UpToZ
تقارير صحفيه

إلغاء شهادة تطبيق OpenAI على نظام ماك

سلوي احمد

محرر تقني • مايو 9, 2026

img_20260422_f67ed914
 في عالم التقنية، نعتمد غالباً على التطبيقات الرسمية للشركات الكبرى باعتبارها بيئات آمنة وموثوقة. شركة بحجم “أوبين أيه آي” (OpenAI) – الرائدة في مجال الذكاء الاصطناعي – ليست استثناءً
. ولكن، استيقظت الأوساط التقنية مؤخراً على إعلان من الشركة يفيد باضطرارها لإلغاء “شهادة التوثيق الأمنية”  لتطبيقها الرسمي على أجهزة الماك، مع توجيه المستخدمين لتحديث التطبيق فوراً.
السبب يكمن في برمجية خبيثة  تسللت إلى بيئة بناء التطبيق عبر سلسلة الإمداد. هذا الحدث يطرح تساؤلات هامة: كيف تصل برمجية خبيثة لشفرات شركة بهذا الحجم؟ وما هي طبيعة “هجمات سلاسل الإمداد”؟ وهل تأثرت بيانات المستخدمين؟ اليوم، سنضع هذه الحادثة تحت المجهر التقني لنشرح التفاصيل بوضوح وشفافية بعيداً عن عناوين التخويف.

هذا الحدث السيبراني الاستثنائي يؤكد قاعدة ذهبية في عالم التكنولوجيا: “لا يوجد نظام آمن بنسبة 100%، مهما بلغت قوة دفاعاته”. شركة (OpenAI) واجهت تحدياً برمجياً معقداً لم يأتِ من ضعف في خوادمها المباشرة، بل تسلل عبر مكتبات برمجية خارجية، وهو ما يُعرف في الأمن السيبراني بـ هجوم سلسلة الإمداد (Supply Chain Attack).

تطبيقاً لمنهجيتنا (E-E-A-T)، لن نكتفي بنقل الخبر، بل سنشرح لك هندسة هذا الاختراق، وكيف تم استغلال مكتبة مفتوحة المصدر تُدعى (Axios) لزرع الشفرة، ولماذا اتخذت الشركة قراراً استباقياً بإلغاء شهادة التوثيق الرقمية، وتأثير ذلك على المستخدمين.

كيف تسللت البرمجية الخبيثة؟

لفهم الآلية، يجب أن ندرك أن المطورين في الشركات التقنية لا يكتبون كل سطر كود من الصفر. يعتمدون على “مكتبات برمجية” (Libraries) مفتوحة المصدر لتسهيل وتسريع العمل. إحدى أشهر هذه المكتبات في بيئات التطوير هي مكتبة (Axios).

1. استهداف مكتبة (Axios)

ما حدث هو أن مجموعة سيبرانية (تُشير بعض التقارير الأمنية لارتباطها بأنشطة تحت اسم UNC1069) تمكنت من اختراق حساب أحد المطورين الأساسيين لمكتبة (Axios). لم يقم المهاجمون بتخريب المكتبة بالكامل، بل قاموا بدمج “برمجية خبيثة”  بشكل خفي في إصدارين محددين ونشروهما عبر الإنترنت.

2. نقطة الضعف في (GitHub Actions)

تستخدم (OpenAI) نظاماً آلياً يُدعى (GitHub Actions) لبناء وتجهيز تطبيق الماك قبل إصداره للمستخدمين. هذا النظام كان مُعداً لسحب “أحدث إصدار” متاح من المكتبات المطلوبة. وبسبب الاعتماد على ما يُعرف بـ (العلامة العائمة – Floating Tag) بدلاً من تحديد نسخة رقمية مُختبرة وثابتة، قام النظام تلقائياً بسحب النسخة التي تحتوي على الشفرة الخبيثة، وتم تشغيلها داخل بيئة خوادم البناء الخاصة بالشركة.

شهادة التوثيق الرقمية – لماذا تم إلغاؤها؟

السؤال التقني الأهم: طالما تم اكتشاف الاختراق، لماذا اتخذت الشركة قراراً جذرياً بإلغاء شهادة التطبيق؟

في نظام (macOS)، لا تسمح شركة أبل بتشغيل أي تطبيق إلا إذا كان يحمل “ختماً رسمياً” من المطور. هذا الختم يُعرف بـ (شهادة توثيق الكود )، وظيفته تأكيد أن التطبيق صادر فعلياً من المطور الرسمي ولم يتم العبث به.

أثناء تواجد البرمجية الخبيثة في خوادم البناء الخاصة بـ OpenAI، كان لديها (نظرياً) القدرة على الوصول إلى مفاتيح هذا الختم السري. ورغم أن تحقيقات الشركة الداخلية أكدت أن المهاجمين “لم يتمكنوا” من سرقة الشهادة فعلياً بفضل أنظمة الحماية الداخلية وتوقيت التنفيذ، إلا أن الشركة طبقت مبدأ (الحذر الأمني المطلق).

حقيقة تقنية: إذا تمكن المهاجمون من سرقة هذه الشهادة، لكان بإمكانهم توقيع أي برنامج خبيث بختم (OpenAI)، وسيقوم نظام أبل بقبوله وتجاوز تحذيرات الأمان معتقداً أنه تطبيق شرعي. لذلك، كان إلغاء هذه الشهادة واستبدالها بأخرى جديدة هو الإجراء الأمني الأسلم للقضاء على أي احتمالية مستقبلية للاستغلال.

 هل بياناتك في خطر؟

في مثل هذه الحوادث، يجب توضيح الحقائق بشفافية استناداً إلى التقارير الفنية الدقيقة:

  • بيانات المستخدمين آمنة: لم يتم الوصول إلى أو تسريب أي محادثات، كلمات مرور، أو مفاتيح برمجة (API Keys) خاصة بالمستخدمين. البرمجية الخبيثة كانت نشطة في بيئة “بناء التطبيق” المغلقة وليس في بيئة “البيانات الحية”.
  • التأثير محصور في نظام الماك: المشكلة تعلقت بتطبيقات نظام (macOS) مثل (ChatGPT Desktop). تطبيقات الويندوز، الأندرويد، الـ iOS، ونسخة الويب لم تتأثر إطلاقاً.
  • التطبيق النهائي سليم: لم يثبت أي دليل على أن الشفرة الخبيثة قد تم دمجها بنجاح داخل التطبيق النهائي الذي قام المستخدمون بتحميله.

ماذا يجب عليك أن تفعل كمستخدم؟

بناءً على قرار الشركة بإلغاء (Revoking) الشهادة القديمة والتنسيق مع شركة أبل، فإن النسخ الحالية من تطبيق (ChatGPT) التي تحمل تلك الشهادة ستصبح غير قابلة للتشغيل على أجهزة الماك قريباً.

منحت الشركة المستخدمين مهلة انتقالية مدتها (30 يوماً). بعد انتهائها، سيقوم نظام الأمان في أبل (Gatekeeper) بحظر تشغيل التطبيق القديم. الإجراء المطلوب بسيط: قم بتحديث تطبيق ChatGPT الخاص بك على جهاز الماك فوراً. التحديثات الجديدة تحمل “شهادة أمنية جديدة” ونظيفة، مما يضمن استمرارية الخدمة بأمان.

الأسئلة الشائعة

ما هو هجوم سلسلة الإمداد ؟
هو أسلوب سيبراني لا يستهدف فيه المهاجمون الشركة الكبرى مباشرة، بل يستهدفون الموردين أو “المكتبات البرمجية” التي تعتمد عليها الشركة. الأمر يشبه تلويث مصدر المياه الذي يعتمد عليه المعسكر بدلاً من مهاجمة المعسكر نفسه. تكمن خطورته في أن الشركة تقوم بإدراج الكود الخبيث بأنظمتها عن طريق الخطأ معتقدة أنه تحديث شرعي وضروري.
هل أحتاج لتغيير كلمة المرور لحساب OpenAI الخاص بي؟
استناداً للتحقيقات الرسمية، لا يوجد ما يستدعي ذلك. الحادثة لم تؤثر على قواعد بيانات المستخدمين أو حساباتهم. بالطبع، تفعيل المصادقة الثنائية (2FA) وتحديث كلمات المرور دورياً هي ممارسات أمنية جيدة دائماً، لكن هذه الحادثة لا تتطلب تغييراً طارئاً لبيانات تسجيل الدخول.
هل أنا في خطر إذا كنت أستخدم ChatGPT على هاتفي أو حاسوب ويندوز؟
لا، أنت في أمان تام. الشهادة التي تم إلغاؤها والثغرة التي رُصدت تخصان حصراً بيئة بناء تطبيقات نظام (macOS) الخاص بأجهزة أبل. باقي المنصات خارج نطاق هذا الاستهداف تماماً.

رأي الكاتب

تقدم هذه الحادثة درساً مهماً في عالم البرمجيات: قوة الشركات التقنية لا تُقاس فقط بمدى تحصين أنظمتها، بل بسرعة استجابتها وشفافيتها عند وقوع الحوادث الأمنية.

اختيار شركة (OpenAI) لنهج “الحذر المفرط” بإلغاء الشهادة وتنبيه الجمهور، يعكس تعاملاً احترافياً مع إدارة المخاطر السيبرانية. كمستخدم، دورك الأساسي هو أخذ التحديثات الأمنية بجدية تامة، فهي الوسيلة الفعالة التي توفرها الشركات لسد الثغرات المكتشفة وحماية أجهزتك. شاركونا في التعليقات: هل تقومون بتحديث تطبيقاتكم فور صدور التحديثات الأمنية، أم تفضلون الانتظار؟ ننتظر تفاعلكم ومناقشاتكم في موقع Uptoz.

مقالات قد تهمك