文章总结： OpenAI确认遭遇TanStack供应链攻击，攻击者通过污染的开源库入侵员工设备窃取部分源代码仓库凭证和代码签名证书。公司已启动证书轮换并要求macOS用户在6月12日前更新应用，事件暴露软件供应链系统性风险，凸显第三方组件安全验证与CI/CD零信任加固的紧迫性。 综合评分： 87 文章分类： 供应链安全,漏洞分析,安全大事件,应急响应,解决方案

OpenAI证实遭遇TanStack供应链攻击，代码签名证书紧急轮换

原创

网空闲话 网空闲话

网空闲话plus

2026年5月15日 07:08 北京

在小说阅读器读本章

去阅读

2026年5月13日，OpenAI发布安全公告，首次证实其在业界震动未消的“Mini Shai-Hulud”软件供应链攻击中遭遇波及。攻击者通过被植入恶意代码的广泛使用开源库TanStack npm，入侵了OpenAI内部两台员工设备，并成功窃取部分源代码仓库的访问凭证，迫使公司启动大规模证书轮换与安全加固响应。这是继Axios事件后，又一起凭借开源软件供应链对顶级科技企业实施精确打击的标志性案例。

攻击路径：从上游开源组件失守到内部渗透

事件的根源是一条设计精密、环环相扣的软件供应链攻击链。2026年5月11日（UTC时间），由勒索团伙“TeamPCP”主导的“Mini Shai-Hulud”攻击行动进入公众视野。攻击初始阶段，黑客瞄准了广受开发者信赖的TanStack及Mistral AI的软件包，在其中秘密注入恶意代码。根据TanStack事后发布的复盘报告，攻击者滥用其GitHub Actions工作流与CI/CD配置中的弱点，执行恶意指令，从内存中直接提取访问令牌，进而通过TanStack的正常发布管道，将带有后门的恶意版本当作合法更新悄然推送。

此手法极其隐蔽且高效，导致恶意包披着合法外衣通过官方仓库分发。Socket与Aikido安全机构的追踪显示，这场攻击后续利用窃取的GitHub和npm凭证，劫持其他项目维护者账户，向软件包压缩包中注入恶意载荷，最终扩散至UiPath、Guardrails AI、OpenSearch等众多项目，受污染的npm与PyPI包总数高达数百个。

OpenAI的声明与第三方科技媒体Bleeping Computer于5月14日的报道交叉证实，两台位于企业环境的员工设备因下载上述污染包而遭入侵。一个不容忽视的技术细节是，OpenAI坦言，在经历“Axios事件”后，公司已加速部署一系列强化型供应链安全控制——包括对CI/CD管道中的敏感凭证进行加固、在包管理器中应用minimumReleaseAge等锁定策略，以及部署验证新包来源的额外安全软件。然而，此次事件恰发生于这些控制措施的分阶段推广期内，两台受影响的设备尚未接收到更新后的安全配置，因而未能阻断恶意包的下载。这一部署时间差，成为了攻击者撕开防护的关键缝隙。

影响评估：凭证窃取范围有限，但触及高价值目标

攻击造成的直接影响呈现出“范围有限但目标精准”的特点。OpenAI调查后确认，在两台受侵设备上观察到与恶意软件公开行为一致的活动：在员工有权访问的“有限子集内部源代码仓库”中，出现未经授权的访问及以凭证为中心的数据窃取行为。公司确切声明，“仅有限的凭证材料被成功窃取”，且经分析，没有发现这些凭证被滥用或攻击者实施后续横向移动的证据。更为关键的是，OpenAI强调目前没有任何迹象显示用户数据、生产系统、知识产权或已部署软件遭受访问或篡改。

然而，失窃凭证中囊括了一项高价值核心资产——用于签署OpenAI旗下全系产品（包括macOS、Windows、iOS及Android）的代码签名证书。虽然迄今为止，未发现攻击者利用这些证书签署任何恶意软件的迹象，但其暴露本身已构成严峻的潜在供应链风险。一旦被恶意分子用于签署伪造的OpenAI应用，即可绕过操作系统安全信任机制，直接向用户设备投递恶意软件。

对此，OpenAI采取了两项并行的遏制措施：其一，与平台方紧密协调，立即停止利用受影响证书进行的任何新软件公证，这意味着任何冒充OpenAI的应用若使用该证书，将因缺乏公证而在macOS上被默认拦截，除非用户自行绕过安全保护；其二，启动全平台证书轮换程序。

应对举措与用户行动：macOS用户必须于6月12日前完成更新

此轮响应中最直接影响用户的措施，是要求所有macOS用户必须在2026年6月12日之前，将OpenAI旗下的桌面应用更新至最新版本。涉及的具体旧版本包括：ChatGPT Desktop 1.2026.125、Codex App 26.506.31421、Codex CLI 0.130.0 以及 Atlas 1.2026.119.1。一旦证书于6月12日正式吊销，这些旧版本应用的新下载和首次启动将被macOS安全机制直接阻止，应用也将无法继续接收更新。Windows与iOS用户则无需采取任何操作。

为何不立即吊销证书？OpenAI在FAQ中给出了审慎的解释：在已阻断新软件公证、全面审核过往公证记录确认无异常软件签署、并核实已发布软件未被篡改的前提下，设置一个过渡窗口，旨在将用户业务中断风险降至最低，使其可通过内置更新机制平稳完成修复。同时，公司正与合作伙伴持续监控任何可能的证书滥用迹象，并明确警告，若在此窗口期内发现恶意活动，将立即加速执行证书吊销。

深层反思：软件供应链已成为系统性风险敞口

此次事件，是OpenAI在经历Axios事件、加速推进安全基础设施建设过程中遭遇的又一次真实攻防检验，也印证了其在声明末尾对宏观威胁趋势的判断：攻击者正越来越多地将目标锁定在共享软件依赖关系和开发工具链本身，而非任何单一企业。

“现代软件构建在一个由开源库、包管理器、CI/CD基础设施深度交织的生态之上，这意味着上游引入的一处漏洞，便能广泛且迅速地跨组织传播。”OpenAI的这段评论，点出了问题的本质。

本次攻击中，“Mini Shai-Hulud”恶意软件展现出的技术特性，进一步加重了此类担忧。其设计目标明确指向窃取开发者与云环境凭据，涵盖GitHub令牌、npm发布令牌、AWS凭证、Kubernetes机密、SSH密钥及.env环境变量文件。在建立持久化方面，其手段尤为狡诈：通过篡改Claude Code钩子及VS Code的自动运行任务，确保即便恶意包被移除，后门程序仍可存活。微软威胁情报部门还进一步发现，该恶意软件在Linux平台上会针对运行俄语软件的系统释放信息窃取工具，甚至内嵌了一个破坏性组件，会在某些位于以色列或伊朗的系统上随机执行递归式擦除命令。

结论

OpenAI对TanStack供应链攻击事件的证实，堪称一起教科书式的“上游失陷，下游遭殃”现代软件供应链安全事件。它清晰无误地表明，即便拥有顶级安全资源的行业翘楚，也无法在由海量开源组件编织的复杂依赖网络中独善其身。此事件不仅向所有OpenAI macOS应用用户发布了一项具体、紧迫的更新指令，更向整个科技产业再次鸣响警钟：在深度拥抱开源协作体系、享受创新红利的同时，对第三方组件完整性、软件物料来源的密码学验证，以及对CI/CD流程的零信任安全加固，已从可选项升格为生存的基石。OpenAI在此次事件全程展现出的相对透明与果断的应急姿态值得肯定，但其暴露于安全管控分阶段部署缺口中的教训，对所有依赖开源基础设施前行的组织而言，无疑是一份沉甸甸的镜鉴。

参考文献

1. OpenAI. (2026, May 13). Our response to the TanStack npm supply chain attack. Retrieved from https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack/
2. Abrams, L. (2026, May 14). OpenAI confirms security breach in TanStack supply chain attack. Bleeping Computer. Retrieved from https://www.bleepingcomputer.com/news/security/openai-confirms-security-breach-in-tanstack-supply-chain-attack/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《OpenAI证实遭遇TanStack供应链攻击，代码签名证书紧急轮换》