
根据向美国加利福尼亚北区联邦地区法院提起的一项诉讼,苹果公司指控一名前工程师利用此前未知的身份验证漏洞,在加入竞争对手OpenAI数周后下载了数十份机密硬件相关文件。
诉状称,刘畅(Chang Liu)是一名系统电气工程师,于2026年初离开苹果加入OpenAI。他在离职后发现并利用了一个”罕见、此前未知的身份验证漏洞”,以访问苹果的云端文件存储库。苹果称该漏洞此后已被修补,但刘畅在整个2026年2月期间得以检索未发布的产品规格、工程演示文稿和专有项目数据。
诉状显示,刘畅在发给当时仍是苹果员工、后来也加入OpenAI的彭玉婷(Yu-Ting Peng)的消息中写道:”哈哈,我发现我能访问[网络存储],太有趣了。”
苹果声称,刘畅没有报告该漏洞,,尽管其雇佣协议要求他这样做,,并且在离职后未能删除访问工具。苹果还指控刘畅未归还公司配发的笔记本电脑,并在彭玉婷仍在苹果任职期间使用她的工作电脑继续访问敏感数据。
该诉讼凸显了这两家科技巨头之间日益紧张的关系,因为OpenAI正从苹果硬件部门挖角人才。苹果要求陪审团审判,并拒绝对该漏洞的技术细节或刘畅的访问凭证何时被停用发表评论。
OpenAI此前曾表示”对其他公司的商业机密没有兴趣”。该公司未就诉讼中的具体指控发表评论。
此案揭示了企业数据安全中一个长期存在的盲点:员工离职与其访问凭证完全失效之间的时间差。当与认证系统中未报告的零日漏洞相结合时,这一差距就变成了一扇敞开的大门。
来源:Apple says former employee exploited ‘rare’ bug to download confidential files after leaving for OpenAI (TechCrunch, 2026年7月)
婷 翻译

