OpenAI تأیید کرده است که بدافزار ناشی از حمله زنجیره تأمین Shai-Hulud دو دستگاه از کارکنان را آلوده کرده و به مخازن داخلی دسترسی پیدا کرده است. این شرکت در بیانیهای کوتاه این نفوذ را فاش کرد و اذعان داشت که مهاجمان موفق به استخراج کد و دادهها از سیستمهای آلوده شدهاند. جزئیات بیشتری درباره وسعت دادههای دسترسییافته یا زمانبندی نفوذ منتشر نشده است.
نحوه انجام حمله
کارزار Shai-Hulud زنجیرههای تأمین نرمافزار را هدف قرار میدهد و کدهای مخرب را به بستهها یا ابزارهای توسعه قانونی تزریق میکند. در مورد OpenAI، بدافزار احتمالاً از طریق یک وابستگی یا بهروزرسانی به خطر افتاده به دو دستگاه کارکنان راه یافته است. پس از ورود، به مخازن داخلی که شرکت کدها و مدلهای اختصاصی خود را در آن ذخیره میکند، دسترسی پیدا کرد.
محققان امنیتی که عملیات Shai-Hulud را ردیابی میکنند هشدار دادهاند که این حمله بسیار هدفمند و تشخیص آن دشوار است. به نظر میرسد مهاجمان بر شرکتهای فناوری با مالکیت فکری ارزشمند متمرکز شدهاند. تأیید OpenAI آن را به یکی از قربانیان برجستهای تبدیل میکند که بهطور عمومی با این کارزار مرتبط شدهاند.
چه چیزی برداشته شد
این شرکت مشخص نکرده است که کدام مخازن مورد دسترسی قرار گرفتهاند یا آیا وزنهای مدل، دادههای آموزشی یا اطلاعات مشتریان استخراج شده است. بیانیه تنها میگوید که بدافزار پس از آلوده کردن دستگاهها به مخازن داخلی دسترسی پیدا کرده است. محققان هنوز در حال نقشهبرداری از دامنه کامل نفوذ هستند.
OpenAI گفته است که از آن زمان دستگاههای آلوده را پاکسازی، اعتبارنامهها را تغییر و به مجریان قانون اطلاع داده است. این شرکت همچنین اعلام کرد که در حال بررسی شیوههای امنیتی زنجیره تأمین خود است، هرچند جدول زمانی برای هیچ تغییری ارائه نکرد.
پیامدهای گستردهتر برای صنعت
حمله Shai-Hulud بر یک خطر رو به رشد تأکید دارد: عفونتهای زنجیره تأمین که از دفاعهای محیطی سنتی عبور میکنند. دو لپتاپ آلوده کارکنان برای دادن جای پای مهاجمان در یکی از محرمانهترین آزمایشگاههای هوش مصنوعی جهان کافی بود. احتمالاً سایر شرکتهای فناوری در حال بررسی خطوط لوله کد خود برای نشانههایی از نفوذ مشابه هستند.
افشای OpenAI در حالی صورت میگیرد که نهادهای نظارتی برای استانداردهای امنیت سایبری سختگیرانهتر در زیرساختهای حیاتی و توسعه هوش مصنوعی فشار میآورند. این حادثه ممکن است درخواستها برای گزارشدهی اجباری نفوذ و ممیزیهای شخص ثالث زنجیرههای تأمین نرمافزار را تسریع کند.
این شرکت میگوید با پیشرفت تحقیقات خود بهروزرسانیهایی ارائه خواهد داد. در حال حاضر، سؤال بیپاسخ این است که آیا مهاجمان چیزی را که بتوانند بهعنوان سلاح استفاده کنند دزدیدهاند یا صرفاً در حال آزمایش دفاعها بودهاند.
