OpenAI โดนเจาะผ่าน Axios สั่งผู้ใช้ macOS อัปเดตแอปด่วน! รุ่นไหนโดนบ้าง?

ดูเหมือนว่าบริษัทปัญญาประดิษฐ์ระดับโลกก็หนีไม่พ้นฝันร้ายของนักพัฒนา เมื่อ OpenAI ออกมายอมรับว่าระบบได้รับผลกระทบจาก Supply Chain Attack (การโจมตีผ่านห่วงโซ่อุปทานซอฟต์แวร์) ผ่านไลบรารียอดฮิตอย่าง Axios เมื่อวันที่ 31 มีนาคม 2026 ที่ผ่านมา ส่งผลให้ระบบหลังบ้านที่ใช้รับรองความปลอดภัยของแอปพลิเคชันบน macOS ตกอยู่ในความเสี่ยง

ต้นตอของปัญหาครั้งนี้มาจากความผิดพลาดในการตั้งค่า GitHub Actions Workflow ที่ดันไปดึง Axios เวอร์ชัน 1.14.1 ซึ่งถูกฝังมัลแวร์มาใช้งาน โดยโฟลว์การทำงานดังกล่าวมีสิทธิ์เข้าถึง Certificate (ใบรับรองดิจิทัล) ที่ใช้ยืนยันตัวตนแอปบน macOS แม้ทาง OpenAI จะออกมายืนยันว่ายังไม่พบหลักฐานการหลุดรอดของข้อมูลผู้ใช้ รหัสผ่าน หรือซอร์สโค้ด แต่เพื่อความไม่ประมาท บริษัทจึงตัดสินใจเพิกถอนใบรับรองชุดเดิมทิ้งทั้งหมด

ความน่าสนใจคือ สาเหตุเชิงลึกเกิดจากการตั้งค่าที่ใช้ Floating Tag แทนที่จะระบุ Commit Hash แบบเจาะจง รวมถึงไม่ได้ตั้งค่าอายุขั้นต่ำของแพ็กเกจ (minimumReleaseAge) เรียกว่าเป็นจุดบอดเล็ก ๆ ทาง DevOps ที่เกือบทำให้บริษัทเทคยักษ์ใหญ่ต้องสะดุด

เพื่อป้องกันผู้ไม่หวังดีนำใบรับรองเก่าไปสวมรอยสร้างแอปปลอม OpenAI จึงประกาศให้ผู้ใช้งานบนระบบปฏิบัติการ macOS รีบอัปเดตแอปพลิเคชันผ่านระบบ In-app หรือดาวน์โหลดจากเว็บไซต์ทางการโดยด่วน ภายในวันที่ 8 พฤษภาคม 2026 หากพ้นกำหนดนี้ แอปเวอร์ชันเก่าจะไม่สามารถใช้งานหรือรับการอัปเดตได้อีกต่อไป โดยมีรายชื่อแอปพลิเคชันที่ต้องอัปเดตดังนี้

• ChatGPT Desktop: ต้องอัปเดตเป็นเวอร์ชัน 1.2026.051 ขึ้นไป
• Codex App: ต้องอัปเดตเป็นเวอร์ชัน 26.406.40811 ขึ้นไป
• Codex CLI: ต้องอัปเดตเป็นเวอร์ชัน 0.119.0 ขึ้นไป
• Atlas: ต้องอัปเดตเป็นเวอร์ชัน 1.2026.84.2 ขึ้นไป

สำหรับผู้ที่ใช้งานผ่าน iOS, Android, Windows, Linux หรือบนเว็บเบราว์เซอร์ สามารถใช้งานต่อได้สบายใจเพราะไม่ได้รับผลกระทบจากเหตุการณ์นี้ บทเรียนครั้งนี้คงทำให้บรรดาวิศวกรซอฟต์แวร์ต้องกลับไปเช็กการตั้งค่า CI/CD ของตัวเองกันยกใหญ่ เพราะขนาดบริษัทที่สร้าง AI สุดล้ำ ก็ยังพ่ายแพ้ให้กับคอนฟิกเกอเรชันพื้นฐานที่หลงลืมกันได้