Ключевые выводы
- Apple подала иск в США против OpenAI, обвиняя компанию в краже конфиденциальных инженерных файлов через бывшего сотрудника.
- Бывший системный инженер Чанг Лю, по версии Apple, использовал неизвестную уязвимость аутентификации (zero‑day) для доступа к сети после увольнения.
- Случай поднимает вопрос о необходимости мгновенного отключения учетных записей уволенных сотрудников и усиления контроля доступа.
Apple и OpenAI — два технологических гиганта, но их разногласия могут стать уроком для всех компаний, которым важна защита интеллектуальной собственности.
Что именно случилось: факты и хронология
В пятницу Apple объявила о подаче иска против OpenAI в Окружном суде Северного округа Калифорнии (Сан‑Хосе). По словам Apple, бывший инженер‑электрик Чанг Лю (Chang Liu) после ухода из компании в феврале 2026 года продолжал иметь доступ к внутренней сети Apple благодаря ранее не известной уязвимости аутентификации.
Согласно комплекту судебных документов, Лю «эксплуатировал редкую, ранее неизвестную ошибку входа», которая позволила ему копировать десятки конфиденциальных файлов, связанных с будущими продуктами Apple, включая технические спецификации, презентации и проектные данные.
Эти материалы, по словам Apple, были переданы OpenAI, где Лю уже работал. Кроме того, в иске указывается, что Лю использовал ноутбук бывшего коллеги Ю‑Тинг Пен (Yu‑Ting Peng), чтобы получить доступ к сети, пока Пен ещё была в Apple.
Apple заявила, что после обнаружения нарушения она «незамедлительно отключила учетную запись Лю» и «устранила уязвимость», однако подробности о том, как была исправлена ошибка, не раскрываются.
Технический аспект: zero‑day уязвимость аутентификации
Zero‑day (нулевой день) — это уязвимость, о которой поставщик продукта не знает и поэтому не успел её исправить. В данном случае проблема была в процессе входа в сеть: система не проверяла должным образом токен аутентификации, что позволяло использовать «старый» набор учетных данных.
Подобные баги часто возникают из‑за:
- Ошибок в реализации протоколов OAuth или SAML.
- Неправильных прав доступа, когда бывший сотрудник сохраняет привилегии администратора.
- Отсутствия автоматической ротации паролей и токенов после увольнения.
Для компаний это сигнал: необходимо внедрять процесс «Zero‑Trust», где каждый запрос к ресурсам проверяется независимо от того, где и кем он инициирован.
Какие данные могли попасть в руки OpenAI?
Apple в иске перечисляет типы файлов, которые, как утверждается, были украдены:
- Подробные чертежи и схемы будущих устройств (возможно, iPhone 15 Pro Max, AR‑очки или новые процессоры).
- Технические спецификации компонентов, такие как чипы серии Apple Silicon.
- Презентационные материалы, предназначенные для внутренних демо‑сессий.
- Проектные документы, включающие дорожные карты развития программного обеспечения.
Если такие сведения действительно оказались у OpenAI, это может дать последней конкурентное преимущество в области генеративного ИИ, позволяя лучше оптимизировать модели под железо Apple.
Юридический контекст: иск и требование суда присяжных
Apple потребовала рассмотрения дела в суде с участием присяжных, что указывает на её намерение добиваться публичного признания вины. Иск охватывает такие требования, как:
- Возмещение судебных расходов и убытков.
- Запрет OpenAI на использование любой информации, полученной через Лю.
- Возможные штрафы за нарушение законов о защите интеллектуальной собственности.
OpenAI, в свою очередь, уже опубликовала заявление в Твиттере, в котором говорилось, что компания «не интересуется чужими торговыми секретами». Пока они не подали встречный иск.
Последствия для бизнеса: как избежать похожих инцидентов
Случай Apple / OpenAI показывает, что главная уязвимость — человек. Даже при наличии современных систем защиты, бывший сотрудник может:
- Сохранить доступ к VPN, если учётные данные не отозваны.
- Использовать «скрытые» инструменты, такие как удалённый доступ или сторонние скрипты.
- Сотрудничать с другими сотрудниками, которые ещё работают в компании.
Практические рекомендации:
- Автоматически закрывать все учетные записи в момент увольнения.
- Внедрять многофакторную аутентификацию и периодически проверять привилегии.
- Проводить аудиты журналов доступа в реальном времени.
- Устанавливать политики «least privilege» — пользователям даются только необходимые права.
- Обучать персонал признакам потенциально опасного поведения.
Справка
Apple Inc. — американская технологическая компания, основанная Стивом Джобсом, Стивом Возняком и Роном Уэйном в 1976 году. Крупнейший производитель смартфонов, планшетов и компьютеров; известна своей закрытой экосистемой и строгой политикой защиты интеллектуальной собственности.
OpenAI — исследовательская организация в сфере искусственного интеллекта, основанная в 2015 году Илоной Маск, Сэмом Альтманом и другими. Разработала модели GPT‑4, DALL·E и другие генеративные системы, используемые в коммерческих продуктах.
Чанг Лю (Chang Liu) — бывший системный инженер‑электрик Apple, уволенный в начале 2026 года. По версии Apple, использовал неизвестную уязвимость аутентификации, чтобы копировать конфиденциальные файлы после ухода.
Ю‑Тинг Пен (Yu‑Ting Peng) — бывший сотрудник Apple, который позже перешёл в OpenAI. В иске упоминается, что её ноутбук был использован Лю для доступа к сети Apple.
Zero‑day уязвимость — ошибка в программном обеспечении, известная только злоумышленникам и производителю, что не позволяет быстро выпустить патч. В данном случае ошибка позволила обход аутентификации.
Северный округ Калифорнии (Northern District of California) — федеральный суд, в котором рассматриваются большинство споров, связанных с технологическим сектором США, включая дела Apple, Google и Facebook**.
Судебная тяжба Apple / OpenAI покажет, насколько серьёзно крупные корпорации относятся к защите своей интеллектуальной собственности в эпоху ИИ.







