Selon la surveillance Beating, le certificat de signature macOS d’OpenAI sera officiellement révoqué demain (8 mai). À ce moment-là, les versions anciennes de ChatGPT Desktop, Codex, Codex CLI et Atlas qui n’ont pas été mises à jour ne pourront plus démarrer et ne recevront plus de mises à jour. Il est conseillé de mettre à jour dès maintenant la version Mac, soit via la mise à jour intégrée à l’application, soit en la téléchargeant directement depuis le site officiel d’OpenAI.
L’incident est dû à une attaque sur la chaîne d’approvisionnement npm survenue le 31 mars. Axios, une bibliothèque JavaScript HTTP avec plus de 70 millions de téléchargements hebdomadaires, a été utilisée par les attaquants pour publier deux versions malveillantes (1.14.1 et 0.30.4) avec le compte du mainteneur compromis. Ces versions injectaient une fausse dépendance nommée plain-crypto-js, qui téléchargeait automatiquement un cheval de Troie à distance (RAT) lors de l’installation, affectant les plateformes macOS, Windows et Linux. Microsoft a attribué cette attaque à l’organisation de hackers nord-coréenne Sapphire Sleet.
Le workflow GitHub Actions d’OpenAI, lors de la construction des applications macOS, a automatiquement tiré ces versions malveillantes, car ce workflow pouvait accéder au certificat de signature de l’application. OpenAI pense que le certificat n’a probablement pas été compromis avec succès, mais par précaution, ils ont renouvelé le certificat et collaboré avec Apple pour bloquer la chaîne de certification obsolète. À ce jour, aucune preuve n’indique une fuite de données utilisateur, une intrusion dans le système ou une altération du logiciel, et les mots de passe ainsi que les clés API ne sont pas affectés.
La cause principale réside dans un problème de configuration du workflow : l’utilisation de balises de version flottantes plutôt que de commits fixes, sans définir un minimumReleaseAge (période de refroidissement après la sortie d’une nouvelle version), ce qui a permis à la version malveillante d’être automatiquement intégrée au build dès sa sortie.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Snap met fin au partenariat avec Perplexity AI et annule un paiement de 400 millions de dollars
D’après son dernier rapport sur les résultats, Snap a mis fin à un accord avec la startup de recherche IA Perplexity, annoncé en novembre, en annulant un paiement planifié de 400 millions de dollars en espèces et en actions sur un an. La fonctionnalité a été testée auprès d’un petit groupe d’utilisateurs dans les Chats de Snapchat, mais les entreprises ne se sont pas mises d’accord sur une extension plus large
GateNewsIl y a 7m
Le 6/5, Musk annonce la dissolution de XAI et son renommage en SpaceXAI, désormais intégré à SpaceX.
Le 5/6 mai, Musk a annoncé sur X que xAI est dissoute en tant qu’entreprise indépendante ; à l’avenir, les produits d’IA seront unifiés et apparaîtront sous le nom de SpaceXAI. SpaceX a également acquis xAI en février 2026 ; il s’agit de la dernière étape de fusion du branding et des organisations après l’acquisition. Dans le même temps, Anthropic et SpaceXAI ont signé un contrat de puissance de calcul Colossus1, ce qui montre que l’unification de la marque est effective le jour même.
ChainNewsAbmediaIl y a 10m
Genesis AI lance la plateforme de robotique GENE-26.5 avec un financement US$105M
Genesis AI a lancé GENE-26,5 le 6 mai, une plateforme de robotique full-stack conçue pour améliorer la manipulation des robots grâce à des données provenant d'une paire de gants de main propriétaire, de la simulation et de vidéos d'humains, selon l'entreprise. La startup a levé 105 millions de dollars auprès d'investisseurs dont Eclipse et Khosla Ventures a
CryptoFrontierIl y a 27m
Ethos lève 27,5 millions de dollars en Série A, menée par a16z
D’après Foresight News, la plateforme de mise en relation de talents alimentée par l’IA Ethos a levé 27,5 millions de dollars lors d’un financement de série A, mené par Andreessen Horowitz (a16z), avec la participation de General Catalyst, XTX Markets, Matt Miller et Common Magic. La plateforme utilise l’IA pour interviewer les candidats et analyser leurs
GateNewsIl y a 57m
Moonshot AI lève 2 milliards de dollars à une valorisation de 20 milliards de dollars, menée par Meituan
D’après Bloomberg, Moonshot AI, la startup basée à Pékin à l’origine du chatbot Kimi, a levé environ 2 milliards de dollars lors d’une levée menée par la branche capital-risque de Meituan, Long-Z Investments, valorisant l’entreprise à plus de 20 milliards de dollars. Son revenu annuel récurrent a dépassé 200 millions de dollars en
GateNewsIl y a 1h
Nvidia et MediaTek s’associent pour construire ensemble l’avenir des assistants natifs d’IA pour les véhicules
NVIDIA et MediaTek collaborent pour créer une architecture automobile native à l’IA : la périphérie est assurée par DRIVE AGX, pour des missions à faible latence et axées sur la confidentialité, avec prise en charge de modèles 7B+ ; le cloud joue le rôle d’usine d’IA pour mener des inférences et des entraînements de haut niveau. Grâce à l’orchestration par agents et au partage de scénarios, elles offrent une UX sans couture. Dimensity AX gère le divertissement haut de gamme et l’IVI, tandis que Drive OS est partagé. Les deux assurent un échange transparent de données à haut débit via PCIe et l’API NvStreams, formant une architecture informatique centrale.
ChainNewsAbmediaIl y a 1h
