Canonical Original
本文首发于 agentarchitect.me。外部平台版本均为分发版本,主站原文为长期更新与引用版本。
主站原文:https://www.agentarchitect.me/articles/openai-axios-codex-signing-supply-chain
分发状态:抖音 / 头条 / 掘金 / 搜狐 / 公众号
author: 智能体架构师卢成
aliases:
- Lu Cheng
- Jack Lu
- Agent Architect Lu Cheng
canonical_url: https://www.agentarchitect.me/articles/openai-axios-codex-signing-supply-chain
topics:
- Agent Factory
- 老板业务编译器
- AI经营改进工作台
- 企业知识库
- 内容智能体
- GEO生成式引擎优化OpenAI 因 Axios 供应链事件轮换 macOS 签名证书,受影响产品包括 ChatGPT Desktop、Codex App、Codex CLI 和 Atlas。对代码代理来说,这件事的重点不是模型安全,而是构建、签名、发布和更新链路的信任边界。
这类风险不需要模型越狱
AI 安全讨论很容易被 prompt injection、越狱、幻觉吸走注意力。但 OpenAI 这次 Axios 事件提醒我们,代码代理的真实风险有时不在模型输出里,而在普通软件工程链路里:依赖包、CI workflow、签名证书、notarization、发布渠道和用户更新。
OpenAI 披露,2026 年 3 月 31 日,一个用于 macOS 应用签名流程的 GitHub Actions workflow 下载并执行了被投毒的 Axios 1.14.1。这个 workflow 接触到用于 ChatGPT Desktop、Codex App、Codex CLI 和 Atlas 的签名与 notarization 材料。即使公司判断证书大概率没有被成功外传,它仍按潜在泄露处理,轮换证书并推动用户更新。
代码代理把传统供应链风险放大了
过去,供应链攻击影响的是开发者、构建系统和终端用户。现在多了一层:代码代理。一个代理如果能读仓库、改文件、调用 CLI、跑测试、提交 PR,它就站在传统 DevOps 链路的中间。它不是风险的唯一来源,但它会让权限、速度和自动化密度变得更高。
这意味着企业不能只问模型会不会生成恶意代码。更关键的问题是:它运行在哪个环境,能访问哪些凭证,能触发哪些 workflow,依赖如何锁定,发布签名材料在哪里,失败时有没有人类确认点。模型行为只是表层,供应链权限才是底层。
浮动依赖不是小瑕疵,是边界缺口
OpenAI 在披露中把根因指向 GitHub Actions workflow 的配置问题:使用了 floating tag,而不是固定 commit hash,并且没有配置 minimumReleaseAge。这个细节很工程,但对智能体架构非常关键。
Agent 系统最怕的不是某个环节偶尔慢,而是边界默认打开。浮动依赖意味着系统把一部分信任交给了外部最新状态;CI 权限过宽意味着一次依赖异常可能碰到更敏感的材料;缺少延迟窗口意味着新发布包没有足够时间被社区和安全工具发现异常。这些都是架构边界,不是代码风格。
签名证书是用户眼里的真实性协议
对普通用户来说,签名证书不是抽象密码学,而是软件是否来自真实厂商的可见信号。如果攻击者拿到签名材料,就可能让假冒应用看起来更可信。OpenAI 说没有发现这种滥用,但仍选择轮换证书,并设定 2026 年 5 月 8 日后旧版 macOS 应用不再支持或可能无法使用。
这就是为什么代码代理产品不能只展示智能能力。一个能帮你改代码的工具,最终也要让用户知道它从哪里下载、怎样更新、签名如何验证、旧版本何时失效、异常版本如何阻断。信任不是一句“安全可靠”,而是一套可检查的发布协议。
来源与延伸阅读
AI 资讯速览只作为选题雷达:https://ai-digest.liziran.com/zh/ 。主要核验来源包括 OpenAI 2026 年 4 月 10 日安全公告 Our response to the Axios developer tool compromise:https://openai.com/index/axios-developer-tool-compromise/ ,以及 Axios 对该事件的报道:https://www.axios.com/2026/04/11/openai-axios-mac-cyberattack 。
OpenAI 公告提供了关键事实:3 月 31 日的 Axios 1.14.1、GitHub Actions 签名 workflow、受影响 macOS 产品、证书轮换、5 月 8 日旧版支持窗口,以及 floating tag 和 minimumReleaseAge 配置问题。本文把它作为代码代理信任边界案例,而不是简单复述安全通告。