Az OpenAI a közelmúltban nyilvánosságra hozta, hogy egy kifinomult szoftverellátási lánc támadás következtében két alkalmazottjának fejlesztői eszköze is kompromittálódott. Az incidens, amely a népszerű TanStack JavaScript könyvtáron keresztül történt, ismételten rávilágít a modern szoftverfejlesztés egyik legsebezhetőbb pontjára. Bár az OpenAI gyorsan és hatékonyan reagált, megakadályozva a termelési rendszerek vagy felhasználói adatok kompromittálódását, az eset komoly tanulságokkal szolgál minden, AI-technológiát fejlesztő vagy használó vállalat számára.
Az OpenAI hangsúlyozta, hogy a támadás nem érintette a felhasználói adatokat, a termelési rendszereket vagy a vállalat szellemi tulajdonát. Azonban a helyzet súlyosságát jelzi, hogy az incidens a macOS alkalmazások – köztük a ChatGPT Desktop – aláíró tanúsítványainak visszavonásához és cseréjéhez vezetett. Ahogy az OpenAI fogalmazott:
AI Biztonság kérdésed van? Itt elérsz minket:
„Ez az incidens a fenyegetettségi környezet szélesebb körű eltolódását tükrözi: a támadók egyre inkább a megosztott szoftverfüggőségeket és fejlesztői eszközöket célozzák egyetlen vállalat helyett.”
A támadás anatómiája: A „Mini Shai-Hulud” és a TeamPCP
A támadás középpontjában a „Mini Shai-Hulud” névre keresztelt kártevő áll, amelyet a TeamPCP nevű kiberbűnözői csoport terjesztett. Ez a csoport egy folyamatban lévő kampány részeként több száz nyílt forráskódú csomagot kompromittált, többek között a TanStack, az UiPath, a Mistral AI és az OpenSearch projektjeihez kapcsolódókat is. A TeamPCP módszerei messze túlmutatnak az egyszerű opportunizmuson; a csoport egy versenyt is hirdetett a Breached kiberbűnözői fórumon, 1000 dollár értékű Monerót ajánlva a legsikeresebb ellátási lánc támadásokért.
A TanStack elleni támadás különösen kifinomult volt. A karbantartók szerint nem adathalászat vagy jelszólopás történt. Ehelyett:
„A támadónak sikerült egy olyan utat kidolgoznia, ahol a saját CI pipeline-unk lopta el a saját publikációs tokenjét számukra, pontosan annak létrehozásának pillanatában, egy olyan gyorsítótáron keresztül, amelyben a lánc minden szereplője implicit módon megbízott.”
A kompromittált csomagok telepítése után a kártevő rendkívül alapos adatgyűjtésbe kezdett. A Hunt.io elemzése szerint a rosszindulatú program „rögzíti a gép összes környezeti változóját, beolvassa az összes SSH kulcsot és konfigurációt, végigjárja a teljes home könyvtárat dotenv fájlok után kutatva, és hitelesítő adatokat szerez futó Docker konténerekből.” A kártevő emellett egy elsődleges, hard-kódolt parancs- és vezérlő (C2) szerverrel kommunikál, de ha az nem elérhető, egy FIRESCALE nevű tartalék mechanizmust aktivál, amely a nyilvános GitHub commit üzenetek között keres egy aláírt, alternatív szerver URL-t.
Az OpenAI reakciója és a közvetlen következmények
Az OpenAI a rosszindulatú tevékenység észlelése után azonnal cselekedett. Elszigetelték az érintett rendszereket, visszavonták a felhasználói munkameneteket, és rotálták az összes hitelesítő adatot az érintett belső kódtárolókban. Bár a támadók csak korlátozott mennyiségű hitelesítő anyagot tudtak megszerezni, ezek között voltak az iOS, macOS és Windows termékekhez tartozó kódaláíró tanúsítványok.
Ennek következtében az OpenAI kénytelen volt visszavonni a régi és kiadni új tanúsítványokat. Ez azt jelenti, hogy a ChatGPT Desktop, Codex App, Codex CLI és Atlas macOS alkalmazások felhasználóinak frissíteniük kell a legújabb verziókra a zökkenőmentes működés érdekében. A Windows és iOS felhasználóknak nincs teendőjük. Ez már a második alkalom volt az elmúlt hónapokban, hogy az OpenAI-nak a macOS tanúsítványait kellett cserélnie; április közepén egy rosszindulatú Axios könyvtár okozott hasonló incidenst.
Az AIQ nézőpontja: Mit jelent ez a magyar és EU-s vállalatok számára?
Az AIQ szerint ez az incidens több kritikus tanulsággal is szolgál a magyar és európai uniós piacon működő, AI-t fejlesztő vagy alkalmazó cégek számára.
OWASP LLM Top 10 és a sebezhető függőségek
Vállalati kontextusban ez az eset tökéletesen illusztrálja az OWASP LLM Top 10 lista LLM09: Insecure Supply Chain (Nem biztonságos ellátási lánc) pontjának fontosságát. Hiába fordít egy szervezet hatalmas erőforrásokat a saját LLM modelljének védelmére prompt injection vagy adatlopás ellen, ha a fejlesztéshez és a telepítéshez használt eszközök és könyvtárak kompromittálódtak. A támadók a legkisebb ellenállás irányába mozdulnak, ami jelen esetben a széles körben használt, megbízhatónak hitt nyílt forráskódú komponenseket jelenti.
EU AI Act és GDPR megfelelőség
Az AIQ álláspontja szerint az ilyen típusú támadások közvetlenül érintik az EU AI Act megfelelőségi követelményeit. A rendelet 15. cikke szigorú előírásokat fogalmaz meg a nagy kockázatú AI rendszerek pontosságára, robusztusságára és kiberbiztonságára vonatkozóan. Egy kompromittált ellátási lánc alapjaiban ássa alá egy AI rendszer robusztusságát és biztonságát, hiszen a rosszindulatú kód beépülhet a végtermékbe, ami előre nem látható viselkedéshez vagy adatbiztonsági incidensekhez vezethet.
Bár ebben az esetben nem történt személyes adatszivárgás, az eset rávilágít a GDPR kockázatokra is. A fejlesztői hitelesítő adatok ellopása egy lépésre van a termelési adatbázisokhoz való hozzáféréstől. Az OpenAI proaktív lépései, mint a hitelesítő adatok azonnali rotálása, elengedhetetlenek a GDPR szerinti adatvédelmi incidensek megelőzéséhez. Egy sikeres támadás esetén a felügyeleti hatóság felé történő bejelentési kötelezettség és a potenciális bírságok komoly üzleti kockázatot jelentenek.
Audit tanulságok
Vállalati kontextusban ez azt jelenti, hogy a biztonsági auditoknak kiemelt figyelmet kell fordítaniuk a CI/CD (Continuous Integration/Continuous Deployment) folyamatokra és a függőségkezelésre. Nem elegendő egy egyszerű sebezhetőség-szkennelés. Az olyan kifinomult támadások, mint a TanStack esetében látott „megbízható gyorsítótáron keresztüli tokenlopás”, mélyebb, viselkedésalapú elemzést és a build folyamatok szigorú felügyeletét igénylik. A szoftver-összetevők jegyzéke (SBOM – Software Bill of Materials) vezetése és rendszeres felülvizsgálata ma már nem választás kérdése, hanem alapvető biztonsági szükséglet.
Konklúzió: A sebezhetőség új frontvonala
Az OpenAI és a Mistral AI-t is érintő incidens egyértelműen jelzi, hogy a kiberbiztonsági fókusz eltolódott. A támadók már nemcsak az egyes cégek védelmi vonalait ostromolják, hanem a teljes szoftverfejlesztési ökoszisztémát, amely egy mélyen összekapcsolt, nyílt forráskódú könyvtárakból álló hálózat. Ahogy az OpenAI is megjegyezte, „egy upstream bevezetett sebezhetőség széles körben és gyorsan terjedhet a szervezetek között.” A vállalatoknak a saját kódjukkal megegyező szigorral kell kezelniük a külső függőségeiket, mert a modern AI-korszakban a szoftverellátási lánc vált a legfontosabb digitális csatatérré.