„Microsoft“ ėmėsi teisinių veiksmų prieš grupę, kuri, kaip teigia bendrovė, tyčia sukūrė ir naudojo įrankius, skirtus apeiti debesies AI produktų saugos turėklus.
Remiantis bendrovės gruodį pateiktu skundu JAV Virdžinijos rytinės apygardos teisme, 10 neįvardytų kaltinamųjų grupė tariamai pasinaudojo pavogtais klientų kredencialais ir specialiai sukurta programine įranga, kad įsilaužtų į „Microsoft“ visiškai valdomą paslaugą „Azure OpenAI Service“. palaikoma ChatGPT kūrėjo OpenAI technologijų.
Skunde „Microsoft“ kaltina kaltinamuosius, kuriuos ji vadina tik „Does“, teisiniu pseudonimu, pažeidus kompiuterinio sukčiavimo ir piktnaudžiavimo įstatymą, Skaitmeninio tūkstantmečio autorių teisių įstatymą ir federalinį reketo įstatymą, neteisėtai pasiekiant ir naudojant „Microsoft“ programinę įrangą. ir serveriai, skirti „kurti įžeidžiantį“ ir „žalingą ir neteisėtą turinį“. „Microsoft“ nepateikė konkrečios informacijos apie sukurtą įžeidžiantį turinį.
Bendrovė siekia uždraudimo ir „kitos teisingos“ žalos atlyginimo.
Skunde „Microsoft“ teigia, kad 2024 m. liepos mėn. išsiaiškino, kad klientai, turintys „Azure OpenAI Service“ kredencialus – ypač API raktus, unikalias simbolių eilutes, naudojamas programai ar vartotojui autentifikuoti – buvo naudojami turiniui, pažeidžiančiam priimtino paslaugos naudojimo politiką, generuoti. Vėliau, atlikusi tyrimą, „Microsoft“ išsiaiškino, kad API raktai buvo pavogti iš mokančių klientų, kaip teigiama skunde.
„Tikslus būdas, kuriuo atsakovai gavo visus API raktus, naudojamus šiame skunde aprašytam nusižengimui atlikti, nežinomas“, – rašoma „Microsoft“ skunde, – tačiau panašu, kad atsakovai įsitraukė į sistemingo API rakto vagystės modelį, kuris jiems suteikė galimybę. pavogti Microsoft API raktus iš kelių Microsoft klientų.
„Microsoft“ tvirtina, kad kaltinamieji panaudojo pavogtus „Azure OpenAI Service“ API raktus, priklausančius JAV klientams, kad sukurtų „įsilaužimo kaip paslaugos“ schemą. Remiantis skundu, siekdami įgyvendinti šią schemą, kaltinamieji sukūrė kliento įrankį, pavadintą de3u, taip pat programinę įrangą, skirtą ryšiams iš de3u apdoroti ir nukreipti į Microsoft sistemas.
„De3u“ leido vartotojams panaudoti pavogtus API raktus, kad generuotų vaizdus naudojant DALL-E, vieną iš „Azure OpenAI Service“ klientams prieinamų „OpenAI“ modelių, nereikalaujant rašyti savo kodo, teigia „Microsoft“. De3u taip pat bandė neleisti, kad „Azure OpenAI Service“ peržiūrėtų raginimus, naudojamus vaizdams generuoti, atsižvelgiant į skundą, o tai gali atsitikti, pavyzdžiui, kai teksto raginime yra žodžių, kurie suaktyvina „Microsoft“ turinio filtravimą.
Atpirkimas, kuriame yra de3u projekto kodas, talpinamas „GitHub“ – „Microsoft“ priklausančioje įmonėje, spaudos metu nebepasiekiamas.
„Šios funkcijos kartu su atsakovų neteisėta programine API prieiga prie „Azure OpenAI“ paslaugos leido atsakovams pakeisti būdus, kaip apeiti „Microsoft“ turinį ir piktnaudžiavimo priemones“, – rašoma skunde. Atsakovai sąmoningai ir tyčia neturėdami leidimo prisijungė prie „Azure OpenAl Service“ apsaugotų kompiuterių ir dėl tokio elgesio padarė žalos ir nuostolių.
Penktadienį paskelbtame tinklaraščio įraše „Microsoft“ teigia, kad teismas leido jai konfiskuoti svetainę, kuri yra „priemonė“ kaltinamųjų veiklai, kuri leis įmonei rinkti įrodymus, iššifruoti, kaip tariamos kaltinamųjų paslaugos gaunamos pinigais, ir sutrikdyti bet kokią papildomą informaciją. techninę infrastruktūrą.
„Microsoft“ taip pat teigia, kad „įdiegė atsakomąsias priemones“, kurių bendrovė nenurodė, ir „pridėjo papildomų saugos mažinimo priemonių“ prie „Azure OpenAI“ paslaugos, skirtos pastebėtai veiklai.