OpenAI 确认:TanStack 供应链攻击未泄露用户数据,macOS 用户请及时更新!
一句话看懂:针对开源库 TanStack 的“Mini Shai-Hulud”供应链攻击影响了部分 npm 包,但 OpenAI 经内部审查后确认其核心服务与用户数据未受波及。为防患于未然,官方要求所有 macOS 用户在 2026 年 6 月 12 日前更新官方应用。
事件核心:发生了什么
2026 年 5 月 14 日,OpenAI 就近期针对流行开源库 TanStack 的“Mini Shai-Hulud”供应链攻击发布正式回应。该攻击影响了多个广泛使用的 npm 包,引发行业关注。OpenAI 在检测到恶意活动后立即启动内部安全审查,最终确认:目前没有证据表明任何用户数据遭到泄露或非法访问。不过,为进一步提升安全性,OpenAI 敦促所有使用其官方应用的 macOS 用户在 2026 年 6 月 12 日前完成软件更新,以封堵潜在风险入口。
为什么重要
此次事件再次揭示了开源供应链攻击的现实威胁。TanStack 作为前端生态中高频依赖的库,其被投毒可能波及大量 AI 工具的前端展示与交互层。虽然 OpenAI 的核心服务未直接受影响,但攻击者通过污染 npm 包试图渗透开发流程的思路,对依赖开源组件的 AI 公司敲响了警钟。这也说明,在大模型推理、API 调用之外,开发者使用的工具链安全同样是数据保护的关键一环。
对用户/开发者/创作者的影响
对普通用户:如果使用 macOS 端的 OpenAI 官方应用(如 ChatGPT 桌面版),请在 6 月 12 日前通过 App Store 或软件自带更新功能升级,避免因旧版本暴露于潜在的中间人攻击风险。数据方面目前并无泄露,不必恐慌。
对开发者:此次事件强烈提醒检查项目中依赖的 npm 包版本,尤其是 TanStack 相关库(如 React Query、Router 等)。建议启用 npm 的完整性校验,并将依赖锁定至经过安全审计的版本。对于使用 OpenAI API 构建应用的产品团队,建议同步排查客户端依赖的安全性。
对企业采购与合规:如果公司正在采购或使用基于 OpenAI 技术的内部工具,应确认 IT 部门已对 macOS 设备执行更新策略,并将供应链安全纳入供应商评估标准。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. 攻击链的完整复盘:目前“Mini Shai-Hulud”的具体植入手法尚未完全公开,后续若 TanStack 团队或安全社区发布详细技术报告,开发者应及时跟进修补。
2. macOS 的更新内容:OpenAI 未披露此次更新修复了哪些具体漏洞,但业界可观察补丁日志中是否有关于代码执行、沙箱逃逸或网络请求拦截的修复条目。
3. 开发工具安全模式:此事件可能推动 npm 和 Node.js 生态加强包签名与发布前扫描机制,同时可能催生更多 AI 公司自建第三方依赖审计清单。
来源:AIbase
