OpenAI revoca certificato macOS dopo attacco Axios: lezione di sicurezza per l’IA

Il caso

OpenAI ha revocato in via precauzionale il proprio certificato di firma codice macOS dopo aver scoperto che un workflow interno di GitHub Actions aveva eseguito una versione compromessa del pacchetto Axios 1.14.1. L’azienda californiana sottolinea di non aver rilevato alcuna prova di furto del certificato, alterazione delle applicazioni o accesso ai dati degli utenti, ma ha preferito agire «come se il materiale crittografico fosse potenzialmente esposto». Una scelta che mostra quanto la supply-chain security sia diventata critica per chi distribuisce strumenti di intelligenza artificiale sempre più integrati nei sistemi aziendali.

Scadenza 8 maggio 2026: rischio blocco per chi non aggiorna

A partire dall’8 maggio 2026 le versioni non aggiornate di ChatGPT Desktop, Codex App, Codex CLI e Atlas per macOS potrebbero essere bloccate da Gatekeeper o smettere di funzionare. OpenAI ha già rilasciato build firmate con il nuovo certificato e raccomanda di aggiornare esclusivamente tramite:

• il meccanismo di auto-aggiornamento integrato;
• le pagine ufficiali openai.com.

Cronologia dell’incidente

31 marzo 2026: il job infetto

Un processo automatizzato di code-signing ha scaricato e lanciato Axios 1.14.1 compromessa. Il job disponeva di accesso al certificato Apple e ai secret di notarizzazione. OpenAI ritiene «improbabile» l’esfiltrazione, ma la sola possibilità ha spinto la società al revoke immediato.

Aprile 2026: la scoperta di Google Threat Intelligence

L’analisi di Google ha mostrato che le versioni Axios 1.14.1 e 0.30.4 importavano la dipendenza plain-crypto-js, progettata per installare il backdoor WAVESHAPER.V2 su Windows, macOS e Linux. Il attacco è stato attribuito al gruppo nord-coreano UNC1069, che ha preso di mira l’account del maintainer del pacchetto npm.

Perché la sicurezza della supply chain è cruciale per l’IA

Le aziende di intelligenza artificiale rilasciano sempre più modelli locali, plug-in, CLI e agenti che integrano codice, documenti e ambienti di sviluppo. Un solo pacchetto malevolo può:

1. compromettere la firma digitale del software;
2. iniettarsi nei flussi di lavoro aziendali;
3. esporre dati sensibili (prompt proprietari, sorgenti, API key).

Le misure annunciate da OpenAI

1. Certificato nuovo e versioni minime

• ChatGPT Desktop ≥ 2.3.1
• Codex App ≥ 1.9.4
• Codex CLI ≥ 0.14.2
• Atlas ≥ 1.2.0

2. Hardening del pipeline CI/CD

OpenAI ha corretto i workflow GitHub eliminando le floating tags e introducendo la policy minimumReleaseAge, che ritarda l’uso di nuove dipendenze fino a verifica sicurezza.

Lezione per il settore: proteggere il modello non basta

L’episodio dimostra che il vettore d’attacco più pericoloso può nascondersi non nel modello, ma nei processi che lo rendono disponibile: build automatizzate, dipendenze npm, permessi ecosistema. Per le aziende che sviluppano strumenti di IA, garantire la security-by-design della pipeline è ormai imprescindibile quanto migliorare l’accuracy dei propri algoritmi.

FAQ – Domande più frequenti

Quali app sono coinvolte?

ChatGPT Desktop, Codex App, Codex CLI e Atlas per macOS. Nessuna versione cloud è toccata.

I dati degli utenti sono al sicuro?

Secondo OpenAI non risultano accessi ai dati, compromissioni di account o furto di API key.

Come funzionava l’attacco Axios?

Il maintainer npm è stato compromesso e ha pubblicato versioni di Axios contenenti la dipendenza plain-crypto-js, capace di installare il backdoor WAVESHAPER.V2 su più piattaforme.

Perché la revocation è importante?

Un certificato rubato o sospetto può essere usato per firmare malware che apparirebbe trusted agli occhi del sistema operativo, danneggiando la fiducia nel marchio OpenAI.