OpenAI chiederà agli utenti Mac di aggiornare le proprie app tra cui ChatGPT entro il 12 giugno 2026. La decisione arriva dopo un attacco supply chain legato alla libreria open source TanStack npm. OpenAI ha dichiarato di non aver trovato prove di accesso ai dati degli utenti o compromissione dei propri prodotti. Il cambio riguarda i certificati usati per firmare le app macOS. Per gli utenti, la cosa importante è aggiornare solo dall’app o dai link ufficiali.

ChatGPT su Mac dovrà essere aggiornato entro il 12 giugno 2026. OpenAI ha annunciato una rotazione dei certificati di sicurezza usati per firmare le proprie applicazioni macOS, dopo un incidente legato a una libreria open source molto usata, TanStack npm.

Il caso rientra in un attacco supply chain più ampio, conosciuto come Mini Shai-Hulud. In pratica, l’obiettivo non era colpire direttamente l’app ChatGPT, ma sfruttare una dipendenza software usata nell’ecosistema di sviluppo.

OpenAI precisa un punto importante: non ci sono evidenze che dati degli utenti, prodotti, sistemi di produzione o proprietà intellettuale siano stati compromessi. Però l’azienda ha scelto di intervenire sui certificati come misura preventiva.

ChatGPT Mac e l’attacco TanStack npm

Secondo OpenAI, due dispositivi di dipendenti sono stati coinvolti nell’attacco. L’attività osservata era coerente con il comportamento già descritto del malware: accesso non autorizzato e tentativi di esfiltrazione di credenziali.

Il problema ha riguardato una parte limitata di repository interni a cui i due dipendenti avevano accesso. OpenAI ha affermato che solo materiale credenziale limitato è stato effettivamente esfiltrato da quei repository.

L’azienda ha poi isolato i sistemi coinvolti, revocato sessioni, ruotato credenziali e limitato temporaneamente alcuni flussi di deployment. Inoltre, ha coinvolto una società esterna specializzata in digital forensics e incident response.

La parte più delicata riguarda i certificati di firma: alcuni repository impattati includevano materiali usati per certificare prodotti OpenAI su diverse piattaforme.

Perché serve aggiornare ChatGPT su Mac

Su macOS, la firma dell’app serve a confermare che un software arrivi davvero dallo sviluppatore legittimo, per questo OpenAI sta cambiando i certificati e pubblicando nuove versioni firmate con materiale aggiornato.

L’obiettivo è ridurre ogni rischio, anche remoto, che qualcuno provi a distribuire app false apparentemente firmate da OpenAI.

Dal 12 giugno 2026, le vecchie versioni firmate con il certificato precedente potrebbero non funzionare più o non ricevere supporto. OpenAI ha indicato anche le ultime versioni interessate dal vecchio certificato, tra cui ChatGPT Desktop 1.2026.125.

Per l’utente Mac, quindi, il passaggio è semplice: aggiornare quando l’app lo richiederà, oppure scaricare la versione aggiornata solo dai canali ufficiali.

Cosa devono fare gli utenti Mac

Chi usa ChatGPT su Mac non deve cambiare password solo per questo incidente. OpenAI dichiara che password utente e chiavi API dei clienti non sono state coinvolte.

Serve però installare l’aggiornamento entro la scadenza indicata. Il percorso più sicuro è l’update in-app, cioè quello proposto direttamente dall’applicazione.

In alternativa, bisogna usare solo le pagine ufficiali di OpenAI: è meglio evitare link ricevuti via email, messaggi, annunci, file condivisi o siti di terze parti.

Questa parte è fondamentale: dopo un caso simile, potrebbero comparire falsi installer che sfruttano l’urgenza dell’aggiornamento, quindi il consiglio è non scaricare pacchetti “ChatGPT” da fonti non verificate.

Windows e iOS non richiedono azioni

OpenAI ha precisato che gli utenti Windows e iOS non devono fare nulla per questo specifico aggiornamento. Tutte le app vengono rifirmate e rilasciate con nuovi certificati, ma l’azione obbligatoria riguarda gli utenti macOS.

Il motivo è legato al modo in cui macOS gestisce firma, notarizzazione e avvio delle applicazioni. OpenAI ha anche bloccato nuove notarizzazioni con il materiale precedente e controllato che non ci siano state firme inattese.

L’azienda afferma di non aver trovato prove di malware firmato con certificati OpenAI. Inoltre, non risultano modifiche non autorizzate al software pubblicato.

Supply chain: il problema resta più ampio

Il caso mostra un tema sempre più delicato per la sicurezza software. Le aziende moderne dipendono da librerie, pacchetti open source, tool di sviluppo e pipeline automatizzate.

Quando una dipendenza molto usata viene compromessa, il rischio può propagarsi rapidamente. Non serve attaccare direttamente ogni singola azienda: basta colpire un elemento condiviso della catena.

OpenAI ha spiegato di aver accelerato nuovi controlli su componenti di terze parti, CI/CD e gestione delle credenziali. Tra le misure citate rientrano configurazioni più rigide per i package manager e strumenti per validare meglio la provenienza dei pacchetti.

Per gli utenti finali, però, il messaggio resta operativo: aggiornare le app Mac ufficiali entro il 12 giugno e non installare versioni arrivate da canali strani.

ChatGPT Mac: aggiornare senza panico

Questa vicenda non indica una compromissione diretta dell’app ChatGPT né dei dati degli utenti, però resta un avviso da non ignorare, perché riguarda il modo in cui macOS riconosce le app legittime.

Chi usa ChatGPT su Mac dovrebbe aspettare il prompt ufficiale o controllare l’aggiornamento dall’app, poi conviene completare l’installazione prima della scadenza.

È una misura preventiva, ma importante: in un periodo in cui gli attacchi alla supply chain crescono, anche la gestione dei certificati diventa parte della sicurezza quotidiana.