事件速摘要:為什麼今天一定要更新 ChatGPT Desktop
3 月 31 日,工程師界常用的開源套件 Axios 遭駭客植入惡意程式,剛好跑在 OpenAI 的 macOS App 簽章流程裡。雖然最後證書沒被偷走,但為了避免有人拿「舊章」做「假 App」,OpenAI 決定全面換新安全憑證。今天起,沒更新的 Mac 用戶會看到「無法驗證開發者」警告,直接擋在門外。
影響範圍:只有 macOS 用戶需要擔心
- 受影響 App:ChatGPT Desktop、Codex、Codex CLI、Atlas
- 平台:僅 macOS(Windows 與網頁版正常)
- 風險:舊版憑證可能被用來偽造「正版」App,騙你下載加料版本
3 秒更新步驟:現在就打開 Mac 做一次
- 開啟 ChatGPT Desktop(或 Codex 等任何 OpenAI App)
- 同時按 Command + Comma → 點 Check for Updates
- 看到「Restart to Update」按下去,10 秒後重開即完成
懶得找選單?直接到 chatgpt.com/download 重新拖進 Applications 也行。
如果跳過更新,會發生什麼事?
- 明天起打開 App 會跳出「無法驗證開發者」紅字,直接進不去
- 駭客若趁機放出「冒牌 ChatGPT」,舊憑證還沒過期就可能矇混過關
- 你的對話紀錄雖這次沒外洩,但假 App 可側錄鍵盤與麥克風
台灣用戶還能做這 3 件事自我保護
- 只認「Mac App Store」或官方下載點:別在論壇抓「綠色版」
- 開啟「系統設定→隱私與安全→僅允許 App Store 與識別開發者」,擋掉不明簽章
- 用 Homebrew 的人下指令
brew upgrade --cask chatgpt也能拉到最新版
資安小知識:什麼是「簽章憑證」?
你可以想成 Glad 的「防偽貼紙」。蘋果規定所有 Mac App 都要貼,貼紙裡面藏有開發者身分與蘋果核可紀錄。貼紙被偽造,就像喝到假酒:外包裝一模一樣,內容卻被加料。
這次事件給台灣工程師的啟示
- 供應鏈攻擊不再只是新聞單字,連 OpenAI 都會踩坑
- 自動更新不是擾人,是保命符;公司內部有「更新審核流程」的,建議把 OpenAI 網域列白名單
- 鎖套件版本號(package-lock)雖穩定,但遇到這種「上游被植入」一樣中鏢,記得開 Dependabot 或 Renovate 自動拉安全版
現在就行動:拿起 Mac 更新,再告訴同事
打開 ChatGPT Desktop → Command + Comma → Check for Updates,10 秒搞定。別等駭客送你「加料版」才後悔!
