Apple kiện OpenAI: Cáo buộc chiếm đoạt bí mật phần cứng
- Evelyn Carter

- 1 ngày trước
- 6 phút đọc
Apple ngày 10/7/2026 khởi kiện OpenAI, io Products và hai cựu nhân viên tại Tòa án Liên bang khu vực Bắc California. Vụ án số 5:26-cv-07078 cáo buộc các bị đơn chiếm đoạt bí mật thương mại liên quan đến phần cứng, quy trình sản xuất và chuỗi cung ứng. Đây mới là cáo buộc của nguyên đơn, chưa phải kết luận của tòa và không gắn với CVE cụ thể.
Vụ kiện không chỉ phản ánh cạnh tranh giữa hai tập đoàn công nghệ. Các cáo buộc còn mô tả một chuỗi rủi ro quen thuộc với doanh nghiệp: thiết bị không được thu hồi, tài khoản vẫn truy cập được sau khi nhân viên nghỉ việc, dữ liệu được chuyển qua tài khoản cá nhân và thông tin mật bị khai thác trong tuyển dụng.
OpenAI phủ nhận quan tâm đến bí mật thương mại của doanh nghiệp khác và cho biết đang xem xét đơn kiện. Vì vụ án mới ở giai đoạn đầu, mọi hành vi được đề cập dưới đây cần được hiểu là cáo buộc của Apple, chưa được tòa án xác nhận.

Apple đã cáo buộc OpenAI và các cựu nhân viên điều gì?
Apple cho rằng Chang Liu và Tang Yew Tan đã lấy hoặc sử dụng thông tin mật để hỗ trợ hoạt động phát triển phần cứng của OpenAI. Đơn kiện còn cáo buộc OpenAI và io Products hưởng lợi từ dữ liệu, kinh nghiệm nội bộ và quan hệ với nhà cung ứng của Apple.
Bị đơn | Cáo buộc chính của Apple | Trạng thái xác minh |
Chang Liu | Không hoàn trả laptop công ty; tận dụng một lỗi xác thực để tiếp tục truy cập hệ thống lưu trữ; tải xuống hàng chục file phần cứng mật; hướng dẫn một đồng nghiệp tránh bị bộ phận an ninh phát hiện | Chưa được tòa án kết luận |
Tang Yew Tan | Chuyển thông tin nhà cung ứng ra ngoài; sử dụng mã dự án và thuật ngữ nội bộ trong tuyển dụng; bị cáo buộc yêu cầu ứng viên mang linh kiện hoặc tài liệu thiết kế đến phỏng vấn | Chưa được tòa án kết luận |
OpenAI và io Products | Bị cáo buộc tổ chức quy trình tuyển dụng nhằm khai thác kiến thức mật, tiếp cận nhà cung ứng và sử dụng thông tin để thúc đẩy chương trình phần cứng | OpenAI phủ nhận quan tâm đến bí mật thương mại |
Vụ kiện cho thấy những lỗ hổng kiểm soát nội bộ nào?
Dù kết quả vụ kiện chưa được xác định, kịch bản được mô tả cho thấy phòng thủ dữ liệu không thể chỉ dựa vào cam kết bảo mật của nhân viên. Doanh nghiệp phải kết hợp kiểm soát danh tính, thiết bị, dữ liệu, nhật ký và quy trình nhân sự.
Tài khoản và phiên đăng nhập không bị thu hồi ngay khi nhân viên nghỉ việc.
Laptop, điện thoại hoặc khóa xác thực chưa được kiểm kê và hoàn trả.
Dữ liệu mật vẫn có thể gửi tới email cá nhân hoặc ứng dụng nhắn tin
Không có cảnh báo khi người dùng tải nhiều tài liệu bất thường
Quy trình phỏng vấn không quy định rõ giới hạn thông tin ứng viên được trình bày
Nhà cung ứng không xác minh lại thẩm quyền trước khi chia sẻ quy trình độc quyền
Doanh nghiệp có thể tham khảo cách áp dụng Endpoint DLP để hạn chế dữ liệu nhạy cảm bị chuyển qua ứng dụng ngoài kiểm soát. DLP, hay Data Loss Prevention, là nhóm công nghệ nhận diện và kiểmsoát hành vi sao chép, tải lên, gửi hoặc chuyển dữ liệu ra khỏi phạm vi được phép.
Đối với hoạt động AI, chính sách cũng cần xác định nhân viên được phép nhập loại dữ liệu nào vào mô hình bên ngoài. Nội dung về quản trị dữ liệu khi ứng dụng AI trong doanh nghiệp có thể hỗ trợ xây dựng quy tắc phân loại và phê duyệt dữ liệu trước khi sử dụng công cụ AI.
Doanh nghiệp cần làm gì ngay lúc này?
Doanh nghiệp nên kiểm tra cả nhân sự đã nghỉ việc gần đây và những tài khoản có hành vi tải dữ liệu bất thường. Việc điều tra cần bảo toàn chứng cứ và tuân thủ quy định lao động, quyền riêng tư cùng quy trình pháp lý nội bộ.
Ưu tiên tự động hóa việc khóa tài khoản theo thời điểm nghỉ việc; áp dụng Least Privilege; giới hạn thời gian phiên đăng nhập; bắt buộc MFA; triển khai DLP; duy trì nhật ký truy cập; kiểm tra bất thường khi người dùng tải lượng dữ liệu lớn; và diễn tập tình huống nhân viên mang dữ liệu sang đối thủ.
Checklist hành động ưu tiên:
Lập danh sách nhân viên đã nghỉ việc hoặc chuyển bộ phận trong 90 ngày gần nhất.
Đối chiếu trạng thái tài khoản, token, VPN, kho mã nguồn và hệ thống lưu trữ của từng người.
Xác nhận laptop, điện thoại, thẻ ra vào và khóa bảo mật vật lý đã được hoàn trả.
Tìm kiếm hành vi tải xuống hàng loạt, gửi email ra ngoài hoặc sao chép dữ liệu sang USB và ứng dụng đám mây cá nhân.
Buộc đăng xuất toàn bộ phiên, thu hồi token và xoay vòng khóa dùng chung khi nhân viên rời tổ chức.
Thiết lập DLP theo nhãn phân loại như Public, Internal, Confidential và Restricted.
Bổ sung quy định cấm ứng viên mang tài liệu, nguyên mẫu hoặc dữ liệu của đơn vị cũ vào buổi phỏng vấn.
Yêu cầu nhà cung ứng xác minh bằng kênh độc lập trước mọi đề nghị sử dụng quy trình, thiết kế hoặc công cụ độc quyền.
Góc nhìn chuyên gia từ IPSIP Việt Nam?
Chưa thể kết luận nguyên nhân gốc của vụ Apple kiện OpenAI khi quá trình tố tụng mới bắt đầu. Tuy nhiên, các điểm yếu thường tạo điều kiện cho sự cố tương tự là offboarding không đồng bộ, quyền truy cập tồn dư, thiếu kiểm soát trên thiết bị đầu cuối và giám sát dữ liệu chưa theo hành vi.
Doanh nghiệp Việt Nam cần xem quy trình nhân viên nghỉ việc là một quy trình ứng phó rủi ro, không phải thủ tục hành chính. HR, quản lý trực tiếp, IT, pháp chế và an ninh mạng phải sử dụng cùng một checklist và có người chịu trách nhiệm xác nhận hoàn tất.
Giải pháp nào của IPSIP Việt Nam phù hợp với doanh nghiệp?
Microsoft Intune MDM phù hợp khi doanh nghiệp cần kiểm kê thiết bị, áp chính sách bảo mật, thu hồi quyền truy cập hoặc xóa dữ liệu công ty trên thiết bị được quản lý. MDM không thay thế DLP hay SOC nhưng giúp giảm rủi ro từ laptop và thiết bị chưa được thu hồi.
SOC 24/7 phù hợp với doanh nghiệp cần tập trung nhật ký từ endpoint, danh tính, máy chủ và cloud để phát hiện hành vi truy cập hoặc truyền dữ liệu bất thường.
Đào tạo An ninh mạng có thể được tùy biến cho HR, quản lý tuyển dụng và nhân viên kỹ thuật, tập trung vào bảo vệ dữ liệu, nghĩa vụ bảo mật và giới hạn thông tin được sử dụng khi phỏng vấn.

Câu hỏi thường gặp
Apple kiện OpenAI vì một lỗ hổng bảo mật hay vì đánh cắp dữ liệu?
Apple khởi kiện về hành vi bị cáo buộc là chiếm đoạt bí mật thương mại và vi phạm hợp đồng. Một lỗi xác thực chỉ là một phần trong cáo buộc liên quan Chang Liu, không phải toàn bộ căn cứ của vụ kiện.
OpenAI đã bị kết luận đánh cắp bí mật của Apple chưa?
Chưa. Đơn kiện phản ánh lập luận và bằng chứng do Apple trình bày. OpenAI phủ nhận quan tâm đến bí mật thương mại của công ty khác; tòa án chưa đưa ra kết luận về trách nhiệm pháp lý.
DLP có thể ngăn hoàn toàn rò rỉ dữ liệu nội bộ không?
Không. DLP giúp phát hiện và hạn chế nhiều kênh truyền dữ liệu nhưng cần kết hợp quản lý danh tính, MDM, phân quyền tối thiểu, giám sát nhật ký, đào tạo và quy trình offboarding.
Nguồn tham khảo
https://apnews.com/article/apple-openai-lawsuit-trade-secrets-theft-6fff8833f5889d86406b89a02dd8fb16









Bình luận