Gdy Apple Notes staje się zagrożeniem dla bezpieczeństwa narodowego

Jak inżynier Google spędzał przerwy na lunch?

Google zatrudnia tysiące inżynierów bezpieczeństwa. Wydaje miliardy na ochronę infrastruktury. Projektuje systemy zapobiegania wyciekom danych uznawane za jedne z najlepszych w branży. Linwei Ding ominął je wszystkie za pomocą najprostszej aplikacji do sporządzania notatek.

29 stycznia 2026 roku usłyszał wyrok: winny czternastu zarzutów szpiegostwa gospodarczego i kradzieży tajemnic handlowych.

Wyrafinowany wektor ataku: Kopiuj, Wklej, Wyślij

Ding nie włamywał się przez firewalle ani nie wykorzystywał exploitów zero-day. Jego technika penetracji zawstydziłaby nastolatka: skopiuj poufne dokumenty do Apple Notes, przekonwertuj na PDF, wyślij na prywatny Google Drive. To wszystko.

Systemy zapobiegania utracie danych Google, zaprojektowane przypuszczalnie przez jednych z najlepszych inżynierów świata, obserwowały ten proces 1255 razy przez dwanaście miesięcy. Około 14 000 stron architektur chipów TPU, konfiguracji GPU i oprogramowania do zarządzania klastrami—infrastruktura napędzająca dominację Google w sztucznej inteligencji—wyszła przez aplikację do notatek.

• Skomentuj ten artykuł – pod postem na LinkedIn
• Inny mój artykuł na ten temat: „Przegrywamy wyścig szpiegów”. Zachód sam finansuje tych, którzy wykradają mu technologie (WYWIAD)

Sztuka równowagi między pracą a życiem

Trzy tygodnie po rozpoczęciu swojego hobby uploadowania Ding otrzymał ofertę stanowiska CTO od Beijing Rongshu za 100 000 RMB miesięcznie. Do 2023 roku założył własną firmę, Shanghai Zhisuan. Pitch biznesowy, udostępniony przez WeChat z bezpieczeństwem operacyjnym studenckiego czatu grupowego: „mamy doświadczenie z platformą obliczeniową Google o mocy dziesięciu tysięcy kart; musimy ją tylko zreplikować i ulepszyć.”

Tymczasem pomocny kolega odbijał kartę w kalifornijskim biurze w imieniu Dinga, podczas gdy ten uczestniczył w spotkaniach z inwestorami w Pekinie. Google, nie śledząc ani pięciomiesięcznego pobytu w Chinach, ani konkurencyjnego zatrudnienia, ani systematycznego zbierania dokumentów, niczego nie zauważył.

Aplikacja do programu talentów

Dokumentacja Dinga zawierała aplikację do szanghajskiego rządowego programu talentów—tych sponsorowanych przez państwo inicjatyw, przed którymi amerykański kontrwywiad ostrzega od lat. Jego deklarowany cel: pomoc Chinom w osiągnięciu „zdolności infrastruktury obliczeniowej na równi z poziomem międzynarodowym.” Prokuratorzy zazwyczaj doceniają, gdy oskarżeni dokumentują swoje intencje tak wyraźnie.

Nieunikniony problem geometryczny

W końcu zadziałał „Sygnał Niemożliwej Lokalizacji”: konto Dinga było aktywne z chińskiego IP, podczas gdy jego karta odbijała się w Kalifornii. Skonfrontowany 8 grudnia 2023 roku, podpisał oświadczenie potwierdzające usunięcie wszystkich poufnych materiałów. Sześć dni później zarezerwował bilet w jedną stronę do Pekinu. FBI przybyło 6 stycznia—dzień przed odlotem.

Ława przysięgłych uznała zamiar za wystarczający. Faktyczny transfer nie był wymagany.

I. Dlaczego to zadziałało: krótka historia prostych metod

Ding wpisuje się w tradycję, gdzie trywialne podatności prowadzą do katastrofalnych konsekwencji.

Dropbox, 2012: Pracownik używał tego samego hasła do konta firmowego i prywatnych usług. Jedna z nich została zhakowana. Atakujący wypróbowali skradzione hasła na Dropboxie—i zadziałały. 68 milionów rekordów użytkowników wyciekło. Całe „włamanie” polegało na wpisaniu cudzego hasła w formularz logowania.

Target, 2013: Ktoś wysłał phishingowy email do pracownika Fazio Mechanical Services—małej firmy HVAC obsługującej sklepy Target. Pracownik go otworzył. Malware ukradł dane dostępowe do portalu dostawców Target. Atakujący poruszali się lateralnie, zainstalowali oprogramowanie do skimmingu kart. 110 milionów rekordów klientów wyciekło. Punkt wejścia: jeden email do firmy klimatyzacyjnej.

Booz Allen Hamilton, 2017: Ktoś skonfigurował bucket na Amazon S3—w zasadzie folder w chmurze—i zapomniał ustawić hasło. Folder zawierał dziesiątki tysięcy plików z danymi kontraktowców posiadających certyfikaty Top Secret. Każdy znający URL mógł wszystko pobrać. Żadnego hakowania.

KNP Logistics, 2023: 158-letnia brytyjska firma logistyczna—500 ciężarówek, 700 pracowników—zbankrutowała, bo ktoś odgadł hasło pracownika. Grupa ransomware Akira zaszyfrowała wszystkie systemy. Firma nie miała użytecznych kopii zapasowych. Po 158 latach zamknęła się, bo jedno hasło było zbyt proste.

Wzorzec się utrzymuje: wejście początkowe jest banalne; konsekwencje nie.

II. Przesłuchanie: jak FBI niemal przegrało sprawę przez nadużycia procesowe

6 stycznia 2024 roku. Sobota, 6 rano. Osiemnastu funkcjonariuszy i agentów FBI puka do drzwi Dinga. Brak odpowiedzi. Używają tarana.

Ding schodzi po schodach, gdy wchodzą. Broń wycelowana w jego kierunku, lasery celownicze widoczne na jego ciele. Zostaje skuty kajdankami i umieszczony w radiowozie. Żona i pięcioletni syn wyprowadzeni, ale nie skuci.

Piętnaście minut później dom jest „oczyszczony”. Rodzina wraca do środka. Ding zostaje w samochodzie.

Taktyka „przyjacielskiej rozmowy”

Agenci specjalni FBI Gregory Toole i Sam Chen podchodzą. Zdejmują kajdanki. Mówią, że nie jest aresztowany—po prostu „musieli go zatrzymać podczas wszczynania przeszukania dla bezpieczeństwa wszystkich.” Sugerują przejście do nieoznakowanego samochodu, żeby sąsiedzi nie myśleli, że jest aresztowany.

Mówią, że rozmowa jest „całkowicie dobrowolna”. Że Ding jest „wolny”.

Wolny do czego, nie precyzują.

To klasyczna technika przesłuchania uczona w podręcznikach policyjnych: używaj fraz jak „chcemy tylko usłyszeć twoją stronę”, „pomóż nam zrozumieć, co się stało.” Cel: obniżyć bariery obronne, skłonić podejrzanego do mówienia, zanim zrozumie, że jest przesłuchiwany.

Problem prawny: zgodnie z Miranda v. Arizona (1966) policja musi poinformować podejrzanych w areszcie o ich prawach przed przesłuchaniem. Bez tego pouczenia zeznania są niedopuszczalne.

Kluczowe pytanie: kiedy ktoś jest „w areszcie”? Test jest obiektywny—czy rozsądna osoba czułaby się wolna, by zakończyć rozmowę i odejść?

Agenci powiedzieli Dingowi, że jest „wolny”. Ale kontekst mówił co innego.

Ding pyta, czy mogą jechać na komisariat, „gdzie jest bezpiecznie.” Agenci mówią, że jest daleko. Ding pyta, czy może skorzystać z łazienki. Agenci mówią, że przeszukanie trwa, ale mogą wejść do środka. Ding pyta, czy mogą zostać w domu. Agenci początkowo się zgadzają, potem sugerują, że to nie zadziała, bo „przetworzenie domu zajmie trochę czasu.”

Ding mówi, że „może wytrzymać pięć do dziesięciu minut.” Agenci zaczynają zadawać pytania.

Przesłuchanie trwa trzy godziny i piętnaście minut. Ding dostaje ośmiominutową przerwę na łazienkę po dwóch godzinach. Pod eskortą.

Orzeczenie sędziego Chhabrii

W postanowieniu z 24 czerwca 2025 sędzia Vince Chhabria częściowo uwzględnił wniosek obrony o wyłączenie dowodów. Zeznania Dinga zostały wykluczone jako uzyskane z naruszeniem Miranda.

Rząd argumentował, że analiza powinna zaczynać się od momentu, gdy Dingowi zaproponowano nieoznakowany samochód—sugerując, że „wybierając” go, wyraził zgodę na rozmowę. Sąd to odrzucił: „W rzeczywistości każda rozsądna osoba zrozumiałaby, że jedynym wyborem było pozostanie w oznakowanym samochodzie lub przejście do nieoznakowanego, a nie przejście do nieoznakowanego lub odejście.”

Rząd argumentował też, że Dingowi powiedziano, iż jest „wolny” i „nie aresztowany.” Sąd: „Samo wypowiedzenie stwierdzenia, że podejrzany może odejść lub zakończyć rozmowę… nie sprawia automatycznie, że przesłuchanie nie jest przesłuchaniem w areszcie.” I dalej: „Wręcz wydaje się, jakby funkcjonariusze wierzyli, że wystarczy wypowiedzieć magiczne słowa 'nie aresztowany’ lub 'wolny do odejścia’, by zabezpieczyć się przed zarzutem, że ich skądinąd wysoce przymusowe zatrzymanie i przesłuchanie uruchomiło obowiązek z Miranda.”

Szczególnie wymowny moment: omawiając plany podróży, agenci powiedzieli Dingowi, że jest „nie aresztowany” i „wolny do podróżowania”—jednocześnie zabierając mu paszport. Agent Toole: „Nie możemy ci zakazać wyjazdu, możesz . . . nadal jechać, jedyny problem dla ciebie jest taki, że zabieramy twój paszport.” I chwilę później: „Tak, ale prawnie jesteś . . . wolny.”

Wolny do podróżowania. Bez paszportu.

Analiza sądu według czynników Dziewiątego Okręgu:

• Okoliczności wezwania: „Na początku interakcji rządu z Dingiem miał on wycelowaną w siebie broń i kazano mu wsiąść do oznakowanego samochodu. . . . To nie była sytuacja, w której Ding wybrał rozmowę z funkcjonariuszami zamiast innej realnej opcji nieobejmującej rozmowy.”
• Czas trwania: „Czas trwania tego przesłuchania, około trzech godzin i piętnastu minut, przekraczał górne granice wskazane przez Dziewiąty Okręg”—który wcześniej uznawał przesłuchania dwuipółgodzinne za „na górnej granicy.”
• Stopień nacisku: „Nie tylko 18 funkcjonariuszy wyważyło drzwi Dinga z wyciągniętą bronią, ale wiedział on także, że broń jest w niego wycelowana, bo widział lasery na swoim ciele.”

Konkluzja: „Biorąc pod uwagę całość okoliczności, rozsądna osoba w sytuacji Dinga zrozumiałaby swoją sytuację jako równoważną z ograniczeniem swobody poruszania się związanym z formalnym aresztowaniem.”

Co nie zostało wykluczone

Sąd odmówił wykluczenia dowodów z urządzeń Dinga. Hasła, które podał, nie miały charakteru zeznania w rozumieniu Piątej Poprawki. W przeciwieństwie do spraw, gdzie znajomość hasła sama w sobie dowodzi kontroli nad obciążającymi plikami, tutaj „nie ma nic z natury obciążającego w tym, że Ding zna hasła do własnego telefonu i komputerów osobistych.”

FBI niemal straciło kluczowe dowody przez elementarny błąd proceduralny. Nie straciło—bo sąd uznał, że podanie hasła nie jest zeznaniem.

III. Konstrukcja prawna: czy zamiar wystarczy?

Ding złożył wniosek o umorzenie zarzutów szpiegostwa gospodarczego. Jego argument: 18 U.S.C. § 1831 wymaga powiązania z obcym rządem. Nie zakładał firmy na rozkaz Pekinu. Nie otrzymywał instrukcji od chińskiego wywiadu. Samo prowadzenie biznesu w Chinach, w branży promowanej przez chiński rząd, nie czyni kogoś szpiegiem.

Postanowienie z 9 czerwca 2025

Sędzia Chhabria oddalił wniosek, ale jego uzasadnienie było wyraźnie ostrożne.

Sąd potwierdził, że art. 1831 nie wymaga, by obcy rząd koordynował lub sponsorował kradzież. Powołał się na United States v. Chung (9th Cir. 2011): skazanie z art. 1831 nie „wymaga dowodów na kierowanie lub kontrolę przez obcy rząd”, ale „może opierać się wyłącznie na zamiarze oskarżonego przyniesienia korzyści obcemu rządowi.”

Sąd potwierdził też, że „korzyść” nie musi oznaczać faktycznego ujawnienia sekretu. Historia legislacyjna wskazuje, że korzyść może być „reputacyjna, strategiczna lub taktyczna.”

Prokuratura przedstawiła trzy teorie:

1. Prezentację PowerPoint cytującą chińską politykę państwową zachęcającą do krajowego rozwoju AI
2. Aplikację do programu talentów sponsorowanego przez rząd Szanghaju
3. Wewnętrzne memo Zhisuan wskazujące zamiar oferowania usług uniwersytetom i samorządom kontrolowanym przez ChRL

Sceptycyzm sądu

Sędzia Chhabria napisał wprost:

„Sąd jest nieco sceptyczny wobec dwóch pierwszych teorii rządu. Idea, najwyraźniej, jest taka, że Ding wiedział o inicjatywach AI ChRL i zamierzał przynieść korzyść ChRL, wypełniając lukę zidentyfikowaną przez ChRL i pomagając ChRL osiągnąć krajowe cele AI. Idea, że Ding faktycznie zamierzał przynieść korzyść ChRL, w przeciwieństwie do przyniesienia korzyści sobie samemu poprzez możliwość, którą ChRL zapewniała, wydaje się wątpliwa.„

I dalej:

„Czasami wydaje się, jakby rząd usuwał z art. 1831 słowo 'rząd’ i prosił sąd o zastosowanie przepisu do każdego, kto zamierza lub wie, że kradzież tajemnicy handlowej przyniesie korzyść obcemu krajowi.”

Wniosek został oddalony wyłącznie z powodu trzeciej teorii—memo dokumentującego zamiar świadczenia usług bezpośrednio podmiotom rządowym.

Ale ostrzeżenie było jasne: „Dwie pierwsze teorie zadziałają tylko wtedy, gdy rząd udowodni, że Ding zamierzał lub wiedział, że jego kradzież tajemnic handlowych przyniesie korzyść ChRL—a nie wyłącznie Chinom jako krajowi lub własnym interesom ekonomicznym Dinga.”

Co prokuratura udowodniła na rozprawie

Ława przysięgłych uznała Dinga za winnego wszystkich czternastu zarzutów. Prokuratura przekonała ich, że:

1. Dokumenty stanowiły tajemnice handlowe
2. Ding kopiował je bez upoważnienia, wiedząc, że szkodzi Google
3. Zamierzał osiągnąć korzyść ekonomiczną dla kogoś innego niż Google (zarzuty 1–7)
4. Zamierzał lub wiedział, że jego działania przyniosą korzyść obcemu rządowi (zarzuty 8–14)

Dla punktu czwartego kluczowe było memo z 14 grudnia 2023—lista podmiotów rządowych, którym Zhisuan zamierzało oferować usługi. Podobnie jak aplikacja do programu talentów, w której Ding napisał, że jego produkt „pomoże Chinom osiągnąć zdolności infrastruktury obliczeniowej na równi z poziomem międzynarodowym.”

Sędzia był sceptyczny wobec teorii „świadomości polityki państwowej.” Ława przysięgłych najwyraźniej nie była—lub przekonała ją trzecia teoria.

IV. Siedem kategorii: co właściwie skradziono

Akt oskarżenia uzupełniający definiuje siedem kategorii tajemnic handlowych. Każda kategoria stanowi podstawę jednego zarzutu kradzieży i jednego zarzutu szpiegostwa.

Kategoria 1: Architektura chipów TPU

Zestawy instrukcji, protokoły, wewnętrzne specyfikacje i szczegóły implementacji komponentów chipu TPU Google:

• TensorCore—główny komponent przetwarzający
• BarnaCore/SparseCore—akceleracja obliczeń rzadkich
• Interfejs dostępu HBM (High Bandwidth Memory)
• ICI (Inter-Chip Interconnect)—własnościowa technologia komunikacji międzychipowej Google

Kategorie 2–3: Systemy i oprogramowanie TPU

Dokumenty projektowe, parametry wydajności, oprogramowanie zarządzające sprzętem i alokujące zasoby w TPU, ułatwiające komunikację między TPU i orkiestrujące kolekcje połączonych TPU dla różnych obciążeń.

Kategorie 4–5: Systemy i oprogramowanie GPU

Analogiczne dokumenty dla infrastruktury GPU Google—niestandardowe maszyny mieszczące wiele GPU, systemy łączące tysiące GPU i oprogramowanie zarządzające ich alokacją.

Kategorie 6–7: SmartNIC

Specyfikacje sprzętowe i oprogramowanie dla zaprojektowanej przez Google karty sieciowej, umożliwiającej transfery danych o niskiej latencji i wysokiej przepustowości w sieciach wielkoskalowych zasilających superkomputery AI i produkty sieciowe w chmurze.

Znaczenie strategiczne

TPU to odpowiedź Google na wymagania obliczeniowe trenowania dużych modeli AI. W przeciwieństwie do GPU Nvidia—produktów komercyjnych dostępnych na rynku (choć podlegających ograniczeniom eksportowym)—TPU to technologia rozwijana wewnętrznie przez Google od 2013 roku.

ICI—Inter-Chip Interconnect—pozwala tysiącom chipów funkcjonować jako jeden superkomputer. Skalowalność AI zależy nie tylko od wydajności pojedynczych procesorów, ale od możliwości ich efektywnego łączenia.

Ding skopiował kompletny stos technologiczny—od krzemu po oprogramowanie orkiestracyjne. Materiał wystarczający, jak napisał inwestorom, by „zreplikować i ulepszyć” infrastrukturę Google.

V. Obrona, która nie zadziałała

Argument autoryzacji

Ding miał autoryzowany dostęp do każdego pliku, który skopiował. Obrona mogła argumentować, że prawo do przeglądania implikuje prawo do kopiowania.

Problem: umowa o pracę Google wyraźnie zobowiązywała Dinga do nieużywania poufnych informacji „w żadnym celu innym niż na korzyść Google w zakresie zatrudnienia” i do niezachowywania dokumentów po ustaniu zatrudnienia.

Argument braku faktycznego transferu

Prokuratura nie udowodniła, że Ding faktycznie przekazał dokumenty chińskim podmiotom.

Problem: 18 U.S.C. § 1832(a)(3) penalizuje samo posiadanie tajemnic handlowych ze świadomością ich bezprawnego pochodzenia. Transfer nie musi nastąpić—wystarczy zamiar i posiadanie.

VI. Wymiar kary: co dalej

Ding ma stawić się 3 lutego 2026 na posiedzeniu statusowym. Maksymalna kara: 175 lat—teoretycznie.

W praktyce sądy federalne stosują wytyczne dotyczące wymiaru kary uwzględniające wartość skradzionych sekretów, stopień planowania, rolę oskarżonego i przyjęcie odpowiedzialności.

Ding nie przyznał się do winy. Dokumentacja dowodzi systematycznej działalności przez rok. Jego rola: CEO własnego startupu, oferta CTO od innej firmy. Fałszywe oświadczenie pod przysięgą.

Akt oskarżenia zawiera żądanie przepadku na podstawie 18 U.S.C. § 1834—całego mienia użytego do popełnienia przestępstwa lub stanowiącego korzyści z niego.

Sędzia Chhabria orzekł, że Ding może pozostać na wolności do ogłoszenia wyroku, uznając go za osobę niestanowiącą ryzyka ucieczki ani zagrożenia publicznego. Biorąc pod uwagę bilet w jedną stronę do Pekinu odkryty w grudniu 2023, może to wzbudzić pewne zdziwienie.

VII. Wnioski

Sprawa Dinga będzie pojawiać się na szkoleniach z bezpieczeństwa informacji przez następną dekadę. Nie dlatego, że reprezentuje wyrafinowane zagrożenie—ale dlatego, że jest wyjątkowo prosta.

Skopiuj do Notes. Przekonwertuj na PDF. Uploaduj do chmury. Tysiąc razy. Przez rok.

FBI niemal straciło kluczowe dowody przez błąd proceduralny podczas przesłuchania. Nie straciło—bo podanie hasła nie podlega Piątej Poprawce.

Prokuratura przedstawiła teorie zamiaru, które sędzia publicznie kwestionował. Ława przysięgłych uznała je za wystarczające.

Ding sam udokumentował swój zamiar—w prezentacjach dla inwestorów, w aplikacji do programu talentów, w wiadomościach WeChat.

29 stycznia 2026 roku, po jedenastodniowej rozprawie, ława przysięgłych naradziła się przez około trzy godziny, by uznać go winnym wszystkich czternastu zarzutów.

Niektóre sprawy są trudne.

Ta nie była.

Robert Nogacki

Założyciel i partner zarządzający kancelarii prawnej Skarbiec, uznanej przez Dziennik Gazeta Prawna za jedną z najlepszych firm doradztwa podatkowego w Polsce (2023, 2024). Doradca prawny z 19-letnim doświadczeniem, obsługujący przedsiębiorców z listy Forbesa oraz innowacyjne start-upy. Jeden z najczęściej cytowanych ekspertów w dziedzinie prawa handlowego i podatkowego w polskich mediach, regularnie publikujący w Rzeczpospolitej, Gazecie Wyborczej i Dzienniku Gazecie Prawnej. Autor publikacji „AI Decoding Satoshi Nakamoto. Sztuczna inteligencja na tropie twórcy Bitcoina” oraz współautor nagrodzonej książki „Bezpieczeństwo współczesnej firmy”. Profil na LinkedIn: 18.5 tys. obserwujących, 4 miliony wyświetleń rocznie. Nagrody: czterokrotny laureat Medalu Europejskiego, Złotej Statuetki Polskiego Lidera Biznesu, tytułu „Międzynarodowej Kancelarii Prawniczej Roku w Polsce w zakresie planowania podatkowego”. Specjalizuje się w strategicznym doradztwie prawnym, planowaniu podatkowym i zarządzaniu kryzysowym dla biznesu.