No todas las noticias para builders vienen como feature launch. A veces llegan como recordatorio operativo de que tu cadena de herramientas tambien puede romperse por arriba. Eso es exactamente lo que dejo OpenAI en su respuesta del 13 de mayo de 2026 al ataque de cadena de suministro sobre TanStack npm.

La lectura util para quien usa Codex App o Codex CLI en macOS es concreta: hay que actualizar antes del 12 de junio de 2026 para que las apps queden firmadas con los nuevos certificados. Despues de esa fecha, OpenAI dice que las versiones firmadas con el certificado anterior pueden dejar de funcionar o quedar bloqueadas por las protecciones de macOS.

Dispositivo editorial con apps firmadas, rotacion de certificados y alertas de origen confiable en macOS

Que paso exactamente

OpenAI explica que detecto impacto en dos dispositivos corporativos por el ataque y que encontro actividad de exfiltracion enfocada en credenciales dentro de un subconjunto limitado de repositorios internos. La empresa afirma que no encontro evidencia de compromiso en datos de usuarios, productos o propiedad intelectual, pero igual decidio rotar certificados de firma como medida precautoria.

Eso mueve el problema desde "incidente interno" a "accion requerida para usuarios de macOS".

La fecha que no conviene perder

OpenAI publica una fecha dura: 12 de junio de 2026.

Ese dia planea revocar por completo el certificado anterior. Segun su nota, macOS bloqueara nuevas descargas y nuevos lanzamientos de apps firmadas con ese material viejo. Tambien aclara que las versiones antiguas ya no recibiran soporte y pueden dejar de funcionar.

Para Codex, el aviso menciona como ultima version con certificado viejo:

Codex App: 26.506.31421
Codex CLI: 0.130.0

Eso vuelve esta noticia muy buscable para consultas tipo codex cli 0.130.0, codex mac update, openai certificate update, o codex app june 12.

Escena editorial con terminal de Codex, cadena de firma renovada y ruta segura de actualizacion oficial

Lo que yo haria si uso Codex en Mac

No lo trataria como aviso menor. Haria esto en orden:

revisar que la app de Codex y el CLI ya esten en una version posterior a las firmadas con el certificado viejo;
actualizar solo desde los canales oficiales de OpenAI o desde el repo oficial del CLI;
evitar por completo instaladores compartidos por correo, chats, ads o mirrors de terceros;
si el equipo guarda instaladores internos, revalidar cuales siguen siendo seguros despues del cambio de certificado.

Este tipo de incidente no siempre roba datos de usuarios. A veces solo demuestra que tu confianza estaba apoyada en una pieza demasiado compartida del ecosistema.

El error comun que esta nota ayuda a evitar

Muchos equipos separan "seguridad de producto" de "seguridad del entorno de desarrollo". Esa division ya no aguanta mucho.

Si un agente corre en tu Mac, toca repos, usa tokens y automatiza cambios, entonces la integridad del cliente importa tanto como la del modelo o la del backend. Por eso esta historia encaja mejor en un sitio de builders que en un resumen corporativo general.

Por que esta historia puede ganar trafico cualificado

La demanda no depende de hype sino de urgencia operativa. Quien busque esto suele querer resolver algo puntual:

actualizar codex macos
codex cli 0.130.0 update
openai tanstack supply chain attack
chatgpt codex certificate june 12

Ademas deja una leccion mas durable: si tu flujo depende de agentes locales, tu superficie de riesgo incluye dependencias, firmas, instaladores y actualizaciones, no solo prompts y permisos. Esa es la misma disciplina que aparece en piezas como OpenAI y el sandbox seguro de Codex en Windows, pero ahora vista desde cadena de suministro.

La conclusion corta: OpenAI no esta pidiendo actualizar por marketing. Esta cerrando una ventana de confianza sobre sus apps de macOS, y quienes usan Codex para trabajo real deberian tratarlo como una accion operativa con fecha limite.