تحذير عاجل من OpenAI حدّث ChatGPT وCodex على macOS فورًا قبل فوات الأوان

في لحظة تبدو فيها تحديثات التطبيقات أمراً روتينياً يمرّ دون انتباه، قد تختبئ خلف أحدها قصة أعقد مما نتخيّل. هذا ما حدث مع تحذير OpenAI الأخير لمستخدمي macOS، بعد انكشاف هجوم على سلسلة التوريد البرمجية طال مكتبة Axios الشهيرة، وكشف ثغرة حساسة في آلية بناء تطبيقاتها.

في 31 مارس 2026، تعرّض حساب أحد المطورين المسؤولين عن مكتبة Axios على npm للاختراق. المهاجمون نشروا نسخاً مُلوثة تضمّنَت اعتماداً خفياً باسم plain-crypto-js، صُمم كبرمجية وصول عن بُعد قادرة على العمل عبر أنظمة Windows وmacOS وLinux.

Axios ليست أداة هامشية، بل مكتبة JavaScript يعتمد عليها الملايين أسبوعياً في تطبيقات الويب ومسارات CI/CD. لذلك لم يكن الهجوم موجهاً إلى شركة واحدة، بل إلى طبقة أساسية في البنية التحتية البرمجية الحديثة.

ضمن خط أنابيب البناء الداخلي لدى OpenAI، كانت مكتبة Axios تُستدعى تلقائياً عبر GitHub Actions. وعندما جرى تحديثها إلى النسخة المخترقة، حصلت الحزمة الخبيثة نظرياً على إمكانية الوصول إلى مواد حساسة، أهمها شهادات توقيع تطبيقات macOS.

شهادات التوقيع هذه ليست تفصيلاً إجرائياً، بل حجر الأساس الذي تعتمد عليه أنظمة Apple ومتجر التطبيقات لتأكيد هوية المطوّر وسلامة البرمجيات. أي عبث بها قد يسمح بإنشاء تطبيقات مزيفة تبدو رسمياً “موثوقة”.

رغم عدم وجود أدلة على استغلال فعلي، قررت OpenAI إلغاء جميع شهادات الأمان الخاصة بتطبيقات macOS وإصدار شهادات جديدة، مع إلزام المستخدمين بتحديث تطبيقات ChatGPT وCodex وAtlas وCodex CLI قبل 8 مايو 2026. بعد هذا التاريخ، لن تتلقى الإصدارات القديمة دعماً أو تحديثات، وقد تتوقف عن العمل.

هذه الخطوة تعكس فهماً لقاعدة ذهبية في الأمن السيبراني: أحياناً تكون الوقاية من احتمال نظري أقل تكلفة من انتظار حادث فعلي.

الهجوم يندرج ضمن فئة متنامية تُعرف بهجمات software supply chain، حيث لا يستهدف المهاجم المنتج النهائي، بل إحدى المكتبات أو الأدوات التي يعتمد عليها آلاف المطورين. ومع تزايد الاعتماد على النظم الآلية في التكامل المستمر والنشر المستمر، تصبح الثغرة في اعتماد واحد كافية لفتح باب واسع.

من الدروس الواضحة هنا أهمية تثبيت الإصدارات بدقة، والتحقق من سلامة الحزم، ومراجعة إعدادات GitHub Actions أو أي سير عمل آلي. الخطأ الذي أشارت إليه OpenAI كان في تهيئة غير دقيقة لسير العمل، وهو تذكير بأن الأتمتة القوية تحتاج إلى انضباط أمني مماثل.

رغم أن القصة تقنية في ظاهرها، إلا أن أثرها يمسّ مفهوماً جوهرياً: الثقة. عندما يفتح المستخدم تطبيقاً على macOS، فهو يفترض أن نظام Apple للتحقق من التوقيع يضمن سلامته. أي مساس بسلسلة الشهادات يعني أن طبقة الثقة نفسها قد تتآكل.

اللافت أن الحادث لم يؤدِ إلى تسريب بيانات أو اختراق فعلي، لكنه أظهر كيف يمكن لاعتماد واحد في npm أن يخلق مساراً غير متوقع إلى بنية تحتية حساسة. في اقتصاد يعتمد على مكتبات مفتوحة المصدر وتنزيلات بمئات الملايين أسبوعياً، تصبح الحوكمة الأمنية جزءاً من جودة المنتج بقدر ما هي من جودة الكود.

في النهاية، لم تكن المشكلة في تطبيق ChatGPT نفسه، بل في الطريق الذي يسلكه الكود قبل أن يصل إلى المستخدم. وهذا الطريق، بكل ما فيه من أدوات مفتوحة ومراحل آلية، بات اليوم ساحة رئيسية للصراع السيبراني الحديث.