OpenAI 於 2026 年 5 月 13 日發布安全更新,回應 TanStack npm 供應鏈攻擊。這宗事件值得人工智能團隊留意,因為它不是一般產品漏洞,而是直接碰到現代開發流程最脆弱的一層:開源依賴、套件管理器、持續整合及部署、簽署憑證和開發者裝置。
OpenAI 表示,TanStack 在 2026 年 5 月 11 日 UTC 被捲入一宗名為 Mini Shai-Hulud 的大型軟件供應鏈攻擊。OpenAI 內部有兩部員工公司環境裝置受影響,調查發現活動與公開描述的惡意軟件行為一致,包括未授權存取,以及針對憑證的外洩行為。
OpenAI 同時強調,未發現用戶資料被存取,亦未發現生產系統或知識產權被攻破,軟件本身亦沒有被修改。受影響範圍包括兩名員工可存取的有限內部程式碼庫,成功外洩的亦只是有限憑證資料。OpenAI 表示已隔離受影響系統和身份、撤銷登入狀態、輪換相關程式碼庫憑證,並暫時收緊程式碼部署流程。
事件最直接影響,是 OpenAI 會輪換程式碼簽署憑證。由於受影響的程式碼庫包括產品簽署憑證,OpenAI 將重新簽署旗下應用程式,並要求 macOS 用戶在 2026 年 6 月 12 日前更新 ChatGPT 桌面版、Codex 應用程式、Codex CLI 和 Atlas。Windows 和 iOS 用戶則不需要採取行動。
OpenAI 亦表示,已與平台供應商協調,停止使用舊憑證進行新的公證程序,並檢查過去使用舊憑證的公證記錄。OpenAI 表示未發現有非預期軟件被簽署,亦未發現已發布軟件遭未授權修改。到 6 月 12 日舊憑證完全撤銷後,macOS 安全保護會封鎖使用舊憑證簽署的新下載和啟動。
這宗事件對人工智能代理和開發工具特別重要。近期 OpenAI、GitHub、Anthropic 等公司都在把程式開發代理推向更長時間、更多自動化和更深程式碼庫存取的方向。當代理可以讀取程式碼庫、執行指令、連接遠端環境和參與持續整合流程,供應鏈安全就不再只是安全團隊的背景議題,而是代理工作流程的基本前提。
OpenAI 提到,在較早前 Axios 事件之後,已加快部署多項控制措施,包括強化持續整合及部署流程內的敏感憑證資料、使用 minimumReleaseAge 等套件管理設定,以及加入可驗證新套件來源的安全軟件。今次受影響的兩部裝置尚未完成相關部署,正好說明分階段推出安全設定時,中間的空窗期會被供應鏈攻擊放大。
更大的啟示是,現代軟件和人工智能工具已經高度依賴互相連接的開源函式庫、套件管理器和持續部署基礎設施。攻擊者不一定要直接攻破某間公司;只要污染上游依賴,就可能快速傳播到多個組織。對任何準備導入人工智能程式開發代理或自動化開發流程的團隊而言,依賴來源驗證、憑證隔離、簽署發布、最小權限和人手審批關卡,已經是交付能力的一部分。
