OpenAI ha identificato il 31 marzo 2026 una esposizione nel processo di firma delle app macOS causata dalla Axios compromise, un attacco alla supply chain che ha colpito una libreria developer di terze parti utilizzata in un workflow GitHub Actions; nessun dato utente, sistema o proprietà intellettuale è stato compromesso, ma tutti gli utenti macOS devono aggiornare le app entro l’8 maggio 2026 per evitare interruzioni.
La notizia conta perché tocca due fronti simultaneamente: per i developer, è un promemoria concreto sui rischi delle dipendenze transitive e delle configurazioni CI/CD non bloccate; per i professionisti che usano ChatGPT Desktop, Codex o Atlas su Mac, è un’azione richiesta con scadenza precisa. L’incidente evidenzia anche come anche i team security più strutturati possano essere esposti da vulnerabilità esterne alla propria codebase.
Axios compromise: la compromissione e la risposta di OpenAI
Il 31 marzo 2026 , un workflow GitHub Actions utilizzato da OpenAI nel processo di firma delle applicazioni macOS ha scaricato ed eseguito una versione malevola di Axios (1.14.1). Questo workflow aveva accesso al certificato di code signing e al materiale di notarization usato per firmare app come ChatGPT Desktop, Codex, Codex-cli e Atlas. Il certificato serve a garantire agli utenti che il software proviene effettivamente da OpenAI e non da fonti non autorizzate.
OpenAI ha analizzato l’incidente e concluso che il certificato presente nel workflow probabilmente non è stato esfiltrato con successo dal payload malevolo, grazie al timing di esecuzione, alla sequenza del job e ad altri fattori mitiganti. Tuttavia, per precauzione, l’azienda sta trattando il certificato come compromesso e lo sta revocando.
“On March 31, 2026, Axios, a widely used third-party developer library, was compromised as part of a broader software supply chain attack. At that time, a GitHub Actions workflow we use in the macOS app-signing process downloaded and executed a malicious version of Axios.” — OpenAI Security Response
L’8 maggio 2026 scatta la deadline: le versioni precedenti delle app macOS firmate con il certificato vecchio non riceveranno più aggiornamenti, non saranno supportate e potrebbero smettere di funzionare. OpenAI ha già pubblicato nuove build firmate con il certificato ruotato e sta collaborando con Apple per bloccare nuove notarizzazioni con il materiale precedente. Le versioni minime richieste sono: ChatGPT Desktop 1.2026.071, Codex App 26.406.40811, Codex CLI 0.119.0, Atlas 1.2026.84.2.
Root cause: GitHub Actions e supply chain
La causa radice dell’incidente è una misconfiguration nel workflow GitHub Actions. L’action in questione utilizzava un floating tag invece di un commit hash specifico e non aveva configurato un parametro minimumReleaseAge per i nuovi pacchetti. Questo ha permesso al workflow di scaricare automaticamente la versione compromessa di Axios non appena è stata pubblicata, senza alcuna barriera temporale o verifica di integrità.
Questo pattern è emblematico degli attacchi alla software supply chain: l’obiettivo non è violare direttamente il target, ma compromettere una dipendenza upstream ampiamente utilizzata, sfruttando la fiducia automatica che i sistemi CI/CD ripongono nei registry pubblici. OpenAI stessa definisce l’incidente come parte di un “broader industry incident”, segnalando che altre organizzazioni sono state colpite dallo stesso vettore.
Per i team di sviluppo, la lezione è chiara: bloccare le dipendenze a commit hash, configurare delay minimi per l’adozione di nuove release, e isolare i workflow che gestiscono segreti sensibili come certificati di firma. Questi accorgimenti riducono la finestra di esposizione e permettono alla community di identificare pacchetti malevoli prima che vengano adottati in produzione. Approfondimenti su questi concetti sono disponibili nel nostro Glossario AI.
Cosa fare e implicazioni per il panorama AI
Per gli utenti macOS, l’azione richiesta è semplice: aggiornare le app OpenAI tramite l’aggiornamento in-app o scaricando le versioni ufficiali dai link pubblicati da OpenAI. Non installare mai app da link ricevuti via email, messaggi, annunci o siti di download terzi. Dopo l’8 maggio, macOS bloccherà automaticamente download e primi avvii di app firmate con il certificato precedente, a meno che l’utente non bypassi esplicitamente le protezioni di sicurezza — azione sconsigliata.
Per i developer, questo incidente rafforza un trend già visibile: la superficie di attacco si è spostata dalla codebase interna alle dipendenze esterne e alle pipeline di build. I certificati di code signing sono asset critici quanto le API key o i segreti di database, e meritano lo stesso livello di isolamento e rotazione. La scelta di OpenAI di revocare proattivamente il certificato, nonostante l’assenza di evidenze di esfiltrazione, segnala una postura difensiva che probabilmente diventerà standard per le aziende che distribuiscono software firmato.
Nel panorama AI, dove i modelli e gli strumenti si integrano sempre più in workflow enterprise, la fiducia nella provenienza del software è fondamentale. Un certificato compromesso potrebbe permettere a un attore malevolo di distribuire malware che appare come software legittimo OpenAI, aggirando le difese endpoint e ingannando gli utenti. La risposta rapida, la trasparenza sui dettagli tecnici e la collaborazione con Apple dimostrano come la gestione degli incidenti di supply chain richieda coordinamento tra vendor, piattaforme e community.
Per i professionisti e developer che lavorano con le app OpenAI su macOS, il messaggio è duplice: aggiornate entro l’8 maggio per evitare disruption, e rivedete le vostre pipeline CI/CD alla luce di questo incidente. La domanda non è se la vostra organizzazione sarà esposta a un attacco di supply chain, ma quando — e se le vostre configurazioni saranno pronte a mitigarlo. chain, ma quando — e se le vostre configurazioni saranno pronte a mitigarlo.
Fonte: OpenAI