Apple avvia un'azione legale contro OpenAI per presunta sottrazione di segreti industriali

Apple avvia un’azione legale contro OpenAI per presunta sottrazione di segreti industriali

Apple ha lanciato un’azione legale dirompente contro OpenAI, accusando formalmente l’azienda di intelligenza artificiale di aver sottratto segreti commerciali riservati e dati sensibili per accelerare il proprio sviluppo hardware. La notizia è stata confermata il 10 luglio 2026, quando Apple ha depositato l’istanza nella Corte federale del Distretto Nord della California, dichiarando che OpenAI ha utilizzato informazioni proprietarie di Cupertino per costruire dispositivi AI competitivi [1][2].

La situazione è complessa e riguarda direttamente la sicurezza dei dati aziendali dopo l’uscita dei dipendenti. Sebbene Apple non abbia fornito dettagli tecnici immediati sulla vulnerabilità, il punto cruciale è che un ex ingegnere, Chang Liu, è riuscito a scaricare file riservati settimane dopo aver lasciato l’azienda per lavorare a OpenAI, sfruttando un bug di autenticazione raro e sconosciuto [1][3]. Questo evento sottolinea un problema fondamentale per tutte le organizzazioni: la necessità di disattivare immediatamente gli accessi dei dipendenti in partenza per prevenire fughe di dati, sia accidentali che deliberate [1].

Per chi gestisce aziende o progetti tecnologici, la soluzione immediata è verificare che tutti i profili e le credenziali degli ex dipendenti siano completamente eliminati dai sistemi cloud e dalle reti interne. Apple stessa ha già corretto il bug e ha revocato l’accesso di Liu, ma il danno è stato già compiuto con il download di decine di file hardware riservati contenenti specifiche tecniche e progetti di prodotti non ancora rilasciati [1][2].

I dettagli dell’accusa e il ruolo dei dipendenti

L’azione legale di Apple non si limita a un singolo atto di furto, ma descrive una campagna coordinata di condotta illegale a livello istituzionale. Apple sostiene che OpenAI abbia sistematicamente sottratto segreti commerciali a “ogni livello”, dal personale tecnico fino al Chief Hardware Officer, Tang Tan, un ex vice-presidente di Apple che è ora un defendant nel caso [1][3].

Le accuse sono specifiche e gravi. Secondo il documento legale, Tan ha diretto i candidati che lavoravano ancora per Apple a portare parti fisiche reali dei dispositivi Apple durante le interviste di lavoro per OpenAI. Queste sessioni, descritte come “show and tell”, erano utilizzate per elicitarre ulteriori informazioni confidenziali sui prodotti in sviluppo [1]. In un caso emblematico, un candidato ha iniziato a fotografare e scaricare documenti relativi a un progetto segreto poche ore prima di un’intervista con Tan, ricevendo poi domande specifiche su quel progetto durante la colloquio [3].

Chang Liu, l’ex ingegnere elettrico di sistema, è il secondo ex dipendente accusato. Apple afferma che Liu non ha mai consegnato il laptop aziendale Apple che utilizzava per accedere alla rete interna. Sfruttando la vulnerabilità di autenticazione, Liu ha mantenuto l’accesso al repository di file cloud di Apple, dove ha scaricato più di mille pagine di file tecnici [2][3]. Questi documenti includono informazioni su disegni di circuiti, processi di produzione per dispositivi Apple e specifiche ingegneristiche di prodotti non ancora annunciati [2][3].

Liu ha anche sfruttato l’accesso di un suo conoscente, Yu-Ting Peng, un’altra ex dipendente Apple che è poi passata a OpenAI. Liu avrebbe utilizzato il laptop aziendale di Peng mentre era ancora impiegata ad Apple, ma quando lui non lo era più, permettendogli di accedere ai sistemi riservati [1]. Quando Liu ha scoperto che poteva ancora accedere al repository di rete, ha inviato un messaggio a Peng scrivendo: “LOL, ho scoperto che posso accedere al [repository di rete], così divertente” [1].

La strategia di OpenAI e la risposta del laboratorio AI

Apple sostiene che OpenAI non ha agito in isolamento, ma ha coinvolto partner commerciali per ottenere tecnologie proprietarie. L’azienda ha accusato OpenAI di chiedere a fornitori hardware di eseguire una tecnica di finitura in metallo inventata da Apple, ingannando i partner per far credere che Cupertino avesse autorizzato il lavoro [1][3]. Questo metodo permette a OpenAI di ottenere know-how di produzione senza averlo sviluppato internamente, utilizzando segretamente le innovazioni di Apple.

OpenAI ha risposto alle accuse con una dichiarazione breve e ferma, affermando che non ha alcun interesse nei segreti commerciali di altre aziende e che si concentra sulla costruzione di tecnologia innovativa per le persone [1][3]. L’azienda sta esaminando la denuncia legale, ma non ha ancora fornito una contro-difesa dettagliata sulle accuse specifiche di furto di dati [3].

Apple chiede al tribunale di bloccare OpenAI dall’uso o dalla divulgazione dei suoi segreti commerciali, di richiedere il ritorno di qualsiasi materiale confidenziale Apple e di preservare tutte le prove rilevanti per il caso [3]. La società richiede anche indennizzi di danni e un ordine per costringere OpenAI a fermare l’utilizzo dei segreti commerciali sottratti [1].

Impatto sul settore e implicazioni future

Questo caso rappresenta una delle battaglie legali più significative nella recente storia di Apple e potrebbe avere un impatto profondo sul settore dell’intelligenza artificiale e dell’hardware. OpenAI, che sta sviluppando dispositivi hardware specializzati per l’AI, si trova ora accusata di costruire il suo business su una base “instabile e rovinata” dalla dipendenza illegale da segreti commerciali rubati [1][8].

Se il caso procede, potrebbe iniziare già nel 2026, con un giudizio con giuria richiesto da Apple [1]. La questione centrale sarà determinare se i dati rubati sono effettivamente presenti sui server di OpenAI e se sono stati utilizzati per sviluppare i dispositivi hardware dell’azienda [7]. Questo caso mette in luce la crescente competizione tra i giganti tecnologici per il dominio nell’hardware AI, dove la proprietà intellettuale e i segreti industriali sono diventati asset critici [2].

Technical Deep Dive

Per gli utenti tecnici e gli esperti di sicurezza informatica, è fondamentale analizzare la natura della vulnerabilità sfruttata da Chang Liu. Apple ha classificato il bug come una vulnerabilità zero-day, un termine che indica un difetto di sicurezza noto agli attaccanti ma non ancora al venditore o al produttore, che quindi non ha tempo di applicare una correzione prima che l’exploit avvenga [1].

Il bug è specificamente un bug di autenticazione raro e precedentemente sconosciuto che ha permesso l’accesso alla rete aziendale [1]. I bug di autenticazione si riferiscono generalmente a errori nel processo di login che consentono un accesso improprio a sistemi o dati. Questi errori possono derivare da:

  1. Debolezza nel meccanismo di login: Un difetto algoritmico o di implementazione che permette di bypassare la verifica delle credenziali.
  2. Misconfigurazione: Problemi come permessi eccessivi (overbroad permissions) che concedono accesso a risorse non necessarie.
  3. Credenziali non disattivata: Il fallimento nel rimuovere le credenziali di login di un ex dipendente, permettendo che il suo account rimanga attivo e accessibile [1].

Nel caso di Liu, la vulnerabilità ha permesso al suo laptop aziendale, che non era ancora stato disattivato o ripreso, di continuare a raggiungere il cloud storage di Apple e le carte di rete condivise dall’esterno dell’azienda [6]. Questo suggerisce che il sistema di autenticazione non ha correttamente riconosciuto che l’utente era stato revocato o che il dispositivo era stato rimosso dall’elenco autorizzato.

Apple ha corretto il bug dopo la scoperta della violazione, ma il danno è stato già causato. Il caso evidenzia l’importanza critica dei protocolli di decommissioning per gli account dei dipendenti. Le aziende che non completano pienamente la revoca degli account dei dipendenti in partenza possono subire future violazioni di sicurezza, fughe di dati o azioni malicious da personale dissenziente [1].

Inoltre, la natura del bug come zero-day implica che Apple non aveva una patch disponibile per proteggerlo prima dell’exploit. Questo è un rischio comune per le organizzazioni che gestiscono dati sensibili: la sicurezza dipende spesso dalla capacità di rilevare e rispondere rapidamente a nuove vulnerabilità, un processo che può essere lento se la vulnerabilità è sconosciuta fino al momento dell’attacco.

Per gli esperti di sicurezza, questo caso è un esempio di come l’accesso residuo (residual access) possa essere sfruttato da dipendenti in partenza per rubare dati proprietari. Le misure di sicurezza dovrebbero includere:

  • Monitoraggio continuo dei log di accesso: Apple ha controllato i log dei server per verificare che solo Liu abbia sfruttato il bug, anche se il bug avrebbe potuto permettere l’accesso a “pochi altri” [1].
  • Revoca immediata delle credenziali: La disattivazione immediata dei profili e delle credenziali dei dipendenti in partenza è essenziale per prevenire accessi non autorizzati.
  • Gestione dei dispositivi aziendali: Il recupero immediato dei laptop aziendali e la disattivazione delle loro connessioni alla rete interna sono fondamentali per prevenire l’uso di dispositivi rubati per accedere a dati riservati [1][2].

Questo caso legale e la vulnerabilità tecnica sfruttata offrono un quadro completo delle sfide che le organizzazioni devono affrontare nella protezione dei dati sensibili in un ambiente digitale sempre più complesso e competitivo.

Fonte: https://techcrunch.com/2026/07/13/apple-says-former-employee-exploited-rare-bug-to-download-confidential-files-after-leaving-for-openai/

Torna in alto