据 Beating 称,OpenAI 的 macOS 签名证书将于 5 月 8 日被吊销,这将使过时的 ChatGPT Desktop、Codex、Codex CLI 和 Atlas 无法正常运行,并且无法接收更新。使用 Mac 的用户应通过应用内更新立即更新,或通过从 OpenAI 官方网站下载进行更新。

吊销源于 3 月 31 日一次针对 Axios 的 npm 供应链攻击,Axios 是一个拥有超过 7000 万次每周下载量的 JavaScript HTTP 库。攻击者使用被入侵的维护者凭据发布了恶意版本,该版本植入了一个名为 plain-crypto-js 的假依赖项,它会自动下载影响 macOS、Windows 和 Linux 的远程访问木马(RAT)。微软将此次攻击归因于朝鲜的威胁行为体 Sapphire Sleet。OpenAI 的 GitHub Actions 工作流在 macOS 应用构建过程中会自动拉取恶意版本,但该公司未发现证书被盗、用户数据泄露或系统被入侵的证据。