Synth Daily

苹果公司称前员工离职加入 OpenAI 后,曾利用“罕见”漏洞下载机密文件

苹果公司正在起诉 OpenAI,指控其窃取商业机密。诉讼的核心是一名苹果前员工在加入 OpenAI 后,利用一个罕见的安全漏洞下载了苹果的机密文件。这一事件暴露了企业在员工离职后保护敏感数据所面临的重大挑战,尤其是当存在未知系统缺陷时。

诉讼与核心指控

苹果公司声称,其前系统电气工程师 常某 (Chang Liu) 在离职并加入 OpenAI 数周后,从公司网络中窃取了大量敏感文件。诉讼指出,OpenAI 在招募苹果前员工的过程中,涉嫌窃取了关于苹果未发布产品的专有信息。

  • 指控对象: 前员工常某及新雇主 OpenAI。
  • 核心内容: 涉嫌盗窃包含苹果未发布产品信息的商业机密。
  • 作案时间: 在该员工从苹果离职、已正式入职 OpenAI 之后。

一个“罕见”的安全漏洞

常某之所以能成功访问,是利用了一个苹果当时未知的系统缺陷。

他“利用了一个罕见的、先前未知的身份验证漏洞”来访问公司网络。

这个漏洞被归类为 “零日漏洞”,这意味着在被利用之前,苹果公司完全不知情,也没有时间进行修复。事发后,苹果已修复了该漏洞,并终止了涉事员工的访问权限。根据服务器日志,苹果认为尽管该漏洞可能允许少数其他人访问网络,但 只有常某利用它窃取了机密信息

窃取的文件与方式

诉讼文件详细描述了常某的行为,揭示了他如何获取并处理这些敏感数据。

  • 窃取内容: 他下载了 “数十个与苹果硬件相关的机密文件”,其中包括:
    • 关于 未发布产品 的详细信息。
    • 工程演示文稿。
    • 技术规格和专有项目数据。
  • 违规行为:
    • 未按规定归还 苹果公司发放的工作笔记本电脑。
    • 他还滥用了当时仍在苹果工作的朋友 彭某 (Yu-Ting Peng) 的权限,使用了她的工作电脑来访问网络。
  • 关键证据: 在发现自己仍能访问苹果网络后,常某给彭某发了一条信息:

哈哈,我发现我还能访问(网络存储),太逗了。

离职员工带来的安全挑战

这起案件凸显了一个普遍存在的企业安全难题:如何有效管理离职员工的数据访问权限。通常,公司会立即切断离职员工的所有访问权限,以防敏感信息被有意或无意地带走。如果未能彻底停用员工账户,公司将面临 数据泄露、安全漏洞或心怀不满的前员工恶意报复 的风险。

法律行动

苹果公司已在美国加州北区地方法院提起诉讼,并 要求进行陪审团审判。而 OpenAI 此前曾公开表示,它对“其他公司的商业机密不感兴趣”。如果案件继续推进,审理可能会在今年开始。