Dijital alanda siber güvenlik tehditleri giderek daha karmaşık ve yıkıcı bir hal alıyor. Özellikle devlet destekli aktörlerin dışarıdan müdahaleleri, yazılım tedarik zincirlerini hedef alarak büyük teknoloji firmalarını ve milyonlarca kullanıcıyı tehlikeye atıyor. Bu tür saldırılar, tek bir zayıf noktayı ele geçirerek tüm ekosistemi etkileyebiliyor. Bu bağlamda OpenAI, ChatGPT’nin geliştiricisi olarak önemli bir durumu kamuoyuna duyurdu. Şirket, üçüncü taraf geliştirici aracı Axios üzerinden gerçekleşen bir saldırıyı tespit ettiğini ve macOS uygulamalarının kod imzalama sürecinde bir risk oluştuğunu bildirdi.
OPENAI GÜVENLİK SORUNUNU AÇIKLADI
OpenAI, resmi açıklamasında Axios adlı üçüncü taraf geliştirici kütüphanesinde bir güvenlik sorunu tespit ettiğini belirtti. Sorunun, macOS uygulamalarının meşruiyetini doğrulayan sertifika sürecini etkilediği, ancak kullanıcı verilerine erişim sağlanmadığı, sistemlerin veya fikri mülkiyetin ele geçirilmediği ve yazılımların değiştirilmediği vurgulandı.
ZAAFİYET NASIL OLUŞTU?
Olay, 31 Mart 2026 tarihinde Axios’un Kuzey Kore bağlantılı aktörler tarafından gerçekleştirilen geniş çaplı bir yazılım tedarik zinciri saldırısına maruz kalmasıyla başladı. OpenAI’nin GitHub Actions iş akışında kullanılan bu kütüphanenin kötü niyetli bir versiyonu (1.14.1) indirilip çalıştırıldı. Söz konusu iş akışı, ChatGPT Desktop, Codex, Codex-cli ve Atlas gibi macOS uygulamalarının imzalama sertifikası ile noterleştirme materyallerine erişim hakkına sahipti.
İMZA SERTİFİKASI ELE GEÇİRİLEMEDİ
OpenAI’nin yaptığı detaylı inceleme sonucunda, GitHub Actions iş akışındaki imzalama sertifikasının kötü niyetli yük tarafından başarıyla dışarıya sızdırılmadığı belirlendi. Ancak şirket, olası riskleri tamamen ortadan kaldırmak amacıyla güvenlik sertifikalarını güncellemeye başladı ve tüm macOS kullanıcılarını OpenAI uygulamalarını en son sürüme yükseltmeye çağırdı.
UYGULAMALARINIZI HEMEN GÜNCELLEYİN!
OpenAI, 8 Mayıs 2026 itibarıyla eski macOS masaüstü uygulama sürümlerinin güncelleme almayacağını, desteğin sona ereceğini ve işlevselliğin sınırlanabileceğini duyurdu. Bu önlem, olası sahte uygulama dağıtım girişimlerine karşı alınmaktadır. Kullanıcıların resmi kanallar üzerinden en güncel sürümleri indirmeleri büyük önem taşımaktadır.
ŞİFRELER VE API ANAHTARLARI ETKİLENMEDİ
OpenAI, saldırının kullanıcı şifreleri veya OpenAI API anahtarlarını etkilemediğinin altını çizdi. Olayın temel nedeninin GitHub Actions iş akışındaki bir yanlış yapılandırma olduğu ve bu sorunun giderildiği de resmi açıklamada ifade edildi.
Şirket, sertifika sürecini güçlendirmek, GitHub Actions iş akışlarını yeniden yapılandırmak ve macOS uygulamalarının genel güvenliğini artırmak için kapsamlı önlemler alıyor. Kullanıcıların en güncel sürümleri kullanması, dijital güvenlik açısından önemli bir adım olarak öne çıkıyor.
