Am 12. Juni dürften einige Nutzer von ChatGPT Desktop, der Codex-App, Codex CLI und Atlas feststellen, dass die Programme unter macOS nicht mehr starten. OpenAI weist deutlich darauf hin, dringend Updates vorzunehmen, um einen unterbrechungsfreien Ablauf zu gewährleisten. Dabei handelt es sich jedoch nicht um einen Kniff, um aktuellen Versionen zu mehr Verbreitung zu verhelfen, stattdessen liegen andere Gründe vor. Vor einigen Tagen wurde die weitverbreitete Open-Source-Bibliothek TanStack im Rahmen eines größeren Angriffs namens Mini Shai-Hulud kompromittiert – auch Geräte von Mitarbeitern in der Unternehmensumgebung waren betroffen.


Zertifikate aus Sicherheitsgründen widerrufen
Die betroffenen Repositories enthielten Signaturzertifikate für OpenAI-Produkte, darunter iOS, macOS und Windows. Laut OpenAI gebe es glücklicherweise keine Hinweise, dass Nutzerdaten, Passwörter, API-Schlüssel oder anderes geistiges Eigentum beeinträchtigt sind – aus Sicherheitsgründen signiert man die Apps dennoch neu. Nach dem 12. Juni werden ältere Versionen, die noch mit dem alten Zertifikat signiert sind, von macOS-Sicherheitsmechanismen blockiert. Für iOS/iPadOS ist indes kein manuelles Eingreifen erforderlich, Handlungsbedarf bestehe nur bei macOS. Laut OpenAI rufe man die Zertifikate nicht sofort zurück, da ansonsten bestehende Installationen abrupt ihren Dienst verweigern.

Warnung vor Spam- und Malware-Kampagnen
OpenAI rät ausdrücklich, Updates nur über die integrierte Aktualisierungsfunktion oder die offiziellen OpenAI-Webseiten zu beziehen. Installationsprogramme aus E-Mails, Nachrichten, Drittanbieter-Downloadseiten oder Dateifreigaben sollte man tunlichst meiden. Genau solche Situationen sind nach Zertifikatsvorfällen besonders heikel, weil Angreifer versuchen könnten, gefälschte ChatGPT- oder OpenAI-Installer in Umlauf zu bringen und darüber Malware zu verbreiten. Man kann aber wohl jetzt schon mit Sicherheit vorhersagen, was der Inhalt kommender Spamwellen sein dürfte.