OpenAI potvrdilo bezpečnostný incident, ktorý súvisí s nedávnym útokom na populárny open-source ekosystém TanStack npm. Nešlo o priamy útok na ChatGPT ani o prelomenie produkčných systémov OpenAI, ale o typický supply-chain problém a teda situáciu, keď útočníci zneužijú dôveryhodný softvérový balík, ktorý používajú vývojári po celom svete.
Podľa OpenAI boli zasiahnuté dve zariadenia zamestnancov v korporátnom prostredí firmy. Spoločnosť uviedla, že zaznamenala aktivitu zodpovedajúcu správaniu malvéru Mini Shai-Hulud, vrátane pokusov o získavanie prihlasovacích údajov z obmedzenej časti interných repozitárov, ku ktorým mali dotknutí zamestnanci prístup.
OpenAI však zároveň zdôraznilo, že nenašlo dôkazy o prístupe k používateľským dátam, produkčným systémom ani k duševnému vlastníctvu.
Čo je Mini Shai-Hulud?
Mini Shai-Hulud je názov pre škodlivú kampaň, ktorá zasiahla ekosystém vývojárskych balíkov npm. Útočníci sa nezamerali na bežných používateľov, ale na vývojársku infraštruktúru.
Cieľom bolo dostať škodlivý kód do dôveryhodných balíkov, ktoré sa následne automaticky sťahujú a používajú pri vývoji aplikácií.
Rozjarený víkend v iStores prináša 3 dni zliav na Apple zariadenia aj príslušenstvo.
Podľa bezpečnostných firiem boli kompromitované desiatky balíkov v ekosystéme TanStack. Snyk uvádza, že 11. mája 2026 bolo v krátkom časovom okne publikovaných 84 škodlivých verzií naprieč 42 balíkmi v priestore @tanstack.
Zaujímavé je, že balíky neboli publikované jednoduchým ukradnutím hesla, ale cez legitímnu release pipeline po tom, ako útočnícky kód prevzal kontrolu nad bežiacim procesom.
Práve preto je tento typ útoku taký nebezpečný. Vývojári často dôverujú známym open-source knižniciam a ich aktualizáciám. Ak sa škodlivý kód dostane do samotného dodávateľského reťazca, môže sa šíriť veľmi rýchlo.
OpenAI tvrdí, že zákaznícke dáta neunikli
Najdôležitejšia informácia pre bežných používateľov je, že podľa OpenAI neboli zasiahnuté zákaznícke dáta. Firma tvrdí, že neexistujú dôkazy o tom, že by boli kompromitované používateľské informácie, produkčné systémy alebo softvér distribuovaný zákazníkom.
Podobne o tom informovala aj agentúra Reuters, podľa ktorej OpenAI nenašlo dôkaz o prístupe k používateľským dátam po incidente spojenom s knižnicou TanStack.
Spoločnosť po zistení incidentu izolovala dotknuté systémy a identity, zrušila používateľské relácie a rotovala prihlasovacie údaje. Preventívne tiež obmedzila niektoré workflow pre nasadzovanie kódu.
To znamená, že OpenAI incident riešilo ako vážnu bezpečnostnú udalosť, no podľa dostupných informácií sa problém podarilo udržať mimo kritických systémov.
Prečo musia aktualizovať hlavne používatelia macOS
Najviditeľnejším dopadom pre používateľov je aktualizácia aplikácií pre macOS. Dôvodom sú podpisové certifikáty, ktoré slúžia na overenie toho, že aplikácia skutočne pochádza od dôveryhodného vývojára a nebola upravená treťou stranou.
OpenAI uviedlo, že dotknuté repozitáre obsahovali podpisové certifikáty pre produkty OpenAI vrátane aplikácií pre iOS, macOS a Windows.
iPhone 17 Pro kúpite veľmi výhodne v zľave. Jeden z najlepších telefónov súčasnosti sa oplatí
Firma ich preto preventívne vymenila. Pre používateľov macOS to znamená, že si musia aktualizovať aplikácie, aby používali verzie podpísané novými certifikátmi. Používatelia Windows a iOS podľa dostupných informácií nemusia robiť žiadne kroky.
Toto neznamená, že aplikácia ChatGPT na Macu bola napadnutá. Ide o preventívny krok, ktorý má zabrániť zneužitiu starých certifikátov v budúcnosti.
Supply-chain útoky sú čoraz väčší problém
Celá kauza ukazuje, ako citlivý je dnešný softvérový svet na útoky cez open-source závislosti. TanStack nie je malý projekt niekde na okraji internetu. Ide o známy ekosystém nástrojov pre vývoj webových aplikácií, ktorý využíva obrovské množstvo vývojárov.
Ak sa útočníkom podarí kompromitovať dôveryhodný balík, nemusia priamo útočiť na veľké firmy. Stačí, aby ich škodlivý kód prešiel cez bežný vývojársky proces. Presne preto sú supply-chain útoky jednou z najväčších bezpečnostných hrozieb súčasnosti.
V tomto prípade sa ukazuje aj ďalší problém: nejde len o samotný kód aplikácie, ale aj o prihlasovacie tokeny, cloudové prístupy, CI/CD tajomstvá a podpisové certifikáty. To všetko sú citlivé prvky, ktoré môžu útočníkom otvoriť cestu k oveľa väčším škodám.
Ako to teda zhrnúť?
Incident v OpenAI nepôsobí ako katastrofa, ale rozhodne je varovaním. Firma potvrdila kompromitáciu dvoch zamestnaneckých zariadení, no zároveň tvrdí, že zákaznícke dáta, produkčné systémy ani duševné vlastníctvo zasiahnuté neboli. Najdôležitejším praktickým krokom zostáva aktualizácia aplikácií OpenAI na macOS.
Celý prípad však opäť pripomína, že aj najväčšie technologické firmy sú závislé od open-source ekosystému. A ak sa útočník dostane do dôveryhodného dodávateľského reťazca, následky môžu byť globálne.
Ak hľadáte overený iPhone so zárukou, ktorý prešiel rukami odborníkov zo SvetApple.sk, určite sa pozrite do nášho e-shopu Loopi.sk. Nájdete tu starostlivo skontrolované zariadenia za výrazne nižšie ceny než pri nových modeloch. Ušetriť môžete stovky eur, no stále získate spoľahlivý iPhone, ktorý vám bude bez problémov slúžiť ešte dlhé roky.
