OpenAI hat einen Sicherheitsvorfall im Zusammenhang mit der weit verbreiteten Open-Source-Bibliothek TanStack entdeckt. Das Unternehmen sieht derzeit keine Hinweise auf kompromittierte Nutzerdaten oder manipulierte Software, fordert aber ein Update der macOS-Apps.
Lieferkettenangriff über TanStack und erste Maßnahmen
Am 11. Mai 2026 (UTC) wurde TanStack, eine häufig genutzte Open-Source-Bibliothek, im Rahmen eines umfassenderen Software-Lieferkettenangriffs mit dem Namen „Mini Shai-Hulud“ kompromittiert. In der Unternehmensumgebung von OpenAI waren zwei Geräte von Mitarbeitenden betroffen. Nach Entdeckung der schädlichen Aktivitäten leitete OpenAI sofort eine Untersuchung und Eindämmungsmaßnahmen ein und zog ein externes Team für digitale Forensik und Reaktion auf Sicherheitsvorfälle hinzu.
Auf einer begrenzten Anzahl interner Quellcode-Repositories, auf die die beiden betroffenen Mitarbeitenden Zugriff hatten, stellte OpenAI Aktivitäten fest, die dem öffentlich beschriebenen Verhalten der Schadsoftware entsprachen. Dazu gehörten unautorisierte Zugriffe und versuchte Abflüsse von Zugangsdaten. Laut OpenAI wurden nur in geringem Umfang Zugangsdaten aus diesen Repositories abgegriffen, andere Informationen oder Quellcode seien nicht betroffen gewesen.
Zur Eindämmung isolierte OpenAI betroffene Systeme und Identitäten, widerrief Sitzungstokens, rotierte alle Zugangsdaten der betroffenen Repositories, schränkte Code-Bereitstellungsprozesse vorübergehend ein und prüfte Nutzer- und Anmeldeverhalten. Nach bisherigen Erkenntnissen gibt es keine Hinweise auf Auswirkungen auf Kund:innendaten oder geistiges Eigentum sowie keinen Missbrauch der betroffenen Zugangsdaten oder weitere Zugriffe durch Angreifer:innen.
Code-Signaturzertifikate betroffen: macOS-Update bis 12. Juni 2026 nötig
In den betroffenen Quellcode-Repositories lagen auch Signaturzertifikate für Produkte von OpenAI, darunter iOS, macOS und Windows. Aus Vorsicht rotiert OpenAI diese Code-Signaturzertifikate. Für Windows- und iOS-Apps ist laut Unternehmen keine Aktion der Nutzer:innen erforderlich. macOS-Benutzer:innen müssen ihre OpenAI-Apps jedoch bis zum 12. Juni 2026 aktualisieren, damit sie weiter funktionieren.
Die Updates sollen sicherstellen, dass die Anwendungen mit neuen, vertrauenswürdigen Zertifikaten signiert sind und so vor vorgetäuschten Apps schützen, die wie offizielle OpenAI-Software wirken könnten. Aktualisierungen können über die integrierte Update-Funktion oder über die offiziellen Download-Seiten erfolgen: ChatGPT-Desktop-App, Codex App, Codex-Befehlszeilenprogramm und Atlas.
Parallel dazu arbeitet OpenAI mit Plattformbetreiber:innen zusammen, um eine unautorisierte Nutzung der bisherigen Zertifikate zu verhindern, unter anderem durch das Stoppen neuer Beglaubigungen (Notarisierungen). Alle bisherigen Beglaubigungen mit den alten Zertifikaten wurden überprüft. OpenAI berichtet, keine unerwarteten Signaturen oder unautorisierte Modifikationen der veröffentlichten Software gefunden zu haben und sieht kein Risiko für bestehende Installationen.
Am 12. Juni 2026 werden die alten Zertifikate vollständig widerrufen. Ab diesem Zeitpunkt blockiert macOS neue Downloads und Starts von Apps, die noch mit den bisherigen Zertifikaten signiert sind. Ältere Versionen der macOS-Desktop-Apps – ChatGPT Desktop 1.2026.118, Codex App 26.506.31421, Codex Befehlszeilenprogramm 0.130.0 und Atlas 1.2026.119.1 – erhalten dann keine Updates oder Unterstützung mehr und können unter Umständen nicht mehr funktionieren.
Stärkere Sicherheitskontrollen und Hinweise für Nutzer:innen
Nach einem früheren Vorfall im Zusammenhang mit Axios hatte OpenAI den Ausbau bestimmter Sicherheitskontrollen zur Abwehr von Lieferkettenangriffen beschleunigt. Dazu zählen eine stärkere Absicherung sensibler Zugangsdaten in der CI/CD-Pipeline, neue Paketmanager-Konfigurationen mit Vorgaben wie „Mindestveröffentlichungsalter“ sowie zusätzliche Sicherheitssoftware zur Überprüfung der Herkunft neuer Pakete.
Der aktuelle Vorfall ereignete sich während des gestaffelten Rollouts dieser Maßnahmen. Die beiden betroffenen Mitarbeitergeräte verfügten noch nicht über die aktualisierten Konfigurationen, die den Download des neuen, schädlichen Pakets verhindert hätten. OpenAI ordnet das Ereignis in einen größeren Trend ein: Angreifer:innen richten sich zunehmend gegen gemeinsame Software-Abhängigkeiten und Entwicklungstools statt gegen einzelne Unternehmen. Das Unternehmen will weiter in Kontrollen investieren, die die Integrität und Herkunft von Drittkomponenten prüfen und so Lieferkettenangriffe auf Ökosystemebene erschweren.
In einem Frage-und-Antwort-Teil stellt OpenAI klar: Nach aktuellem Stand gibt es keine Hinweise darauf, dass Produkte oder Nutzerdaten kompromittiert wurden, keine bekannten Schadprogramme mit OpenAI-Zertifikaten signiert wurden und keine Kund:innenpasswörter oder API-Schlüssel betroffen sind. macOS-Nutzer:innen sollen Apps ausschließlich über In-App-Updates oder offizielle Webseiten beziehen und keine Installationsprogramme aus E-Mails, Nachrichten, Anzeigen, Dateifreigabelinks oder Drittanbieter-Downloadseiten installieren.
Via: OpenAi
