美国司法部起诉前 Google 工程师，指控其窃取 AI 商业机密

这周，美国司法部逮捕了一名前 Google 软件工程师，指控他窃取了 500 多份包含人工智能商业机密的机密文件。对于英国的中小企业来说，这份起诉书是一个冷酷的提醒：对你公司私有数据威胁最大的，往往就在你自家的工资单上。据称，这名工程师仅仅通过将文件复制到个人的 Google Cloud 账户，就绕过了安全系统。

司法部起诉前 Google 工程师窃取 AI 技术

根据美国司法部 (https://www.justice.gov/opa/pr/chinese-national-residing-california-arrested-theft-artificial-intelligence-related-trade) 的消息，周三，联邦大陪审团指控 38 岁的丁林葳（Linwei Ding）犯有四项窃取商业机密罪。丁于 2019 年加入 Google，据称他将公司超级计算数据中心和 AI 模型的敏感信息转移到了他的个人账户。

起诉书显示，丁从 2022 年 5 月开始上传文件。他一边秘密关联了两家总部位于中国的科技公司，一边复制了 500 多份机密文档。为了躲避检测，他据称先将 Google 源文件中的数据复制到公司配发的 MacBook 上的 Apple Notes 应用里，然后将其转换成 PDF 文件，再上传到另一个网络。

据 NPR (https://www.npr.org/2024/03/06/1236380984/china-google-fbi-ai) 报道，丁在 2023 年 12 月辞职前不久，订了一张去北京的单程机票。虽然地缘政治的影响占据了新闻头条，但作为老板，你更需要仔细研究数据是如何被带出公司的这些操作细节。

内部访问权限的隐形风险

大多数关于这份起诉书的报道都聚焦在地缘政治和 AI 霸权之争。但对于一家 50 人的英国公司来说，真正的教训在于这种窃取手段是多么平淡无奇。

丁没有使用什么高明的黑客工具，也没用什么零日漏洞。他用的是他作为员工的授权访问权限、一台公司配发的 MacBook 和一个个人云端账户。仅仅通过把文字拷进 Apple Notes 并保存为 PDF，他就绕过了 Google 的数据防泄露系统长达一年之久。

如果这种事能发生在 Google 的超级计算部门，那它也能发生在你的客户关系管理系统里。英国的中小企业往往过度关注外部防御，买昂贵的防火墙，做防钓鱼演练，却忽略了内部的访问控制。一个让人不舒服的事实是：你最大的数据安全风险，很可能是一个拥有无限制导出权限、深受你信任的员工。

我见过太多处于成长期公司的老板，在入职第一天就给新员工全局管理员权限。当你的销售团队可以随意把整个客户数据库下载到个人设备上，或者你的工程师可以把你的私有代码库克隆到私人的 GitHub 仓库时，你就彻底裸奔了。你不需要非得在造 AI 超级计算机，你的数据才值得被偷。

你需要检查的三件事

你不需要大企业的安全预算来堵住这些漏洞。先从你已经在付费使用的工具入手。

审计你的离职流程。当员工递交辞呈的那一刻，他们批量导出数据的权限应该被立即撤销。去查查你的 Google Workspace 或 Microsoft 365 日志，看看他们在辞职前的 30 天内有没有异常的下载量。
限制访问个人云盘。利用你的移动设备管理软件，在公司配发的笔记本电脑上封锁对个人 Google Drive、Dropbox 或 iCloud 账户的访问。
执行最小权限原则。重新审视一下，到底谁才真正需要在 CRM 和代码仓库里拥有导出权限。如果一个初级客户经理每周只需要查看 50 条客户记录，那他就不该拥有一个能下载全部 5,000 条记录的按钮。