OpenAI 于 2026 年 5 月 13 日发布安全更新,回应 TanStack npm 供应链攻击。这宗事件值得人工智能团队留意,因为它不是一般产品漏洞,而是直接碰到现代开发流程最脆弱的一层:开源依赖、包管理器、持续集成及部署、签署凭证和开发者设备。
OpenAI 表示,TanStack 在 2026 年 5 月 11 日 UTC 被卷入一宗名为 Mini Shai-Hulud 的大型软件供应链攻击。OpenAI 内部有两部员工公司环境设备受影响,调查发现活动与公开描述的恶意软件行为一致,包括未授权访问,以及针对凭证的外泄行为。
OpenAI 同时强调,未发现用户资料被访问,亦未发现生产系统或知识产权被攻破,软件本身亦没有被修改。受影响范围包括两名员工可访问的有限内部代码库,成功外泄的亦只是有限凭证资料。OpenAI 表示已隔离受影响系统和身份、撤销登录状态、轮换相关代码库凭证,并暂时收紧代码部署流程。
事件最直接影响,是 OpenAI 会轮换代码签署凭证。由于受影响的代码库包括产品签署凭证,OpenAI 将重新签署旗下应用程序,并要求 macOS 用户在 2026 年 6 月 12 日前更新 ChatGPT 桌面版、Codex 应用程序、Codex CLI 和 Atlas。Windows 和 iOS 用户则不需要采取行动。
OpenAI 亦表示,已与平台供应商协调,停止使用旧凭证进行新的公证程序,并检查过去使用旧凭证的公证记录。OpenAI 表示未发现有非预期软件被签署,亦未发现已发布软件遭未授权修改。到 6 月 12 日旧凭证完全撤销后,macOS 安全保护会封锁使用旧凭证签署的新下载和启动。
这宗事件对人工智能代理和开发工具特别重要。近期 OpenAI、GitHub、Anthropic 等公司都在把代码开发代理推向更长时间、更多自动化和更深代码库访问的方向。当代理可以读取代码库、执行指令、连接远端环境和参与持续集成流程,供应链安全就不再只是安全团队的背景议题,而是代理工作流程的基本前提。
OpenAI 提到,在较早前 Axios 事件之后,已加快部署多项控制措施,包括强化持续集成及部署流程内的敏感凭证资料、使用 minimumReleaseAge 等包管理设定,以及加入可验证新包来源的安全软件。今次受影响的两部设备尚未完成相关部署,正好说明分阶段推出安全设定时,中间的空窗期会被供应链攻击放大。
更大的启示是,现代软件和人工智能工具已经高度依赖互相连接的开源函数库、包管理器和持续部署基础设施。攻击者不一定要直接攻破某间公司;只要污染上游依赖,就可能快速传播到多个组织。对任何准备导入人工智能代码开发代理或自动化开发流程的团队而言,依赖来源验证、凭证隔离、签署发布、最小权限和人工审批关卡,已经是交付能力的一部分。
