OpenAI 證實遭 Axios 供應鏈攻擊波及

事件背景與影響範圍

3 月 31 日，HTTP 用戶端套件 Axios 遭遇供應鏈攻擊，駭客於 NPM 發布了有問題的 1.14.1 與 0.30.4 版本。近日，AI 公司 OpenAI 證實，他們下載了惡意版本的 Axios 而受到影響。

OpenAI 已更新憑證，並要求 macOS 用戶升級應用程式。該公司表示，目前沒有證據顯示用戶數據、智財或內部系統遭到入侵，也未發現 iOS、Android 或 Windows 等平臺應用受到影響，受潛在影響的範圍主要涉及 MacOS 版本。

根據相關報導分析，此次攻擊屬於供應鏈安全事件，駭客使用了精密的加密編碼與反制鑑識分析技巧。鑑識分析顯示，惡意版本在 npm install 期間執行了惡意軟體，可能竊取了憑證和系統數據。

此類攻擊因 Axios 被 OpenClaw 等大量 AI 應用及插件生態直接依賴，導致風險通過依賴鏈向終端用戶進一步蔓延，凸顯了現代軟體開發中第三方函式庫的脆弱性。