شرحت OpenAI الهجوم على TanStack npm وطلبت تحديث تطبيقات macOS بحلول 12 يونيو

Q: Источник материала?

Оригинальная публикация на OpenAI Blog. Hamidun News обрабатывает и адаптирует материалы с помощью AI.

Q: Когда опубликовано?

2026-05-16. Время чтения: 3 мин.

كشفت OpenAI تفاصيل هجوم Mini Shai-Hulud عبر مكتبة TanStack على npm. وتقول الشركة إن بيانات المستخدمين وبيئة الإنتاج لم تتأثرا، لكن الحزمة الخبيثة أصابت جهازين ت

ЖХ

Редакция Hamidun News

AI‑мониторинг · OpenAI Blog

2026-05-16· 3 мин

شرحت OpenAI الهجوم على TanStack npm وطلبت تحديث تطبيقات macOS بحلول 12 يونيو — المصدر: OpenAI Blog. Коллаж: Hamidun News.

◐ Слушать статью

شرحت OpenAI كيفية ردها على هجوم Mini Shai-Hulud من خلال نظام TanStack npm. تؤكد الشركة أنها لم تجد أي علامات على اختراق بيانات المستخدمين أو أنظمة الإنتاج أو رمز منتجاتها، لكنها تطلق حتى الآن تحديثاً إلزامياً لتطبيقات macOS حتى 12 يونيو 2026.

ما حدث

في 11 مايو 2026 بتوقيت UTC، قام المهاجمون باختراق أحد حزم الكود المفتوح الشهيرة في نظام TanStack. تقول OpenAI إن الهجوم كان جزءاً من حملة Mini Shai-Hulud أوسع استهدفت ليس شركة واحدة، بل الحلقات المشتركة في سلسلة إمدادات البرمجيات: التبعيات وأدوات إدارة الحزم وأدوات التطوير. داخل OpenAI، تأثرت جهازا موظفين في البيئة المؤسسية.

بعد اكتشاف النشاط الضار، أطلقت الشركة تحقيقاً وضمت فريقاً خارجياً متخصصاً في التحقيق الرقمي والاستجابة للحوادث. وفقاً لـ OpenAI، تطابق سلوك الحزمة الضارة سيناريو موصوف مسبقاً: الوصول غير المصرح به ومحاولات استخراج بيانات الاعتماد من مجموعة محدودة من المستودعات الداخلية التي كان لهذين الموظفين حق الوصول إليها. تؤكد الشركة أنه تم استخراج فقط الأسرار وبيانات الاعتماد الفردية، بينما لم يتم اختراق رمز آخر أو معلومات.

لم يجد التحقيق أي آثار لتأثر بيانات المستخدمين أو أنظمة الإنتاج أو الملكية الفكرية لـ OpenAI.

كيف ردت OpenAI

كانت المهمة الأولى تحديد موقع الحادث وحجب الطرق الممكنة للوصول الإضافي. عزلت OpenAI الأجهزة المتأثرة والحسابات المرتبطة بها، وأبطلت جلسات المستخدمين، وقامت بتدوير كل بيانات الاعتماد في المستودعات المتأثرة، وقيدت مؤقتاً سير عمل نشر الرمز. بالتوازي، قامت الشركة بفحص منفصل لسلوك الحسابات والأسرار نفسها لفهم ما إذا كان أحد قد استخدم بالفعل المواد المسروقة. في وقت النشر، تؤكد OpenAI أنها لم ترَ أي علامات على وصول غير مصرح به لاحق أو إساءة استخدام هذه البيانات.

"لم نعثر على أي دليل على اختراق بيانات مستخدمي OpenAI."

تفصيل مهم: احتوت المستودعات المتأثرة أيضاً على شهادات التوقيع الرقمي لمنتجات OpenAI. لذلك لم تقتصر الاستجابة على تنظيف الأجهزة المصابة. بدأت الشركة بتدوير شهادات التوقيع الرقمي وتعاقدت بشكل منفصل مع شركاء المنصات على حجب إجراءات التصديق الجديدة بالمواد الموقعة القديمة.

بالإضافة إلى ذلك، أعادت OpenAI فحص البرمجيات التي تم إصدارها بالفعل ولم تجد أي علامات على أن أحداً وقّع تطبيقاً ضاراً باسمها أو استبدل النسخ المنشورة. شرحت OpenAI بشكل منفصل أنه بعد حادثة Axios سرّعت من تطبيق تدابير إضافية ضد هجمات السلسلة الإمدادية، لكن هذه الحالة جاءت خلال مرحلة النشر. لم يكن الجهازان المتأثران قد تلقيا بعد التكوينات المحدثة لمدير الحزم والفحوصات الجديدة لأصل الحزم.

من بين التدابير التي تركز عليها الشركة الآن minimumReleaseAge للتبعيات، وحماية معززة لبيانات الاعتماد الحساسة في CI/CD، والتحقق الإضافي من الأصل للحزم الجديدة.

ما يجب على مستخدمي Mac فعله

بالنسبة للمستخدمين العاديين، الخلاصة الرئيسية عملية: إذا كنت تستخدم تطبيقات OpenAI على macOS، يجب تحديثها قبل 12 يونيو 2026. بعد إلغاء الشهادة القديمة بالكامل، سيبدأ macOS في حجب التنزيلات الجديدة وعمليات التشغيل الأولى للتطبيقات الموقعة بالمفاتيح القديمة. تترك OpenAI عمداً هذه النافذة حتى ذلك التاريخ لأن الإلغاء الفوري كان قد يكسر التحديثات الشرعية وعمليات التشغيل الأولى للتطبيقات العادية لبعض المستخدمين.

يجب تحديث ChatGPT Desktop
يجب تحديث Codex App
يجب تحديث Codex CLI
يجب تحديث Atlas

لا يتطلب Windows و iOS أي إجراء منفصل من المستخدم، على الرغم من أن الشركة تعيد إصدار التطبيقات بشهادات جديدة عبر جميع المنصات المتأثرة. كلمات مرور المستخدمين ومفاتيح API، وفقاً لـ OpenAI، لم تتأثر، لذلك لا حاجة لتغييرها. الطريقة الأكثر أماناً هي تثبيت التحديثات فقط من خلال الآلية المدمجة للتطبيق أو صفحات التنزيل الرسمية. تحذر OpenAI بشكل خاص من تثبيت "OpenAI" أو "ChatGPT" أو "Codex" من رسائل البريد الإلكتروني والإعلانات والمراسلين والكتالوجات من طرف ثالث.

ما يعنيه هذا

يوضح هذا الحادث جيداً كيف تتجاوز الهجمات على التبعيات بسرعة بيئة التطوير وتصل إلى المستخدمين العاديين من خلال الشهادات وتطبيقات سطح المكتب وآليات التحديث. بالنسبة للشركات، الدرس واضح: لا يكفي فحص الرمز الخاص بك، يجب عليك أيضاً التحكم الصارم في أصل الحزم وحماية CI/CD والقدرة على تدوير التوقيعات بسرعة دون إيقاف المنتج.

ЖХ

Hamidun News

AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Telegram-канал RSS hamidun.com