بقلم: يوسف | محرر أدوات الذكاء الاصطناعي · صوت تحريري بإشراف بشري
اكتشفت OpenAI تعرض workflow الخاص بتوقيع تطبيقات macOS للخطر خلال الهجوم الواسع على مكتبة Axios في 31 مارس 2026، مما أثار مخاوف حول إمكانية إنتاج تطبيقات مزيفة تحمل توقيع OpenAI الرسمي.
التفاصيل التقنية للحادث تكشف عن خطأ في إعداد GitHub Actions حيث استخدمت OpenAI floating tag بدلاً من commit hash محدد، بالإضافة لعدم تفعيل خاصية minimumReleaseAge للحزم الجديدة. هذا سمح للإصدار المخترق Axios 1.14.1 بالوصول إلى مواد التوقيق والتصديق المستخدمة في أربعة تطبيقات: ChatGPT Desktop وCodex App وCodex CLI وAtlas.
ما يجعل هذا الحادث مثيراً للاهتمام تقنياً هو تحليل OpenAI المفصل الذي يشير إلى أن الشهادة “على الأرجح لم تُسرّق بنجاح” بسبب توقيت تنفيذ الكود الخبيث وتسلسل العمليات وعوامل أخرى. لكن الشركة قررت التعامل مع الشهادة كمخترقة “من باب الحذر المفرط” – قرار يكشف عن مستوى النضج الأمني المطلوب في عصر AI.
الاستجابة تشمل شراكة مع شركة للطب الشرعي الرقمي، دوران كامل لشهادة التوقيق، نشر إصدارات جديدة للتطبيقات الأربعة بالشهادة الجديدة، والعمل مع Apple لمنع تصديق أي برامج جديدة بالشهادة القديمة. الشركة راجعت أيضاً جميع عمليات التصديق بالشهادة القديمة وتأكدت من عدم حدوث تصديقات غير متوقعة.
الجانب الأكثر دقة هو التوقيت: OpenAI منحت المستخدمين 30 يوماً للتحديث قبل إلغاء الشهادة القديمة تماماً في 8 مايو 2026. السبب تقني بحت – منع التعطيل المفاجئ للمستخدمين بينما ضمان أن أي برامج مزيفة موقعة بالشهادة القديمة ستُحجب تلقائياً من macOS إلا إذا تجاوز المستخدم الحماية يدوياً.
الإصدارات الحدية المدعومة بعد 8 مايو محددة بدقة: ChatGPT Desktop 1.2026.051، Codex App 26.406.40811، Codex CLI 0.119.0، وAtlas 1.2026.84.2. المستخدمون الذين لا يحدثون تطبيقاتهم سيفقدون الدعم والوظائف تماماً.
رغم أن تحليل OpenAI يشير لعدم نجاح سرقة الشهادة فعلياً، السيناريو المحتمل مقلق: مهاجمون قادرون على توقيع برامج خبيثة تبدو كتطبيقات OpenAI شرعية. في بيئة تعتمد بشكل متزايد على AI tools للمهام الحساسة، هذا النوع من هجمات supply chain يصبح أكثر خطورة من مجرد malware عادي.
أما النقطة التي لم تذكرها OpenAI بوضوح: هذا الحادث يكشف مدى اعتماد حتى الشركات الكبرى على مكتبات open source دون مراجعة كافية لسلاسل التوريد البرمجية. الاعتماد على floating tags بدلاً من commit hashes المحددة خطأ شائع لكنه قاتل في البيئات الحساسة.
