OpenAI 应用遭供应链攻击，用户必须立即更新

就在上周，OpenAI 发布了一则紧急安全通告：旗下 macOS 应用（包括 ChatGPT）因依赖了一个被黑的第三方库 Axios，可能面临潜在风险。这不是一次直接入侵，而是一场典型的“供应链攻击”——黑客没有碰你的电脑，却在你每天用的工具里藏了毒。

攻击的源头是 npm（Node.js 的包管理平台）。Axios 是一个被全球数百万开发者依赖的 HTTP 请求库，几乎每个用 JavaScript 或 Node.js 开发的项目都可能用到它。上周，黑客成功劫持了 Axios 在 npm 上的官方账户，篡改了代码，并悄悄植入了恶意脚本。更狡猾的是，他们还修改了账户绑定的邮箱，让原开发者彻底失去控制权。

这个恶意代码一旦被安装，会在用户设备上执行一系列隐蔽操作：窃取环境变量、读取本地文件、甚至尝试连接远程服务器获取更多权限。虽然 OpenAI 强调目前“没有证据表明用户数据被泄露、系统被入侵或代码被篡改”，但他们的应对非常果断——立即发布新版本，强制更新安全证书，并要求所有 macOS 用户立刻升级。

你该怎么做？三步搞定

别等通知，也别觉得“我用的只是聊天工具，不会中招”。这次攻击影响的是你安装的每一个 OpenAI 官方应用。以下是必须立刻执行的操作：

1. 打开 ChatGPT 或其他 OpenAI macOS 应用，点击左上角 “ChatGPT” 菜单 → “检查更新”。
2. 确认版本号不低于 1.30.0（截至发稿，最新版为 1.31.1）。旧版本仍可能携带恶意依赖。
3. 如果没弹出更新提示，直接前往官网下载最新版：https://chat.openai.com/download

别通过 App Store 更新——OpenAI 的 macOS 应用目前不通过 App Store 分发，官方渠道才是唯一安全来源。

为什么这次攻击特别危险？

供应链攻击最可怕的地方，不是它多厉害，而是你根本想不到。

你信任 Axios，因为它是开源社区里最常用的库之一；你信任 OpenAI，因为它是大公司；你信任你的电脑，因为“我从没点过奇怪链接”。但黑客正是利用这种信任——他们不攻击你，他们攻击你信任的工具。

据安全公司 Sonatype 统计，2023 年全球 npm 包中超过 12% 曾被植入恶意代码，其中 70% 以上是通过劫持账户实现的。Axios 并非孤例：2022 年，另一个热门库 “coa” 被黑后，导致 1700 万个下载量的项目受影响；2023 年，React Native 的一个依赖包也被植入挖矿脚本。

这不是“技术圈的事”，这是每个用软件的人都可能踩的雷。

未来怎么防？记住这三条

• 定期更新所有应用，尤其是开发者工具、AI 客户端、代码编辑器。
• 别忽略更新提示，哪怕只是“小版本修复”。
• 用官方渠道下载，别从第三方网站或论坛找安装包。

OpenAI 的反应算快，但漏洞已经存在了几天。现在，时间就是安全。打开你的 Mac，检查更新——就现在。