Tanggapan OpenAI atas Kompromi Alat Developer Axios

SAN FRANCISCO, (12 April 2026)

OpenAI baru-baru ini mengidentifikasi isu keamanan yang melibatkan alat developer pihak ketiga, Axios, sebagai bagian dari insiden supply chain attack industri yang lebih luas. Mengutip pernyataan resmi OpenAI, perusahaan mengambil langkah pencegahan untuk melindungi proses yang mensertifikasi aplikasi macOS mereka sebagai aplikasi OpenAI yang sah.

Pihak OpenAI menegaskan tidak menemukan bukti bahwa data pengguna OpenAI diakses, sistem atau kekayaan intelektual mereka dikompromikan, atau perangkat lunak mereka diubah. Sebagai respons, OpenAI memperbarui sertifikat keamanannya, yang mengharuskan semua pengguna macOS untuk memperbarui aplikasi OpenAI mereka ke versi terbaru. Langkah ini membantu mencegah risiko, sekecil apa pun, seseorang mencoba mendistribusikan aplikasi palsu yang tampak berasal dari OpenAI.

Pada 31 Maret 2026 (UTC), Axios, sebuah third-party developer library yang banyak digunakan, dikompromikan sebagai bagian dari software supply chain attack yang lebih luas. Pada saat itu, sebuah GitHub Actions workflow yang digunakan OpenAI dalam proses penandatanganan aplikasi macOS mereka mengunduh dan mengeksekusi versi Axios yang berbahaya (versi 1.14.1). Workflow ini memiliki akses ke sertifikat dan material notarization yang digunakan untuk menandatangani aplikasi macOS, termasuk ChatGPT Desktop, Codex, Codex-cli, dan Atlas. Sertifikat ini membantu pelanggan mengetahui bahwa perangkat lunak berasal dari developer yang sah, OpenAI.

Analisis OpenAI terhadap insiden tersebut menyimpulkan bahwa sertifikat signing yang ada dalam workflow ini kemungkinan besar tidak berhasil dieksfiltrasi oleh malicious payload karena waktu eksekusi payload, injeksi sertifikat ke dalam pekerjaan, urutan pekerjaan itu sendiri, dan faktor mitigasi lainnya. Meskipun demikian, sebagai tindakan pencegahan, OpenAI memperlakukan sertifikat tersebut sebagai telah dikompromikan, dan sedang mencabut (revoking) serta merotasinya.

Efektif mulai 8 Mei 2026, versi lama aplikasi desktop macOS OpenAI tidak akan lagi menerima pembaruan atau dukungan, dan mungkin tidak berfungsi. Versi-versi ini mewakili rilis paling awal yang ditandatangani dengan sertifikat yang diperbarui:

• ChatGPT Desktop: 1.2026.051
• Codex App: 26.406.40811
• Codex CLI: 0.119.0
• Atlas: 1.2026.84.2

Sebagai bagian dari investigasi dan respons, OpenAI melibatkan firma forensik digital dan respons insiden pihak ketiga, merotasi sertifikat code signing macOS mereka, menerbitkan build baru dari semua produk macOS yang relevan dengan sertifikat baru, dan bekerja sama dengan Apple untuk memastikan perangkat lunak yang ditandatangani dengan sertifikat sebelumnya tidak dapat dinotarifikasi kembali. Mereka juga meninjau semua notarization perangkat lunak menggunakan sertifikat sebelumnya untuk mengonfirmasi tidak ada notarization perangkat lunak yang tidak terduga terjadi dengan kunci-kunci ini, dan memvalidasi bahwa perangkat lunak yang diterbitkan tidak memiliki modifikasi tidak sah. Saat ini, OpenAI tidak menemukan bukti kompromi atau risiko terhadap instalasi perangkat lunak yang sudah ada.

Andai kata sertifikat berhasil dikompromikan oleh aktor jahat, mereka dapat menggunakannya untuk menandatangani kode mereka sendiri, membuatnya tampak sebagai perangkat lunak OpenAI yang sah. OpenAI telah menghentikan notarization perangkat lunak baru menggunakan sertifikat lama, sehingga perangkat lunak baru yang ditandatangani dengan sertifikat lama oleh pihak ketiga yang tidak berwenang akan diblokir secara default oleh perlindungan keamanan macOS kecuali pengguna secara eksplisit melewatinya. Setelah sertifikat sepenuhnya dicabut pada 8 Mei 2026, unduhan baru dan peluncuran aplikasi yang ditandatangani dengan sertifikat sebelumnya akan diblokir oleh perlindungan keamanan macOS.

Penyebab utama insiden ini adalah kesalahan konfigurasi dalam GitHub Actions workflow, yang telah ditangani oleh OpenAI. Secara spesifik, action yang bersangkutan menggunakan floating tag, bukan specific commit hash, dan tidak memiliki minimumReleaseAge yang dikonfigurasi untuk paket baru.

OpenAI menekankan bahwa keamanan dan privasi informasi pengguna adalah prioritas utama. Perusahaan berkomitmen untuk menjadi transparan dan mengambil tindakan cepat ketika masalah muncul.

Dampak bagi Indonesia

Bagi pengguna aplikasi OpenAI di Indonesia yang menggunakan perangkat macOS, insiden ini menjadi pengingat penting akan urgensi untuk selalu menjaga perangkat lunak tetap mutakhir. Meskipun OpenAI menyatakan tidak ada data pengguna yang dikompromikan, langkah rotasi code signing certificate adalah tindakan pencegahan yang sangat serius dalam dunia Cybersecurity.

Pengguna di Indonesia yang memiliki aplikasi seperti ChatGPT Desktop, Codex App, Codex CLI, atau Atlas di perangkat macOS mereka wajib segera memperbarui aplikasi melalui pembaruan in-app atau tautan resmi yang disediakan oleh OpenAI. Mengabaikan pembaruan ini dapat menyebabkan aplikasi tidak berfungsi setelah 8 Mei 2026, dan yang lebih penting, berpotensi membuka celah keamanan jika ada pihak tidak bertanggung jawab yang mencoba memanfaatkan sertifikat lama yang dibatalkan.

Kejadian ini juga menyoroti risiko supply chain attack yang bisa menargetkan komponen dasar dalam pengembangan perangkat lunak. Bagi developer dan perusahaan teknologi di Indonesia, insiden ini menjadi pelajaran berharga untuk memperketat praktik keamanan dalam development workflow, termasuk penggunaan specific commit hash alih-alih floating tag dan konfigurasi keamanan yang lebih ketat untuk dependensi pihak ketiga. Edukasi mengenai pentingnya mengunduh perangkat lunak hanya dari sumber resmi dan kewaspadaan terhadap tautan mencurigakan sangat krusial untuk melindungi diri dari potensi ancaman siber.

---

Artikel ini akan diperbarui seiring tersedianya informasi baru. Join Komunitas Rekayasa AI di Discord untuk diskusi lebih lanjut.