OpenAI, Axios tedarik zinciri açığını doğruladı; kullanıcı verisi yok

OpenAI, şirket içi bir geliştirme aracı zincirinde Axios adlı üçüncü taraf kütüphanede kötü amaçlı bir güncelleme tespit ettiğini ve bunun macOS uygulamalarının imzalanmasında kullanılan otomatik iş akışını etkilediğini duyurdu. Şirket yaptığı açıklamada, tespit edilen sorunun yazılım tedarik zinciri saldırısının bir parçası olduğunu ve olayın kapatıldığını belirtti.

Olayın ayrıntılarına göre, Axios paketinin 31 Mart 2026 (UTC) tarihinde yayımlanan kötü amaçlı bir sürümü, OpenAI’nin GitHub Actions tabanlı macOS imzalama iş akışı tarafından indirilip çalıştırıldı; bu iş akışı, ChatGPT Desktop, Codex ve diğer bazı macOS uygulamalarını doğrulayan imza ve noterleştirme materyallerine erişebiliyordu. OpenAI, yaptığı analizde kötü amaçlı yükün bu sertifikayı başarılı biçimde dışarı çıkarmış olduğuna dair kanıt bulamadığını, ancak temkinli davranıp ilgili sertifikayı iptal ederek yenilediklerini açıkladı. Reuters ve şirketin resmi mesajı olaydaki tarih ve teknik detayları doğruluyor.

Gelişme, doğrudan kullanıcı hesap verilerinin ele geçirildiğine dair bir gösterge olmaması nedeniyle sınırlı bir güvenlik olayı olarak değerlendiriliyor; OpenAI, parola, API anahtarı, ödeme bilgisi ve hükümet kimliği gibi hassas verilerin etkilenmediğini belirtti. Yine de, açığın uygulama imzalama sürecini hedeflemesi; kötü niyetli yazılımların sahte “meşru” OpenAI uygulamaları gibi görünmesini sağlayabilecek bir risk doğuruyor. Bu nedenle şirket, macOS kullanıcılarını uygulamalarını güncellemeye ve desteklenmeyen eski sürümlere dikkat etmeye çağırdı.

Olay, son dönemde artan tedarik zinciri saldırılarının teknoloji şirketleri üzerinde yarattığı riskin yeni bir örneğini oluşturuyor. Yazılım geliştirme süreçlerinde üçüncü taraf açık kaynak bileşenlerinin yaygın kullanımı, tek bir kötü amaçlı güncellemenin geniş çapta etkili olmasını mümkün kılıyor. Sektör gözlemcileri, güvenlik araçlarının ve CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) iş akışlarının sıkılaştırılmasının, sabitlenmiş sürüm imzalarının ve daha iyi yayımlama mutabakatının önemini yeniden vurguladığını belirtiyor.

Analistler, OpenAI’nin hızlı açıklaması ve sertifika yenileme adımlarının piyasa güvenini sınırlı düzeyde koruyabileceğini, ancak uzun vadede tedarik zinciri güvenliği konusunun hem büyük teknoloji şirketleri hem de kurumsal yatırımcılar için daha belirleyici hale geleceğini söylüyor. Önümüzdeki dönemde benzer olayların denetim ve regülasyon gündeminde yer alması, kurumsal güvenlik harcamalarında artış ve yazılım teslim süreçlerinde standartlaşma beklentileri öne çıkıyor. OpenAI’nin olayın kök nedenine dair devam eden üçüncü taraf adli inceleme sonuçlarını paylaşması bekleniyor.