A OpenAI pediu que usuários de Mac atualizem o ChatGPT Desktop e o Codex depois que um ataque à cadeia de suprimentos comprometeu a Axios, biblioteca JavaScript com cerca de 100 milhões de downloads semanais. Um grupo norte-coreano identificado pelo Google como UNC1069 invadiu a conta de um mantenedor e publicou uma versão maliciosa; a automação que empacota e assina os apps da OpenAI baixou o código comprometido durante uma janela de aproximadamente três horas.

O workflow comprometido tinha acesso a certificados e material de notarização usados para assinar aplicativos macOS, incluindo ChatGPT Desktop, Codex, Codex-cli e Atlas. A OpenAI concluiu que o certificado provavelmente não foi extraído e não encontrou evidência de que dados de usuários, sistemas ou propriedade intelectual tenham sido comprometidos. A causa raiz foi atribuída a um erro de configuração no GitHub Actions, já corrigido.