Компанія OpenAI провела екстрену ротацію сертифікатів підпису коду для свого застосунку на macOS після виявлення компрометації робочого процесу GitHub Actions. Інцидент стався через атаку на ланцюг постачання, в ході якої зловмисники впровадили шкідливий код у популярний пакет Axios, що використовувався у внутрішній інфраструктурі розробки. Це дозволило стороннім особам отримати доступ до секретних ключів, які застосовуються для підтвердження автентичності програмного забезпечення OpenAI. Компанія заявила про негайне анулювання потенційно скомпрометованих сертифікатів для запобігання розповсюдженню підроблених копій додатка.

В ході розслідування встановлено, що шкідливий скрипт намагався перехопити змінні середовища та облікові дані розробників під час процесу збірки. Хоча прямих доказів того, що кінцеві користувачі завантажили заражену версію програми, наразі немає, OpenAI вирішила превентивно оновити всі цифрові підписи. Технічна команда перевела критичні процеси підпису на нову ізольовану архітектуру. Цей випадок демонструє вразливість автоматизованих CI/CD конвеєрів до атак через залежності в коді сторонніх бібліотек.