈视角
对于中文用户,这次事件有几点值得关注:
-
macOS 用户必须更新:如果你使用的是 OpenAI macOS 桌面应用(包括 ChatGPT 桌面版),务必在 6 月 12 日前更新到最新版本。过期版本可能存在安全隐患。
-
供应链攻击的普遍性:npm 生态的供应链攻击在国内同样常见,例如 2023 年的“event-stream”事件。国内开发者在使用 npm 包时,应关注包的来源和签名验证,尤其是涉及敏感项目时。
-
国产替代的启示:国内类似产品如 DeepSeek、Kimi 等,其桌面端应用同样可能面临供应链风险。用户应保持软件更新,并关注官方安全公告。
-
监管合规视角:此次事件未涉及数据泄露,但提醒了国内企业,使用开源组件时需建立严格的供应链安全审查机制,尤其是涉及关键基础设施时。
几条值得记住的细节
- 攻击代号“Mini Shai-Hulud”,针对 TanStack 开源项目的 npm 构建环境。
- OpenAI 轮换了所有签名证书和密钥,并加强了构建管道审计。
- 攻击者未获取 OpenAI 核心模型或用户数据。
- macOS 用户必须在 2026 年 6 月 12 日前更新 OpenAI 应用。
- OpenAI 建议开发者验证 npm 包的完整性,并使用签名验证工具。
一句话总结
如果你是 macOS 上的 OpenAI 用户,请立即更新应用;供应链安全无小事,保持软件最新是基本防线。