Вредоносный коммит от имени Claude скомпрометировал устройства сотрудников OpenAI

OpenAI подтвердила инцидент в своей инфраструктуре: два устройства сотрудников были скомпрометированы в результате атаки на цепочку поставок программного обеспечения. По данным компании, злоумышленники внедрили вредоносный код в одну из версий популярной библиотеки с открытым исходным кодом TanStack, используемой для веб-разработки.

Атака примечательна тем, что вредоносный коммит был подписан от имени Claude — ИИ-агента, созданного конкурирующей компанией Anthropic. Это, по версии экспертов, может свидетельствовать о попытке дискредитировать репутацию разработчика или направить подозрения в его сторону.

В результате инцидента злоумышленники получили доступ к двум компьютерам сотрудников OpenAI. Тем не менее, компания подчеркивает, что данные пользователей, production-системы и исходный код ее продуктов затронуты не были. Атака была обнаружена и пресечена до того, как могла нанести серьезный ущерб.

В качестве превентивной меры OpenAI обязала всех пользователей macOS обновить свои установки ChatGPT, Codex и браузер Atlas до 12 июня. Компания рекомендует также проверить целостность используемых библиотек и обновить их до актуальных версий.

Инцидент в очередной раз привлек внимание к уязвимостям в цепочках поставок открытого ПО. Эксперты отмечают, что библиотеки с открытым кодом часто становятся мишенями из-за широкого распространения и доверия со стороны разработчиков. Подобные атаки могут быть сложными для обнаружения, особенно если вредоносный код маскируется под легитимные изменения.

OpenAI заявила, что продолжает расследование инцидента и усиливает меры безопасности. Компания призывает разработчиков проявлять бдительность при использовании сторонних компонентов и проверять их подлинность.