Le 13 mai 2026, OpenAI publie son post-mortem sur l'attaque de chaîne d'approvisionnement baptisée "Mini Shai-Hulud", ciblant l'écosystème npm de TanStack. L'incident a conduit l'équipe à renforcer les certificats de signature et les protections système, et à imposer une mise à jour obligatoire des applications macOS avant le 12 juin 2026 — délai court qui signale une exposition active, pas un exercice de précaution. Ce type d'attaque — compromettre un package npm populaire pour atteindre les environnements de build en aval — est le vecteur le plus sous-estimé dans les stacks IA actuelles, où les dépendances JS côtoient des pipelines d'inférence et des clés API à haute valeur.
En parallèle, OpenAI documente la mise en sandbox de Codex sur Windows : accès fichiers contrôlé, restrictions réseau, isolation de l'agent de code. Le signal ici est architectural — pas de benchmark, pas de chiffre de performance, mais une réponse directe au problème concret des agents qui exécutent du code arbitraire sur des machines de développeurs Windows. Les deux publications du jour forment un même fil : OpenAI est en train de construire une surface de sécurité cohérente autour de ses agents (Codex) et de ses canaux de distribution (npm, apps signées), probablement sous pression des équipes enterprise qui conditionnent leur déploiement à ces garanties.
OpenAI détaille sa réponse à l'attaque de chaîne d'approvisionnement TanStack "Mini Shai-Hulud", explique les protections appliquées aux systèmes et certificats de signature, et impose une mise à jour obligatoire des apps macOS avant le 12 juin 2026. Incident affectant la sécurité logicielle et renforcement des défenses contre les menaces émergentes.
OpenAI a développé un sandbox sécurisé pour Codex sur Windows, permettant aux agents de code de fonctionner en toute sécurité avec accès fichiers et restrictions réseau contrôlés. Aucun détail technique ou benchmark fourni dans l'extrait.