الخلل الأمني، الذي تم اكتشافه يوم 31 مارس، يتعلق بهجوم على سلسلة توريد البرمجيات استهدف أداة طرف ثالث تُعرف باسم Axios، وهي أداة أساسية يعتمد عليها المطورون بكثرة. تستخدم OpenAI أداة Axios للتأكد من أن تطبيقاتها على نظام macOS أصلية، مما يعني أن استهداف هذه الأداة قد يفتح الباب أمام مشاكل في آلية التحقق من سلامة التطبيقات.

على الرغم من تأكيد OpenAI أن بيانات المستخدمين لم يتم اختراقها وأن أنظمتها وملكيتها الفكرية آمنة، إلا أنها شددت على ضرورة التحديث الفوري للتطبيقات. تعمل الشركة حالياً على تحديث شهادات الأمان الخاصة بتطبيقاتها، وتنصح المستخدمين بتحميل التحديثات من داخل التطبيق أو عبر الروابط الرسمية فقط لتجنب الوقوع ضحية للتطبيقات المزيفة. التطبيقات المتأثرة تشمل ChatGPT Desktop، Codex، Codex CLI، و Atlas.

الهجوم استغل نظام بناء التطبيقات الآلي الخاص بـ OpenAI، الذي يعتمد على GitHub Actions، حيث قام بتحميل نسخة مصابة من Axios أدت إلى تنفيذ كود مخترق. ورغم أن المهاجمين لم يتمكنوا من سرقة الشهادات التي تثبت موثوقية التطبيقات، قررت OpenAI إيقاف الشهادات القديمة كإجراء احترازي واستبدالها بأخرى جديدة. هذا يعني أن الإصدارات القديمة من التطبيقات لن تتلقى أي تحديثات أو دعماً وستتوقف عن العمل بعد 8 مايو 2026.

طمأنت OpenAI المستخدمين بأن كلمات المرور ومفاتيح API لم تتأثر، وبالتالي لا داعي لتغييرها. كما أكدت أن الهجوم لم يمس التطبيقات العاملة على أنظمة أخرى كأندرويد، ويندوز، أو لينكس. مع حظر الشهادات القديمة، قد يمنع نظام macOS تحميل أو تشغيل بعض التطبيقات، لذا منحت الشركة المستخدمين مهلة 30 يوماً لتحديث تطبيقاتهم عبر آلية التحديث المدمجة لضمان استمرار عملها.