OpenAI 周三证实,公司有两名员工的设备受到此次进击影响,但在随后的查询拜访中,OpenAI 在一篇博客文章中表示,没有证据注解 OpenAI 的用户数据被拜访,其临盆体系或常识产权遭到破坏,亦没有迹象显示公司软件被修改。
OpenAI 表示,这两名员工的设备是是以前针对 TanStack 的进击而遭到入侵;TanStack 是一套广泛应用的开源库,用于赞助开辟者构建 Web 应用。
本周一,TanStack 公开披露这起进击并宣布过后分析申报,称黑客在短短 6 分钟内宣布了 84 个恶意版本的软件,而一名研究人员在进击开端约 20 分钟后发明异常。
据这家人工智能企业介绍,从这些受影响的代码仓库中,只有“有限数量的凭证材料”遭到窃取。
据介绍,这些恶意版本内植入了可窃取安装情况中凭证的恶意软件,并具备自我传播才能,以便扩散至更多体系。
OpenAI 方面称,在公司内部代码库中,其“在受影响员工可拜访的一小部分内部源代码仓库中发清楚明了未经授权的拜访以及凭证被窃的情况”。
出于谨慎推敲,因为这些仓库中包含用于对 OpenAI 产品进行签名的数字证书,公司决定对相干证书进行轮换,这一举措将请求 macOS 用户更新应用法度榜样。
今朝尚不清楚是谁策划了此次针对 TanStack 的进击。
此前,一些供给链进击被归因于一个名为 TeamPCP 的黑客团伙,而这一团伙以前也曾成为其他黑客进击的目标。
OpenAI 表示,今朝“没有发明现有软件安装被攻破或面对风险的证据”。
与此同时,还有其他组织采取类似手段入侵不合项目:例如本年 3 月,朝鲜黑客劫持了广泛应用的开源开辟对象 Axios,将恶意软件经由过程该项目推送给潜在数百万名开辟者;而在 5 月,另一路进击中,中国黑客被指控经由过程类似方法,将后门植入光盘映像软件 Daemon Tools,目标是成千上万台运行该软件的 Windows 计算机。
这类进击的合营特点是,进击者并非直接锁定某一家公司,而是先攫取开源项目控制权,再以看似惯例的版本更新情势分发恶意代码。
这种策略让进击者有机会经由过程一次进击同时波及数十个目标,将风险和破坏在互联网范围内广泛扩散。
发表评论 取消回复