Корпорація Майкрософт подала в суд проти групи, яка, як стверджує компанія, навмисно розробила та використовувала інструменти для обходу захисних огорож своїх хмарних продуктів AI.

Відповідно до скарги, поданої компанією в грудні до окружного суду США для Східного округу Вірджинії, група з 10 неназваних відповідачів нібито використовувала викрадені облікові дані клієнта та спеціально розроблене програмне забезпечення для проникнення в службу Azure OpenAI , повністю керовану службу Microsoft. на основі технологій OpenAI виробника ChatGPT .

У скарзі Microsoft звинувачує відповідачів, яких вона називає лише «Does», юридичним псевдонімом, у порушенні Закону про комп’ютерне шахрайство та зловживання, Закону про захист авторських прав у цифрову епоху та федерального закону про рекет шляхом незаконного доступу та використання програмного забезпечення Microsoft. і сервери з метою «створення образливого» та «шкідливого та незаконного вмісту». Корпорація Майкрософт не надала конкретних деталей щодо створеного образливого вмісту. 

Компанія вимагає судової заборони та «інших справедливих» засобів захисту та відшкодування збитків.

У скарзі Microsoft стверджує, що в липні 2024 року виявила, що клієнти з обліковими даними Azure OpenAI Service — зокрема ключами API, унікальними рядками символів, які використовуються для автентифікації програми або користувача — використовувалися для створення вмісту, який порушує політику прийнятного використання служби. Згодом, під час розслідування, Microsoft виявила, що ключі API були вкрадені у клієнтів, які платять, згідно зі скаргою.

«Точний спосіб, у який Відповідачі отримали всі Ключі API, які використовувалися для здійснення неправомірної поведінки, описаної в цій Скарзі, невідомий, – йдеться у скарзі Microsoft, – але, схоже, Відповідачі брали участь у системній системі крадіжки Ключів API, яка дозволила їм щоб викрасти ключі Microsoft API у кількох клієнтів Microsoft».

Microsoft стверджує, що відповідачі використовували вкрадені ключі Azure OpenAI Service API, що належать клієнтам із США, для створення схеми «злому як послуги». Згідно зі скаргою, щоб реалізувати цю схему, відповідачі створили клієнтський інструмент під назвою de3u, а також програмне забезпечення для обробки та маршрутизації зв’язку від de3u до систем Microsoft.

De3u дозволив користувачам використовувати вкрадені ключі API для створення зображень за допомогою DALL-E , однієї з моделей OpenAI, доступних клієнтам Azure OpenAI Service, без необхідності писати власний код, стверджує Microsoft. Згідно зі скаргою, De3u також намагався перешкодити службі Azure OpenAI переглядати підказки, які використовуються для створення зображень, що може статися, наприклад, коли текстове підказка містить слова, які запускають фільтрацію вмісту Microsoft.

Репо, що містить код проекту de3u, розміщене на GitHub — компанії, що належить Microsoft — більше не доступне на момент публікації.

«Ці функції, у поєднанні з незаконним програмним доступом Відповідачів до служби Azure OpenAI, дозволили Відповідачам переробити засоби обходу вмісту Microsoft і заходи проти зловживань», — йдеться у скарзі. «Відповідачі свідомо та навмисно отримали доступ до захищених комп’ютерів Azure OpenAl Service без авторизації, і в результаті такої поведінки спричинили шкоду та збитки».

У дописі в блозі, опублікованому в п’ятницю, Microsoft повідомляє, що суд дозволив їй вилучити веб-сайт, «важливий» для операцій відповідачів, що дозволить компанії збирати докази, розшифровувати, як монетизуються передбачувані послуги відповідачів, і перешкоджати будь-яким додатковим технічну інфраструктуру, яку він знаходить.

Корпорація Майкрософт також заявляє, що вона «запровадила контрзаходи», які компанія не вказала, і «додала додаткові засоби пом’якшення безпеки» до служби Azure OpenAI, спрямовані на спостережувану діяльність.