OpenAI secara resmi mengonfirmasi insiden keamanan yang berdampak pada aplikasi ChatGPT untuk Mac. Dua perangkat karyawan perusahaan berhasil diretas melalui serangan supply chain terhadap library open source bernama TanStack. Meski OpenAI mengklaim data pengguna tetap aman, seluruh pengguna ChatGPT di macOS diminta segera mengupdate aplikasi mereka sebelum 12 Juni 2026.
Ini bukan sekadar bug kecil. Serangan ini merupakan bagian dari kampanye peretasan berskala global yang disebut Mini Shai-Hulud, yang menargetkan library open source yang digunakan ribuan developer dan perusahaan di seluruh dunia. Insiden ini kembali mengingatkan pentingnya keamanan siber dalam ekosistem teknologi kecerdasan buatan yang semakin bergantung pada infrastruktur cloud.
Apa Itu Serangan Supply Chain TanStack?
Pada 11 Mei 2026, TanStack — library open source populer yang membantu developer membangun antarmuka web — dibobol peretas. Para penyerang menyusupkan kode berbahaya (malware) ke dalam update resmi library tersebut.
Bayangkan begini: kamu memesan bahan makanan dari toko langganan. Tapi di tengah jalan, seseorang mengganti isi bungkusannya dengan yang sudah dicampur racin. Kamu tidak tahu karena kemasannya masih sama, stiker tokonya masih asli. Itulah kurang lebih bagaimana serangan supply chain bekerja.
TanStack digunakan secara luas di industri teknologi. Ribuan perusahaan dan developer mengintegrasikan library ini ke dalam produk mereka. Ketika update yang sudah disusupi malware dirilis, siapa pun yang mengunduh dan menginstalnya — termasuk karyawan OpenAI — secara tidak langsung memasukkan pintu belakang (backdoor) ke perangkat mereka.
Serangan ini mendapat nama Mini Shai-Hulud dari otoritas siber Britania Raya (National Health Service Digital), merujuk pada karakter cacing raksasa dari novel Dune. Julukan itu menggambarkan skala dan ambisi serangan yang menelan banyak korban.
Bagaimana OpenAI Bisa Terkena?
Dua perangkat karyawan OpenAI di lingkungan korporat terinfeksi malware dari update TanStack yang terkompromikan. Setelah mendeteksi aktivitas mencurigakan, OpenAI segera melakukan investigasi, mengisolasi perangkat yang terdampak, dan menunjuk firma forensik digital independen untuk analisis mendalam.
Hasil investigasi awal menunjukkan bahwa peretas berhasil mengakses sebagian kecil repositori kode internal yang bisa diakses oleh kedua karyawan tersebut. Dari repositori itu, peretas mengekstraksi “limited credential material” — material kredensial terbatas yang mencakup sertifikat penandatanganan kode (code-signing certificates) untuk produk-produk OpenAI, termasuk versi macOS, iOS, dan Windows.
Yang perlu ditekankan: peretas tidak membobol server utama OpenAI. Mereka hanya mendapatkan akses ke kredensial di repositori kode yang terkait dengan proses sertifikasi aplikasi. OpenAI menegaskan tidak ada bukti bahwa data pengguna, kekayaan intelektual, atau sistem produksi mereka disentuh.
Segera setelah insiden teridentifikasi, OpenAI melakukan sejumlah langkah darurat:
- Mengisolasi perangkat yang terinfeksi
- Mencabut (revoke) seluruh sesi pengguna yang terdampak
- Memutar (rotate) semua kredensial di repositori terkait
- Membatasi sementara alur deployment kode
- Memblokir notarisasi baru menggunakan sertifikat lama
Data Pengguna ChatGPT Aman?
Ini pertanyaan paling penting, dan jawaban resmi OpenAI cukup jelas: tidak ada bukti bahwa data pengguna diakses atau diekspos.
Dalam pernyataan resminya, OpenAI menulis: “We have found no evidence that OpenAI products or user data were compromised or exposed.” Pertanyaan umum yang sering muncul juga langsung dijawab:
- Apakah produk OpenAI dikompromikan? Tidak. Tidak ada bukti perangkat lunak OpenAI dimodifikasi.
- Apakah ada malware yang ditandatangani sebagai OpenAI? Tidak. Tidak ditemukan perangkat lunak berbahaya yang menggunakan sertifikat OpenAI.
- Perlu ganti password? Tidak. Password pengguna dan API key tidak terdampak.
Tapi ada nuansa yang penting dipahami. “Limited credential material” yang diekstraksi peretas mencakup sertifikat yang digunakan untuk memastikan aplikasi macOS yang kamu unduh benar-benar berasal dari OpenAI — bukan tiruan. Jika sertifikat ini jatuh ke tangan yang salah, peretas berpotensi membuat aplikasi palsu yang terlihat “resmi” di mata macOS.
Untuk mencegah hal itu, OpenAI memutuskan untuk mencabut semua sertifikat lama dan menerbitkan yang baru. Proses ini memaksa seluruh pengguna Mac untuk mengupdate aplikasi mereka.
Yang Harus Dilakukan Pengguna ChatGPT Mac Sekarang
Jika kamu pengguna ChatGPT di Mac, ini langkah yang perlu kamu tahu:
- Jangan panik, tapi jangan abaikan. Kamu tidak perlu melakukan apa pun sekarang. Tunggu notifikasi update dari aplikasi.
- Update saat diminta. Update sudah mulai dirilis secara bertahap dan akan selesai paling lambat 12 Juni 2026. Setelah tanggal itu, versi lama ChatGPT Desktop (versi 1.2026.125 dan sebelumnya) tidak akan berfungsi lagi di macOS.
- Hanya download dari sumber resmi. Gunakan update in-app atau download langsung dari halaman resmi OpenAI. Jangan install dari link di email, pesan, iklan, atau situs download pihak ketiga.
- Pengguna Windows dan iOS tenang saja. Serangan ini hanya membutuhkan update untuk aplikasi Mac. Pengguna platform lain tidak perlu melakukan tindakan apa pun.
OpenAI menyebut alasan tidak langsung mencabut sertifikat adalah untuk meminimalkan gangguan bagi pengguna. Dengan memberi waktu hingga 12 Juni, sebagian besar pengguna akan mendapat update otomatis melalui mekanisme bawaan aplikasi, tanpa perlu download manual.
Bukan Pertama Kali: Riwayat Masalah Keamanan ChatGPT Mac
Insiden ini menambah daftar panjang masalah keamanan yang melibatkan aplikasi ChatGPT untuk Mac.
Pada tahun 2024, seorang developer menemukan bahwa ChatGPT Mac menyimpan percakapan pengguna secara lokal dalam bentuk teks biasa (plain text) — tanpa enkripsi. Artinya, siapa pun yang memiliki akses ke perangkat pengguna bisa membaca seluruh riwayat percakapan ChatGPT. Temuan itu memicu kekhawatiran serius, mengingat banyak pengguna menyimpan informasi sensitif — mulai dari data pekerjaan hingga informasi pribadi — dalam percakapan mereka.
Pola yang muncul jelas: aplikasi desktop AI masih relatively immature dalam hal praktik keamanan. Perusahaan AI berlomba-lomba merilis produk ke pasar, dan keamanan kadang menjadi prioritas sekunder.
Yang memperparah, setelah insiden Axios developer tool compromise sebelumnya, OpenAI mengaku sudah mempercepat penerapan kontrol keamanan tertentu — termasuk hardening kredensial di pipeline CI/CD dan konfigurasi package manager dengan kontrol seperti minimumReleaseAge. Ironisnya, insiden ini terjadi saat kontrol-kontrol tersebut masih dalam tahap rollout bertahap, dan dua perangkat yang terinfeksi belum mendapatkan konfigurasi terbaru.
Pelajaran untuk Seluruh Industri Software
Insiden TanStack bukan tentang kegagalan satu perusahaan. Ini adalah cerminan dari kerentanan sistemik yang melekat di seluruh industri perangkat lunak modern.
Software zaman ini dibangun di atas tumpukan library open source yang saling terhubung. Satu dependency yang dikompromikan bisa merambat ke ribuan produk — dari startup kecil hingga perusahaan raksasa seperti OpenAI.
Tren ini semakin mengkhawatirkan. Semakin banyak perusahaan AI bermunculan — seperti yang terlihat dalam dinamika ekosistem AI global — semakin besar pula permukaan serangan (attack surface) yang tersedia bagi peretas. Dan semakin industri bergantung pada open source, semakin kritis pentingnya keamanan supply chain.
OpenAI sendiri mengakui hal ini dalam blog mereka: “This incident reflects a broader shift in the threat landscape: attackers are increasingly targeting shared software dependencies and development tooling rather than any single company.”
Untuk pengguna ChatGPT di Indonesia — baik yang pakai untuk kerja, belajar, atau sekadar curiosity — pesan utamanya sederhana: update aplikasi Mac kamu saat diminta. Lebih dari itu, tetap nyalakan 2FA di akun OpenAI kamu dan review aplikasi-aplikasi yang terhubung ke akun secara berkala.
Sumber: OpenAI Official Blog, Engadget, 9to5Mac, detikInet
