OpenAI TanStack 供应链安全事件:Codex CLI 证书轮换对开发者工具链的影响
OpenAI 确认两台员工设备遭到 Mini Shai-Hulud npm 供应链攻击,代码签名证书外泄。macOS 用户必须在 6 月 12 日前更新 Codex CLI、ChatGPT Desktop 等应用,否则将无法启动。
本周 AI 工程团队面临的问题并非假设性的:如果你的 macOS 开发者使用 Codex CLI、ChatGPT Desktop 或 Atlas,他们必须在 2026 年 6 月 12 日前完成更新——否则这些应用将无法启动。这个截止日期来自 OpenAI 5 月 13 日发布的安全公告,是由 TanStack npm 供应链攻击事件触发的代码签名证书轮换所直接导致的。
发生了什么
2026 年 5 月 11 日,TanStack npm 库遭到攻击者入侵,成为代号 "Mini Shai-Hulud" 大规模供应链攻击活动的一部分——该攻击专门针对广泛使用的开源软件包。在 OpenAI 分阶段部署软件包来源验证控制措施期间,两台员工设备在防护措施尚未覆盖之前安装了含恶意代码的软件包。
攻击者从受影响员工可访问的内部源代码仓库中窃取了少量凭证。其中关键的是:这些仓库包含 OpenAI 的代码签名证书——用于对 Codex CLI、Codex App、ChatGPT Desktop 和 Atlas 等 macOS、iOS、Windows 及 Android 应用进行签名和公证的密钥。
OpenAI 确认:
- 生产系统和客户数据未受影响
- API 密钥和用户密码未受影响
- 未发现任何使用 OpenAI 证书签名的恶意软件
- 所有受影响凭证均已完成轮换
对 AI 工程团队意味着什么
此次事件揭示了任何运行 AI 开发者工具的团队都面临的两个叠加风险。
第一:npm 供应链攻击现在直接针对开发者本地机器,而非仅限于 CI 流水线。 Mini Shai-Hulud 攻击活动专门针对开发工具链软件包。如果开发者在安全防护措施部署到位之前在本地安装了被污染的软件包,攻击影响范围可能扩展到代码签名证书——这是软件发布商资产中价值最高的凭证类别。
第二:证书轮换对现有应用安装设置了硬性截止日期。 从 2026 年 6 月 12 日起,macOS 的 Gatekeeper 安全机制将在首次运行或更新后阻止使用旧证书签名的应用启动。受影响版本为:
| 应用 | 旧证书最后版本 | |------|--------------| | ChatGPT Desktop | 1.2026.118 | | Codex App | 26.506.31421 | | Codex CLI | 0.130.0 | | Atlas | 1.2026.119.1 |
在 CI 工作流或开发者环境配置脚本中自动化使用 Codex CLI 的团队,需要在截止日期前验证安装来源并升级到最新版本。
路由与运维视角
对于通过 TheRouter 或直接使用 OpenAI API 的团队,API 密钥和用户数据明确未受影响——此次攻击针对的是本地开发工具,而非 OpenAI 的 API 基础设施。你现有的集成、账单和用量记录均不受影响。
但这一事件揭示了一个每个 AI 工程团队都应认真面对的供应链治理问题:
你如何信任 AI 工作流中的开发者工具?
此次事件后,AI 团队应采取的关键行动:
-
审查团队内 Codex CLI 的安装情况。 固定到最新签名版本(通过
codex --version检查)。确保开发者仅从官方来源下载:github.com/openai/codex、chatgpt.com/download或应用内更新。 -
检查 AI 工具链的 npm 依赖策略。 OpenAI 的响应措施包括在 npm 包管理器配置中部署
minimumReleaseAge控制——该策略延迟接受新发布的软件包版本,为社区发现恶意更新预留时间。这是一项你自己的 CI 流水线可以直接采用的具体可迁移实践。 -
将代码签名证书泄露视为一级安全事件。 即使没有滥用证据,OpenAI 也轮换了所有平台的所有签名密钥。这种"先轮换、同步调查"的响应标准,是开发者工具链凭证泄露事件的正确处置范本。
-
检视本地开发机器的环境配置。 如果开发者在本地 AI Agent 或编程助手配置过程中安装 npm 软件包,同类攻击同样适用于你自己的工具链,而不仅限于 OpenAI。
需要关注的事项
- 2026 年 6 月 12 日:macOS 版 ChatGPT Desktop、Codex CLI、Codex App 和 Atlas 更新的硬性截止日期。此日期后,使用旧证书签名的应用在新下载或首次运行时将无法启动。
- OpenAI 最新 Codex CLI 版本:关注
github.com/openai/codex/releases,确认已签名的 CLI 构建版本;将 CI 安装脚本固定到0.130.0以上的版本。 - Mini Shai-Hulud 攻击活动范围:NHS Digital 警报涵盖了更广泛的攻击活动。如果你的团队直接使用 TanStack 库,请审计你自己的依赖树。
此次事件呈现的更广泛规律——攻击者将矛头指向共享开发工具而非生产 API——正是供应链可观测性和软件包来源验证应当被纳入 AI 工程团队运营手册,而不仅仅停留在安全团队年度审计层面的原因。
相关阅读
最新 AI 新闻 →
OpenAI 为所有 API 生成图片嵌入 C2PA 凭证与 SynthID 水印:对你的 AI 内容管道意味着什么
OpenAI 正式获得 C2PA 合规认证,并与 Google 合作为所有 API 生成图片嵌入 SynthID 水印。每张图片现在默认携带加密溯源指纹,直接影响内容管道完整性、审计追踪和多 Provider 路由策略。
2026年AI成本上涨:为何标价已不足为凭
OpenAI、Anthropic 和 GitHub 在同一周调整定价机制。实际成本与标价差距最高达92%,取决于分词器行为和使用模式。路由架构已成为成本控制的必要条件。
DeepSeek 正式支持 Anthropic API 格式:新双协议端点对路由层意味着什么
DeepSeek API 现已在 api.deepseek.com/anthropic 支持 Anthropic SDK 格式请求,Claude Code、Anthropic Python/TS SDK 及任何 Anthropic 原生客户端无需 OpenAI 转换层,即可直接将请求路由至 DeepSeek V4 模型。