San Francisco, KomentarNews – OpenAI, perusahaan di balik ChatGPT, pada Jumat (10/4/2026) mengumumkan telah mengidentifikasi celah keamanan yang melibatkan alat pengembang pihak ketiga bernama Axios. Perusahaan memastikan bahwa data pengguna, sistem, kekayaan intelektual, maupun perangkat lunak mereka tidak terganggu.
“Kami tidak menemukan bukti bahwa data pengguna diakses, sistem atau kekayaan intelektual kami disusupi, atau perangkat lunak kami diubah,” demikian pernyataan resmi OpenAI yang dikutip Reuters, Jumat.
Kepala Keamanan OpenAI, Dr. Matthew Knight, dalam wawancara eksklusif dengan Reuters menjelaskan bahwa timnya bergerak cepat setelah menemukan indikasi pelanggaran. “Kami mendeteksi aktivitas mencurigakan pada 31 Maret. Dalam waktu kurang dari 48 jam, kami telah mengisolasi sistem yang terdampak dan memulai investigasi forensik penuh. Prioritas utama kami adalah memastikan tidak ada data pengguna yang keluar,” ujar Knight.
Menurut OpenAI, Axios—perpustakaan pengembang yang banyak digunakan—telah disusupi pada 31 Maret 2026 sebagai bagian dari serangan rantai pasok perangkat lunak yang lebih luas oleh aktor yang diduga terkait dengan Korea Utara, yang oleh para peneliti keamanan siber dikenal sebagai kelompok Lazarus atau subkelompoknya.
“Kami telah berkoordinasi dengan lembaga keamanan siber AS dan mitra industri untuk melacak jejak digital kelompok ini,” kata Rob Joyce, Direktur Keamanan Siber di Badan Keamanan Nasional AS (NSA), dalam pernyataan terpisah. “Serangan terhadap rantai pasok perangkat lunak adalah ancaman serius, dan kami mengapresiasi transparansi OpenAI dalam menangani insiden ini.”
OpenAI menyatakan bahwa analisis mereka terhadap insiden tersebut menyimpulkan bahwa sertifikat tanda tangan yang ada dalam alur kerja ini kemungkinan besar tidak berhasil dieksfiltrasi oleh muatan berbahaya. Dengan kata lain, meskipun ada upaya pencurian, kredensial penting untuk memverifikasi keaslian aplikasi tetap aman.
Dr. Eva Galperin, Direktur Keamanan Siber di Electronic Frontier Foundation (EFF), memuji respons cepat OpenAI. “Yang paling penting dalam insiden seperti ini adalah transparansi. OpenAI tidak hanya memberi tahu pengguna tentang potensi risiko, tetapi juga memberikan instruksi yang jelas tentang tindakan yang harus diambil. Ini adalah standar yang harus diikuti oleh perusahaan teknologi lain,” ujar Galperin.
OpenAI mengatakan pihaknya memperbarui sertifikasi keamanan dan mewajibkan semua pengguna macOS untuk memperbarui aplikasi OpenAI mereka ke versi terbaru guna membantu mencegah risiko distribusi aplikasi palsu.
GitHub, platform tempat serangan terjadi, juga merilis pernyataan resmi. “Kami telah mengidentifikasi dan menambal kerentanan konfigurasi yang memungkinkan insiden ini terjadi. Kami merekomendasikan semua pengguna GitHub Actions untuk meninjau kembali pengaturan keamanan mereka,” demikian pernyataan Mike Hanley, Kepala Keamanan GitHub.
Efektif mulai 8 Mei 2026, versi lama aplikasi desktop macOS OpenAI tidak akan lagi menerima pembaruan atau dukungan, dan mungkin tidak berfungsi. OpenAI mendesak semua pengguna untuk segera melakukan pembaruan.
OpenAI menambahkan bahwa kata sandi dan kunci API pengguna tidak terpengaruh oleh masalah keamanan pihak ketiga ini. Akar penyebab insiden adalah konfigurasi yang salah dalam alur kerja GitHub Actions, dan masalah tersebut kini telah diatasi.
“Kami telah menerapkan lapisan keamanan tambahan untuk mencegah insiden serupa di masa depan,” tutup Dr. Knight.
(*Reuters/ *NSA/ *EFF/ *GitHub)
