OpenAI baru-baru ini mengganti sertifikat penandatanganan kode macOS mereka dan meluncurkan versi terbaru dari produk macOS sebagai langkah proaktif untuk mengantisipasi potensi serangan malware.
Ketika sebuah aplikasi ditandatangani dengan sertifikat pengembang yang valid (seperti milik OpenAI), sistem akan menganggap bahwa pengembang tersebut terverifikasi, aplikasi tidak telah dimodifikasi, dan aman untuk dijalankan. Jika malware berhasil ditandatangani dengan salah satu sertifikat ini, hampir dipastikan bisa melewati perlindungan yang ada dan diizinkan untuk berjalan di perangkat.
Pada pembaruan yang diterbitkan akhir pekan lalu, OpenAI mengungkapkan bahwa mereka mendeteksi adanya pelanggaran pada Axios, alat pengembang pihak ketiga yang mereka gunakan, pada akhir Maret tahun ini. Axios adalah pustaka JavaScript yang digunakan untuk mengirim permintaan HTTP (memungkinkan aplikasi berkomunikasi dengan server). Sayangnya, versi berbahaya – 1.14.1 – berhasil disusupkan.
Serangan ini diduga sebagai bagian dari serangan lebih luas pada rantai pasokan perangkat lunak. Saat itu, OpenAI sedang menggunakan alur kerja GitHub Actions dalam proses penandatanganan aplikasi macOS, yang secara otomatis mengunduh dan menjalankan versi berbahaya tersebut.
Data Pengguna Aman
“Alur kerja ini memiliki akses ke sertifikat dan materi notarisasi yang digunakan untuk menandatangani aplikasi macOS, termasuk ChatGPT Desktop, Codex, Codex-cli, dan Atlas,” jelas OpenAI.
Meskipun analisis insiden perusahaan mengindikasikan bahwa sertifikat penandatanganan “kemungkinan tidak berhasil diekstrak,” mereka tetap menganggapnya telah terkompromi dan memutuskan untuk melakukan rotasi.
OpenAI juga memperingatkan bahwa, “Mulai 8 Mei 2026, versi lama dari aplikasi desktop macOS kami tidak akan lagi menerima pembaruan atau dukungan, dan mungkin tidak dapat berfungsi.” Versi yang dimaksud adalah yang paling awal ditandatangani dengan sertifikat yang diperbarui:
ChatGPT Desktop: 1.2026.051
Codex App: 26.406.40811
Codex CLI: 0.119.0
Atlas: 1.2026.84.2”
Dalam laporan yang sama, perusahaan menyatakan bahwa tidak ada bukti bahwa data pengguna diakses, kekayaan intelektual dikompromikan, atau bahwa perangkat lunak itu sendiri diubah dengan cara apapun.
Di tengah kekhawatiran mengenai keamanan digital yang semakin meningkat, langkah-langkah yang diambil OpenAI memberikan sinyal positif bahwa mereka benar-benar serius dalam menjaga keamanan aplikasi dan penggunanya. Dengan terus mengikuti perkembangan dan menjaga sistem agar tetap aman, pengguna dapat merasa lebih tenang saat menggunakan produk mereka.
