OpenAI 證實遭 TanStack 供應鏈攻擊波及，員工裝置遭入侵但用戶資料未外洩

事件背景與影響範圍

5 月 13 日，OpenAI 發布部落格文章證實，近期影響數百個 npm 與 PyPI 套件的 TanStack 供應鏈攻擊（代號 Mini Shai-Hulud），已波及其內部環境。OpenAI 表示，有兩名員工的裝置遭入侵，且在少數內部原始碼儲存庫中，有限度的程式碼簽章憑證被竊取。

公司應對措施

察覺攻擊後，OpenAI 迅速展開調查並採取多項安全措施以保護系統，包括：

• 隔離受影響的系統與身分。
• 撤銷受影響使用者的連線階段。
• 輪換受影響儲存庫的存取憑證。
• 暫時限制程式碼部署流程。
• 徹底審查使用者與憑證行為。

安全評估與結論

OpenAI 強調，雖然核心服務未受直接破壞，但確認沒有任何使用者資料、生產系統或核心知識產權遭洩露。公司指出，僅有少量內部程式碼簽章憑證被竊，且未發現客戶資料、產品系統或軟件被入侵的證據。