Bengaluru थर्ड-पार्टी वल्नरेबिलिटी का खुलासा
बेंगलुरु OpenAI ने शुक्रवार को कहा कि उसे Axios नाम के एक थर्ड-पार्टी डेवलपर टूल से जुड़े एक सिक्योरिटी इशू का पता चला है और वह उस प्रोसेस को प्रोटेक्ट करने के लिए कदम उठा रहा है जो उसके macOS एप्लिकेशन को असली OpenAI ऐप के तौर पर सर्टिफ़ाई करता है।
ChatGPT बनाने वाली कंपनी ने कहा कि उसे इस बात का कोई सबूत नहीं मिला कि उसके यूज़र डेटा को एक्सेस किया गया था, उसके सिस्टम या इंटेलेक्चुअल प्रॉपर्टी से कॉम्प्रोमाइज़ किया गया था, या उसके सॉफ़्टवेयर में कोई बदलाव किया गया था।
* कंपनी ने कहा कि वह अपने सिक्योरिटी सर्टिफ़िकेशन को अपडेट कर रही है, जिसके तहत सभी macOS यूज़र्स को अपने OpenAI ऐप को लेटेस्ट वर्शन में अपडेट करना होगा ताकि किसी के नकली ऐप बांटने की कोशिश के किसी भी रिस्क को रोका जा सके।
* OpenAI के मुताबिक, Axios, जो एक बहुत ज़्यादा इस्तेमाल होने वाली थर्ड-पार्टी डेवलपर लाइब्रेरी है, 31 मार्च को कॉम्प्रोमाइज़ हो गई थी, जो नॉर्थ कोरिया से जुड़े माने जाने वाले एक्टर्स द्वारा एक बड़े सॉफ़्टवेयर सप्लाई चेन अटैक का हिस्सा था।
* इस अटैक के कारण OpenAI द्वारा इस्तेमाल किया गया GitHub Actions वर्कफ़्लो Axios के 'मैलिशियस' वर्शन को डाउनलोड और एक्ज़ीक्यूट करने के लिए इस्तेमाल किया गया। इस वर्कफ़्लो के पास एक सर्टिफ़िकेट और नोटराइज़ेशन मटीरियल का एक्सेस था, जिसका इस्तेमाल macOS एप्लिकेशन्स को साइन करने के लिए किया जाता था, जिसमें ChatGPT डेस्कटॉप, Codex, Codex-cli, और Atlas शामिल हैं।* OpenAI ने कहा कि इस घटना के उसके एनालिसिस से यह नतीजा निकला कि इस वर्कफ़्लो में मौजूद साइनिंग सर्टिफ़िकेट को शायद 'मैलिशियस' पेलोड ने सफलतापूर्वक एक्सफ़िल्ट्रेट नहीं किया था।
* ChatGPT मेकर ने कहा कि 8 मई से, OpenAI के macOS डेस्कटॉप ऐप्स के पुराने वर्शन को अब अपडेट या सपोर्ट नहीं मिलेगा, और हो सकता है कि वे काम न करें।
* कंपनी ने कहा कि पासवर्ड और OpenAI API कीज़ पर थर्ड-पार्टी सिक्योरिटी इशू का कोई असर नहीं पड़ा, और सिक्योरिटी इशू का असली कारण GitHub Actions वर्कफ़्लो में मिसकॉन्फ़िगरेशन था, जिसे ठीक कर दिया गया है।
