OpenAI rotuje certifikát po útoku na Axios. Mac aplikace přestanou fungovat 8. května
Útočníci pravděpodobně napojení na Severní Koreu kompromitovali populární JavaScriptovou knihovnu Axios verze 1.14.1 a použili ji k pokusu o krádež signing certifikátu, kterým OpenAI podepisuje macOS aplikace ChatGPT Desktop, Codex, Codex CLI a Atlas. OpenAI revokuje certifikát 8. května 2026, kdo do té doby neaktualizuje, přestane mít funkční aplikaci.
Tento článek vznikl zpracováním veřejně dostupných zdrojů pomocí AI nástrojů. Každý text se snažím přečíst a věcně zkontrolovat, ale ne vždy to zvládnu. Prosím, berte na to ohled a informace si ověřujte v původních zdrojích (níže).
Tento článek vznikl zpracováním veřejně dostupných zdrojů pomocí AI nástrojů. Každý text se snažím přečíst a věcně zkontrolovat, ale ne vždy to zvládnu. Prosím, berte na to ohled a informace si ověřujte v původních zdrojích (níže).
Útočníci pravděpodobně napojení na Severní Koreu kompromitovali populární JavaScriptovou knihovnu Axios verze 1.14.1 a použili ji k pokusu o krádež signing certifikátu, kterým OpenAI podepisuje macOS aplikace ChatGPT Desktop, Codex, Codex CLI a Atlas. OpenAI revokuje certifikát 8. května 2026, kdo do té doby neaktualizuje, přestane mít funkční aplikaci.
Tři dny zbývají k tvrdému deadline. V pátek 8. května 2026 OpenAI revokuje signing certifikát svých macOS aplikací, ChatGPT Desktop, Codex, Codex CLI a Atlas. Po tom datu macOS Gatekeeper zablokuje spuštění starších verzí. Uživatelé, kteří aplikace neaktualizují přes oficiální OpenAI download stránku, se ráno 9. května podívají na zhroucené ikony.
OpenAI vydal vlastní disclosure 11. dubna na svém X účtu:
We recently identified a security issue involving the third-party developer library Axios that was part of a broader industry incident. We found no evidence that OpenAI user data was accessed, that our systems were compromised, or that our software was altered. Out of an Show more
Důvod je supply-chain attack popsaný v oficiálním OpenAI security postu. 31. března 2026 byl kompromitován GitHub repository balíčku Axios, široce používané JavaScript knihovny pro HTTP requests. Útočníci nahráli verzi 1.14.1 obsahující malicious payload, která se cílila konkrétně na build pipeline. Cesta vedla skrze GitHub Actions workflow, kterým OpenAI signoval své macOS aplikace.
📚 Co je supply-chain attack
Útok, kdy se kompromituje ne přímo cílová organizace, ale komponenta, kterou cílová organizace používá. Tady to byla open-source knihovna v package manageru npm. Pokud důvěřujete dependence, automaticky důvěřujete i tomu, kdo ji vyrábí. Když útočník unese tu dependency, dostane se do tisíců projektů najednou. Klasický případ z roku 2020, SolarWinds. Klasický případ z roku 2026, Axios.
Co se stalo technicky
GitHub Actions workflow měl přístup k certifikátu a notarization material, kterými se podepisuje signed macOS binary. Když workflow stáhl Axios 1.14.1, malicious code se pokusil exfiltrovat tato secrets. OpenAI bezpečnostní tým zachytil anomálii v telemetrii a započal incident response.
Analýza provedená OpenAI a forensními partnery dospěla k závěru, že certifikát „pravděpodobně nebyl úspěšně exfiltrován", timing payload execution, sequencing jobu a další faktory hrály ve prospěch defense. Ale „pravděpodobně" není „určitě". OpenAI proto rozhoduje považovat certifikát za kompromitovaný a rotovat ho.
Pokud by certifikát byl skutečně ukraden, útočník by mohl podepisovat vlastní malware, který by macOS považoval za legitimní OpenAI software. To je nightmare scenario pro každou platformu, uživatel stáhne „update" a místo ChatGPT dostane keylogger se signed binary.
Atribuce: Severní Korea
Bezpečnostní výzkumníci atribuovali kompromitaci Axios skupinám napojeným na Severní Koreu. Modus operandi sedí, Lazarus Group a její odvozeniny dlouhodobě cílí na supply chain v open source. V roce 2024 stál podobný útok skupiny ZINC kompromitaci npm balíčku ua-parser-js. V 2023 to byl 3CX desktop client.
Cíl není sabotáž. Cíl je kapitál. Severokorejské skupiny systematicky drancují kryptopeníze a citlivá data, která pak vyměňují za kapitál pro režim. OpenAI signing certificate by byl strategický asset, umožnil by ho monetizovat skrze targeted attacks na konkrétní cíle, které OpenAI ekosystém používají (vývojáři, podniky, vlády).
Kdo musí jednat, a co konkrétně
Každý uživatel macOS aplikací OpenAI, ChatGPT Desktop, Codex, Codex CLI, Atlas, musí do 8. května 2026 stáhnout aktuální verzi. Auto-update by měl být zapnut by default, ale ne všichni ho mají aktivní. OpenAI rozesílal email alert 29. dubna a in-app notification od té doby pokračuje denně.
Pro firemní deploymenty platí stejné pravidlo. IT týmy, které distribuují OpenAI aplikace přes MDM (Mobile Device Management), musí push aktualizovaný balíček před deadline. Po 8. květnu starý certifikát selže verifikaci, aplikace se odmítne spustit, helpdesk dostane vlnu ticketů.
⚠️ Co se stane, když to nestihnete
Aplikace se po 8. května otevře, ale macOS Gatekeeper signature check selže. Uživatel uvidí dialog „Aplikaci nelze ověřit" a aplikace skončí. Workaround neexistuje, Gatekeeper override pro signed apps není user-accessible. Jediná cesta je stáhnout novou verzi z openai.com/download, která je podepsaná novým certifikátem.
Širší implikace pro AI vendor security
OpenAI udělal incident response správně. Detection v reálném čase, rychlá komunikace, transparentní disclosure, deadline daný s dostatečným předstihem. Ale samotný fakt, že supply chain attack se dotkl největší AI laboratoře světa, je systémový signál.
Frontier AI vendors jsou nový high-value target. Anthropic, OpenAI, Google DeepMind, xAI, všichni mají tisíce dependencies v build pipeline. Každá z nich je potenciální entry point. Tento incident je „kanárek v dole", North Korean operátoři ukázali, že se umí dostat blízko ke core infrastructure AI laboratoří. Příští útok nebude na Axios. Bude na něco specifičtějšího.
To má dva přímé dopady. První, AI vendors zrychlují investice do supply chain security. SBOM (Software Bill of Materials), pinned dependencies, signed builds, hardware security modules pro signing keys. Druhý, regulátoři přicházejí s requirementy. NIS2 v Evropě a CISA v USA už dnes požadují supply chain disclosure od kritické infrastruktury. AI laboratoře v této kategorii pravděpodobně skončí do roku.
Co si z toho odnést
Tři dny do deadline. Pokud používáte macOS aplikace OpenAI, otevřete je teď a zkontrolujte verzi. Pokud máte v týmu kohokoliv, kdo používá Codex CLI nebo ChatGPT Desktop, pošlete mu link na update. Pokud spravujete firemní deployment, zítra má být ticket pro IT, ne v pondělí ráno 11. května, kdy uživatelé volají, že nic nefunguje.
A pokud řídíte security ve firmě, která buduje na OpenAI nebo Anthropic API: tohle je moment se zeptat, kolik dependencies má váš vlastní build pipeline. Axios je široce používaný. Vaše aplikace ho téměř jistě používá taky.
Zdroje
- OpenAI: Our response to the Axios developer tool compromise
- The Hacker News: OpenAI Revokes macOS App Certificate After Malicious Axios Supply Chain Incident
- Axios: OpenAI says a system downloaded infected Axios software
- 9to5Mac: OpenAI says to update Mac apps including ChatGPT and Codex
- RoboRhythms: North Korea Didn't Hack OpenAI. They Hacked Axios