Apple称前员工在前往OpenAI后利用“罕见”漏洞下载机密文件

周五,Apple发布了一条重磅消息,它正在起诉OpenAI涉嫌窃取商业机密,声称OpenAI窃取了Apple的机密数据,并在招聘前Apple员工时试图了解专有信息。
在指控OpenAI窃取有关Apple未发布产品的机密时,Apple透露,一名前员工据称在离开Apple前往OpenAI工作几周后,从公司的共享网络文件夹中窃取了大量敏感文件。
Apple在其投诉中称,这名前雇员是一位名叫Chang Liu的系统电气工程师,据称“利用了一个罕见的、以前未知的身份验证错误”,允许访问该公司的网络。该错误被归类为零日漏洞,这意味着Apple在据称被利用之前没有时间修复它。
Apple此后修复了该错误,并表示一旦得知这一“安全漏洞”,就会终止该员工的访问权限。 Apple在投诉中表示,该漏洞可能允许“少数其他”人访问其网络上的数据,但声称只有Liu在不再是员工的情况下利用该漏洞窃取了Apple的机密信息,并援引了对其服务器日志的检查。
该披露虽然细节不多,但凸显了在员工不再工作后,组织在保护敏感公司数据方面面临的挑战。公司经常采取措施立即切断离职员工的进一步访问权限,以保护任何敏感信息免遭泄露(包括无意中泄露)。未能完全停用员工账户的公司可能会面临未来的安全漏洞、数据泄露或心怀不满的员工的恶意行为。
Apple发言人没有回复来自TechCrunch的电子邮件,其中询问了有关安全漏洞、如何利用该漏洞以及公司何时停用员工凭证的问题。
“哈哈……太有趣了。”
在诉状中,Apple声称刘在作为OpenAI新员工期间在几周内获取了“数十个Apple的机密硬件相关文件”。
Apple表示,这些文件包含“有关未发布产品、工程演示、技术规格和专有项目数据的详细信息”。
该公司声称,Liu未能归还他之前用于访问Apple网络的Apple发放的工作笔记本电脑,这表明它曾经能够从Apple的内部系统发送和接收文件。起诉书称,刘据称声称拥有“另一台电脑”。据称,刘在OpenAI期间还滥用了熟人彭玉廷 (Yu-Ting Peng) 的访问权限,彭玉廷当时是Apple的员工,后来为OpenAI工作。据称,刘使用了彭的Apple发放的工作笔记本电脑,“当时她仍在Apple工作,而他已不在。”
Apple表示,2026年2月期间,刘“试图访问Apple的网络存储——一个基于云的文件存储库,其中包含Apple的机密工程文件、项目文档和其他专有信息。”
据称,刘发现他“在离开Apple后仍然可以访问Apple的网络存储库,这是当时未知的身份验证漏洞的结果。”
Apple没有描述刘据称用来访问Apple网络的身份验证“错误”。然而,身份验证错误通常是指登录过程中的缺陷,这些缺陷允许对系统或数据进行不当访问,原因可能是登录机制的工作方式存在缺陷,也可能是由于配置错误,例如权限过于广泛或未停用前员工的登录凭据。
Apple在投诉中写道,当刘得知他未经授权访问了Apple的系统时,他没有据雇佣协议义务向Apple报告该错误,也没有归还Apple发放的工作笔记本电脑。
投诉还补充说,刘也未能“删除允许访问”Apple网络的程序。该公司没有透露刘涉嫌使用什么程序或应用程序访问Apple的系统。员工拥有工作认可的VPN或远程查看应用程序等工具的情况并不少见,这些工具允许他们使用自己的凭据从公司办公室外部访问敏感数据。
鉴于Liu之前作为员工获得了Apple网络的凭据,TechCrunch询问Apple公司何时停止了Liu的访问权限,但我们没有收到回复。
一旦刘据称获得了网络共享的访问权限,他就写信给彭:“哈哈,我发现我可以访问[网络存储],太有趣了。”
Apple向位于圣何塞的美国加州北区地方法院提起诉讼,并要求陪审团审判。 OpenAI此前表示,它“对其他公司的商业秘密没有兴趣”。
如果案件继续审理,可能会在今年开始审理。