OpenAI ha chiesto ieri, 13 maggio 2026, agli utenti Mac di aggiornare ChatGPT Desktop e le altre app collegate entro il 12 giugno.
Il motivo è un attacco alla supply chain che ha esposto alcuni certificati di firma usati da Apple per riconoscere i software considerati affidabili.
OpenAI, certificati esposti dopo l’attacco “Mini Shai-Hulud”
La società guidata da Sam Altman ha spiegato di aver scoperto l’incidente dopo l’infezione di due dispositivi aziendali. L’attacco sarebbe legato al malware “Mini Shai-Hulud” ed è passato attraverso TanStack npm, una catena di pacchetti open source molto usata dagli sviluppatori. Secondo OpenAI, gli investigatori hanno trovato accessi non autorizzati a un numero limitato di repository interni collegati ai due dipendenti coinvolti.
In quei repository, ha riferito l’azienda, c’erano anche certificati di firma usati per applicazioni su macOS, iOS, Windows e Android. OpenAI ha quindi cambiato le credenziali, firmato di nuovo le app interessate e bloccato i futuri tentativi di notarizzazione con i vecchi certificati.
Non era una scelta banale: revocare tutto subito avrebbe potuto mandare in crisi installazioni già in uso. La società ha precisato di non aver trovato prove di compromissione di dati dei clienti, sistemi di produzione o proprietà intellettuale. Al momento, inoltre, non risultano segnali che quei certificati siano stati usati per distribuire software malevolo.
ChatGPT su Mac deve essere aggiornato entro il 12 giugno – Melablog.it
ChatGPT su Mac, aggiornamento obbligato entro il 12 giugno
Il problema più concreto riguarda chi usa ChatGPT su Mac. Dopo il 12 giugno, le protezioni di sicurezza di Apple potrebbero bloccare le app ancora firmate con i vecchi certificati, impedendo l’avvio o gli aggiornamenti. Il controllo passa da Gatekeeper e dalla notarizzazione di macOS, che verificano se un’app arriva da uno sviluppatore riconosciuto e se può essere aperta senza avvisi o blocchi.
Le versioni indicate da OpenAI sono ChatGPT Desktop 1.2026.125, Codex App 26.506.31421, Codex CLI 0.130.0 e Atlas 1.2026.119.1. Chi ha una di queste release deve quindi installarne una più recente prima della scadenza. La società ha invitato gli utenti ad aggiornare solo dai canali ufficiali, evitando installer trovati tramite pubblicità, siti di download non verificati, link via email o messaggi ricevuti senza richiesta. Per chi avesse scaricato app OpenAI da fonti non ufficiali, l’indicazione è chiara: eliminarle e reinstallarle dal sito o dal sistema di aggiornamento integrato.
Supply chain sotto tiro: il punto debole passa dagli strumenti degli sviluppatori
L’episodio riporta in primo piano un nodo ormai noto della sicurezza informatica: gli attacchi alla supply chain non colpiscono sempre il prodotto finale. Spesso entrano da librerie, dipendenze e strumenti usati da chi sviluppa il software. Un pacchetto compromesso può passare da un ambiente all’altro prima che qualcuno noti qualcosa che non va.
OpenAI ha spiegato che l’attacco è arrivato mentre erano già in corso nuove misure interne, tra cui controlli più rigidi sull’origine dei pacchetti, credenziali più robuste per le pipeline CI/CD e regole di sicurezza nei package manager, come le politiche di minimumReleaseAge. I due dispositivi colpiti, secondo la ricostruzione dell’azienda, non avevano ancora ricevuto quelle protezioni aggiornate.
L’incidente ha quindi spinto OpenAI ad accelerare ulteriori difese. Per gli utenti, però, la cosa da fare resta semplice: controllare la versione installata di ChatGPT, Codex e delle altre app OpenAI, aggiornare entro il 12 giugno e non scaricare nulla fuori dai canali ufficiali. Su Mac, stavolta, aspettare può voler dire ritrovarsi con l’app bloccata.
