OpenAI 官方于周三发布声明,确认在近期发生的 TanStack npm 供应链安全事件中,没有任何证据表明用户数据被访问或核心产品遭到破坏。尽管该供应链攻击波及范围较广,但 OpenAI 的安全防护机制有效阻止了潜在的深度渗透。
根据调查分析,此次攻击的影响范围极其有限,仅限于两台员工办公设备以及部分内部代码仓库。OpenAI 强调,其生产环境、核心模型权重等关键资产处于严密保护之下,未受到此次事件的任何实质性影响。
技术细节显示,此次 npm 包投毒事件的手法颇为特殊。攻击者并非通过窃取传统的开发者凭据(Credentials)进行操作,而是通过劫持合法的构建流水线(Build Pipeline)来发布恶意包。这种渗透方式使得恶意代码更具欺骗性,也对企业级 CI/CD 安全提出了更高要求。
OpenAI 表示,公司已迅速采取响应措施,对受影响设备进行了隔离,并加强了对内部代码库的全面审计。此次事件的处理过程展示了 OpenAI 在面对复杂供应链威胁时的透明度与防御韧性,确保了其开发者社区和内部基础设施的完整性。
