أوبن أي آي تسحب شهادة توقيع ماك بعد حادث Axios

شهادة توقيع ماك لدى أوبن أي آي أصبحت محور الجدل بعد حادث Axios، والشركة تؤكد عدم اختراق بيانات المستخدمين وتبدأ تدوير الشهادة.

لماذا سحبت أوبن أي آي شهادة توقيع ماك؟

أوضحت أوبن أي آي أن سير عمل GitHub Actions الخاص بتوقيع تطبيقات macOS قام في 31 مارس بتحميل Axios 1.14.1 قبل اكتشاف التلاعب. ووفقاً لتقرير تيكبامين، كان هذا السير يمتلك مواد التوثيق اللازمة لتوقيع تطبيقات ChatGPT Desktop وCodex وAtlas.

كيف دخلت المكتبة الخبيثة إلى السلسلة؟

مجموعة استخبارات التهديدات في جوجل نسبت الاختراق إلى جهة تتبعها باسم UNC1069. الهجوم تم عبر السيطرة على حساب مطور الحزمة في npm ودفع نسخ مسمومة.

• الإصداران الملوثان: Axios 1.14.1 و0.30.4.
• التبعية الخبيثة: plain-crypto-js التي مهدت للحمولة.
• الباب الخلفي: WAVESHAPER.V2 أصاب Windows وmacOS وLinux.

تُستخدم Axios على نطاق واسع في مشاريع JavaScript، لذا فإن أي تلاعب بها قد ينتشر بسرعة إلى سلاسل بناء متعددة. هذا يوضح كيف يمكن لثغرة واحدة في مكتبة شائعة أن تؤثر على عمليات التوقيع عبر خدمات سحابية.

ما تأثير القرار على مستخدمي تطبيقات ماك؟

رغم عدم وجود دليل على تسريب بيانات أو تعديل برمجي، تعاملت الشركة مع الشهادة كأنها مخترقة وقررت سحبها وتدويرها. واعتباراً من 8 مايو 2026 لن تحصل النسخ الأقدم على تحديثات أو دعم رسمي.

ما التطبيقات التي كانت موقعة بالشهادة؟

• ChatGPT Desktop.
• Codex.
• Codex CLI.
• Atlas.

التطبيقات الموقعة بالشهادة القديمة ستُحجب افتراضياً من حماية macOS، ما يعني أن التنزيل أو التشغيل قد يُمنع دون تحديث. لذلك توصي الشركة بالانتقال إلى الإصدارات الأحدث حال توفرها.

ما الذي يجب على المستخدمين فعله الآن؟

تحديث التطبيق وحده ليس كافياً إن كانت النسخة قديمة جداً أو خارج الدعم. من الأفضل إعادة تنزيل النسخ الحديثة من القنوات الرسمية لضمان التوقيع الجديد.

• تحديث التطبيق إلى أحدث إصدار متاح.
• التحقق من رقم النسخة وتاريخ الإصدار.
• إزالة أي نسخ قديمة غير مدعومة.

كيف يرتبط اختراق Axios بسلسلة التوريد؟

جوهر المخاوف أن المهاجم، لو حصل على شهادة توقيع ماك، يستطيع توقيع برمجياته لتبدو رسمية، وهو قلب هجمات سلسلة التوريد. تحليل أوبن أي آي رجّح أن استخراج الشهادة لم ينجح بسبب توقيت التنفيذ وطريقة إدخال الشهادة داخل المهمة.

• توقيت تشغيل الحمولة قبل إضافة الشهادة.
• حقن الشهادة لاحقاً في خطوات البناء.
• تسلسل المهمة حد من فرص الوصول.

الدرس الأهم أن أدوات البناء الأوتوماتيكية تحتاج إلى مراقبة أعمق للملحقات الخارجية. الشركات الكبرى بدأت تراجع أذونات خطوط التكامل المستمر وتقيّد وصولها للمواد الحساسة.

ما الخطوات التي اتخذتها أوبن أي آي مع آبل؟

ضمن إجراءات المعالجة، تعمل أوبن أي آي مع آبل لمنع توثيق أي برامج جديدة بالشهادة القديمة، وتحديث مسار التوقيع تلقائياً. كما منحت فترة سماح حتى 8 مايو 2026 لتقليل الإرباك للمستخدمين والمؤسسات.

وتشير تيكبامين إلى أن تحديث التطبيقات فوراً يضمن استمرار الثقة لأن شهادة توقيع ماك الجديدة ستكون المعيار الوحيد على macOS. هذه الخطوة تجعل المستخدمين أكثر أماناً وتقلل فرص استغلال مشابه مستقبلاً.