OpenAI 10 aprel 2026 tarixində paylaşdığı açıqlamada bildirib ki, üçüncü tərəf developer aləti olan Axios ilə bağlı daha geniş software supply chain insidenti onların macOS tətbiqlərinin imzalanma prosesinə də toxunub. Şirkətin açıqlamasına görə istifadəçi məlumatlarının oğurlanmasına və ya məhsulların birbaşa komprometasiya olunmasına dair dəlil yoxdur. Amma OpenAI ehtiyat tədbiri kimi köhnə macOS signing certificate-lərini rotasiya edir və istifadəçilərdən tətbiqləri yeniləməyi istəyir.
Hadisə nədir?
OpenAI-nin verdiyi məlumata görə 31 mart 2026 tarixində Axios-un zərərli versiyası daha geniş ekosistem hücumunun bir hissəsi kimi GitHub Actions workflow daxilində işləyib. Bu workflow macOS tətbiqlərinin imzalanması və notarization prosesi ilə bağlı materiallara çıxışa sahib idi. Təsirlənən məhsullar sırasında ChatGPT Desktop, Codex App, Codex CLI və Atlas qeyd olunur.
Şirkət bildirir ki, araşdırma nəticəsində signing certificate-in uğurla exfiltrate olunmasına dair sübut tapılmayıb. Buna baxmayaraq riskin özünü kifayət qədər ciddi sayıb sertifikatı ləğv və yeniləmə yolunu seçib.
Niyə bu xəbər vacibdir?
Bu, təkcə OpenAI ilə bağlı xəbər deyil. Burada əsas dərs software supply chain təhlükəsizliyi ilə bağlıdır. Yəni problem birbaşa final tətbiqin içində deyil, build və sign prosesində istifadə olunan kənar alətlərdə yarana bilir. Müasir developer komandaları CI/CD, paket menecerləri, GitHub Actions, NPM kitabxanaları və digər dependency-lərdən çox asılıdır. Bu zəncirin bir hissəsi zəhərlənəndə, təsir real məhsulun paylanma qatına qədər çata bilir.
Xüsusilə app signing certificate mövzusu çox həssasdır. Əgər hücumçu həqiqətən legitim certificate-i ələ keçirsəydi, nəzəri olaraq öz zərərli proqramını etibarlı istehsalçı proqramı kimi göstərməyə cəhd edə bilərdi. OpenAI-nin əsas reaksiyası da məhz bu potensial riski bağlamaqdır.
OpenAI nə edir?
- macOS code signing certificate-lərini rotasiya edir
- təsirlənən məhsullar üçün yeni build-lər yayımlayır
- köhnə certificate ilə yeni notarization prosesini dayandırır
- Apple ilə birlikdə köhnə sertifikatla yeni proqram paylanmasının qarşısını almağa çalışır
- forensics və incident response üçün üçüncü tərəf təhlükəsizlik tərəfdaşı ilə işləyir
Şirkətin paylaşdığı vacib tarix də var: 8 may 2026-dan sonra köhnə certificate ilə imzalanmış bəzi köhnə macOS tətbiqləri artıq update və support almayacaq, hətta bəzi hallarda işləməyə də bilər.
Hansı istifadəçilər üçün praktik təsir var?
OpenAI açıq şəkildə bildirir ki, bu məsələ yalnız macOS tətbiqlərinə aiddir. Yəni iOS, Android, Windows, Linux və web istifadəçiləri bu konkret incidentdən təsirlənmir.
Praktik olaraq aşağıdakı istifadəçilər diqqətli olmalıdır:
- Mac-də ChatGPT Desktop istifadə edənlər
- Codex App istifadəçiləri
- Codex CLI-ni macOS üzərində işlədən developer-lər
- Atlas istifadəçiləri
Bu istifadəçilər tətbiqlərini rəsmi kanal üzərindən yeniləməlidir. OpenAI ayrıca xəbərdarlıq edir ki, tətbiqləri email linkləri, reklamlar, üçüncü tərəf download saytları və ya şübhəli mesajlardan yükləmək olmaz.
OpenAI nə deyir, nə demir?
Şirkətin rəsmi mövqeyi belədir:
- istifadəçi məlumatlarının komprometasiya olunmasına dair sübut yoxdur
- API açarları və şifrələr təsirlənməyib
- mövcud məhsulların zərərli şəkildə dəyişdirilməsinə dair sübut yoxdur
- amma signing material mümkün risk kimi qəbul olunur və buna görə rotasiya edilir
Bu yanaşma təhlükəsizlik baxımından doğru görünür. Bir çox şirkət yalnız açıq komprometasiya sübutu olduqda hərəkət edir. Burada isə OpenAI daha konservativ yol seçib, yəni “dəlil yoxdur, amma risk kifayət qədər ciddidir” məntiqi ilə davranıb.
Bu hadisədən developer komandaları nə öyrənməlidir?
Bu xəbər OpenAI ilə bağlı olsa da, dərs bütün texnoloji komandalar üçün keçərlidir. Xüsusilə aşağıdakı nöqtələr vacibdir:
1. Floating tag istifadə etmək risklidir
OpenAI root cause kimi GitHub Actions workflow-da floating tag istifadəsini göstərir. Yəni konkret commit hash əvəzinə dəyişə bilən tag-lara etibar edilib. Bu, supply chain hücumlarında ən klassik risklərdən biridir.
2. Build pipeline ayrıca qorunmalıdır
Bir çox komanda app təhlükəsizliyini yalnız source code və production server səviyyəsində düşünür. Halbuki signing, release, artifact storage və CI runner-lər də ayrıca yüksək həssas zonadır.
3. Signing material minimum səviyyədə əlçatan olmalıdır
Certificate, notarization token-ləri və release secret-ləri yalnız zəruri job və zəruri anda inject edilməlidir. Həm də bu addımlar üçün audit log və sərt icazə nəzarəti vacibdir.
4. Dependency hygiene formal proses olmalıdır
Paket yaşı məhdudiyyəti, pin edilmiş versiyalar, allowlist və təhlükəli yeni buraxılışların gecikdirilməsi kimi qaydalar artıq “nice to have” deyil. Bunlar real risk azaldan tədbirlərdir.
Bitep oxucusu üçün qısa nəticə
Əgər siz Mac-də OpenAI tətbiqlərindən istifadə edirsinizsə, tətbiqləri yalnız rəsmi kanaldan yeniləyin. Əgər siz developer və ya DevOps komandasındasınızsa, bu hadisəyə sadəcə xəbər kimi baxmayın. Öz CI/CD workflow-larınızda floating tag, secrets injection, signing mərhələsi və dependency risklərini yenidən yoxlamaq üçün yaxşı fürsətdir.
Nəticə
OpenAI-nin Axios supply chain insidentinə reaksiyası göstərir ki, müasir təhlükəsizlik problemləri artıq yalnız server və ya son istifadəçi cihazı səviyyəsində deyil. Build pipeline, package ekosistemi və signing infrastrukturu da eyni dərəcədə kritikdir. İstifadəçilər üçün praktik mesaj sadədir: macOS OpenAI tətbiqlərini rəsmi kanal üzərindən yeniləyin. Komandalar üçün isə daha böyük mesaj budur: CI/CD təhlükəsizliyi artıq əlavə mövzu deyil, əsas mövzudur.
Mənbələr:
OpenAI, “Our response to the Axios developer tool compromise”, 10 aprel 2026
Google Cloud threat intelligence qeydi, OpenAI-nin link verdiyi broader industry incident istinadı