OpenAI 证实:TanStack 供应链攻击未导致用户数据泄露,macOS 用户请尽快更新!
事件背景
近日,知名前端工具库 TanStack 遭遇供应链攻击,攻击者通过篡改其 npm 包(如 `@tanstack/react-query`)的发布流程,向部分版本中植入了恶意代码。该事件迅速引发行业关注,尤其是大量依赖 TanStack 生态的企业和开发者。作为该库的典型用户之一,OpenAI 的多个产品(包括 ChatGPT 的 Web 和桌面客户端)均使用了 TanStack 的组件,因此其安全状态成为外界焦点。
OpenAI 官方回应
OpenAI 安全团队于昨日发布公告,明确表示经过全面审计,**本次 TanStack 供应链攻击未导致任何用户数据泄露**。其内部系统对该库的集成方式经过了额外的沙箱隔离和依赖校验,恶意代码在 OpenAI 的运行时环境中未能激活,且所有用户会话、API 密钥及对话记录均保持加密状态,未受外部影响。
为何 macOS 用户需立即更新?
尽管数据安全得到确认,OpenAI 仍强烈建议所有 macOS 用户尽快将 ChatGPT 桌面客户端更新至最新版本(当前为 v1.2025.2.1)。原因在于:攻击者植入的恶意代码在 macOS 平台上具有潜在的本地提权能力,可能利用系统权限访问其他应用程序的缓存或剪贴板数据。虽然 OpenAI 自身的应用未被成功利用,但**旧版本客户端中存在一个与 TanStack 库交互时的资源路径漏洞**,该漏洞在本次攻击中被发现并已在新版本中修复。更新后,该漏洞将被彻底封堵,防止未来可能出现的本地攻击链。
行业启示与建议
此次事件再次凸显供应链安全的复杂性。对于开发者而言,应定期审计第三方依赖的完整性,启用 npm 的签名验证和 SBOM(软件物料清单)管理。对于普通用户,及时更新软件是抵御已知漏洞最有效的手段。OpenAI 的快速响应和透明披露也为行业树立了良好范例——在攻击发生时,优先确认数据安全,同时明确告知用户需要采取的具体行动。
