OpenAI 刚发了一则安全公告：第三方开发库 Axios 出了安全漏洞，属于一次波及整个行业的供应链安全事件。OpenAI 表示没有证据显示用户数据被访问、系统被入侵或软件被篡改。

但出于谨慎，OpenAI 正在更新 macOS 应用的安全签名证书。所有 macOS 用户需要把 ChatGPT 桌面端、Codex 应用、Codex CLI 和 Atlas 都升级到最新版本。这么做是为了防止有人趁机分发一个伪装成 OpenAI 官方的假应用。

Axios 是前端和 Node.js 开发中极其常用的 HTTP 请求库，全球下载量数以亿计。供应链攻击的意思是，攻击者不直接攻击目标公司，而是先污染目标公司依赖的上游组件，让受害者在不知情的情况下把恶意代码引进自己的系统。这类事件近两年越来越频繁，之前 XZ Utils 后门事件也是同一路数。

如果你在 Mac 上用 ChatGPT 桌面端或 Codex，现在就去更新。可以通过应用内更新，也可以去官网重新下载。暂时不用担心数据泄露，但拖着不更新，万一后续出现仿冒应用，旧版本的签名验证可能挡不住。