Microsoft подала в суд на группу, которая, по утверждению компании, намеренно разработала и использовала инструменты для обхода мер безопасности своих облачных продуктов искусственного интеллекта.
Согласно жалобе, поданной компанией в декабре в Окружной суд США Восточного округа штата Вирджиния, группа из 10 неназванных ответчиков предположительно использовала украденные учетные данные клиентов и специально разработанное программное обеспечение для взлома службы Azure OpenAI, полностью управляемого сервиса Microsoft. основан на технологиях OpenAI, производителя ChatGPT.
В иске Microsoft обвиняет ответчиков (которых она называет только «Делает» (юридический псевдоним)) в нарушении Закона о компьютерном мошенничестве и злоупотреблениях, Закона о защите авторских прав в цифровую эпоху и федерального закона о рэкете путем незаконного доступа к программному обеспечению Microsoft и его использования. и серверы с целью «создания оскорбительного» и «вредного и незаконного контента». Microsoft не предоставила конкретных подробностей о созданном оскорбительном контенте.
Компания добивается судебного запрета и «иной справедливой» компенсации и возмещения убытков.
В жалобе Microsoft сообщает, что в июле 2024 года обнаружила, что клиенты с учетными данными службы Azure OpenAI — в частности, ключами API, уникальными строками символов, используемыми для аутентификации приложения или пользователя — использовались для создания контента, который нарушает политику приемлемого использования службы. Впоследствии, согласно жалобе, в ходе расследования Microsoft обнаружила, что ключи API были украдены у платящих клиентов.
«Точный способ, которым Ответчики получили все ключи API, использованные для совершения неправомерных действий, описанных в этой жалобе, неизвестен», — говорится в жалобе Microsoft, — «но похоже, что Ответчики участвовали в систематической краже ключей API, которая позволила им для кражи ключей Microsoft API у нескольких клиентов Microsoft».
Microsoft утверждает, что ответчики использовали украденные ключи API службы Azure OpenAI, принадлежащие клиентам из США, для создания схемы «взлом как услуга». Согласно иску, чтобы реализовать эту схему, ответчики создали клиентский инструмент под названием de3u, а также программное обеспечение для обработки и маршрутизации сообщений от de3u к системам Microsoft.
Microsoft утверждает, что De3u позволял пользователям использовать украденные ключи API для создания изображений с помощью DALL-E, одной из моделей OpenAI, доступных клиентам службы Azure OpenAI, без необходимости писать собственный код. Согласно жалобе, De3u также попыталась запретить службе Azure OpenAI пересматривать запросы, используемые для создания изображений, что может произойти, например, когда текстовое приглашение содержит слова, которые запускают фильтрацию контента Microsoft.
Репозиторий, содержащий код проекта de3u, размещенный на GitHub — компании, принадлежащей Microsoft, — на момент публикации больше недоступен.
«Эти функции в сочетании с незаконным программным API-доступом Ответчиков к сервису Azure OpenAI позволили Ответчикам перепроектировать способы обхода контента Microsoft и мер по злоупотреблениям», — говорится в иске. «Обвиняемые сознательно и намеренно получили доступ к компьютерам, защищенным службой Azure OpenAl, без разрешения, и в результате такого поведения причинен ущерб и убытки».
В сообщении в блоге, опубликованном в пятницу, Microsoft сообщает, что суд разрешил ей конфисковать веб-сайт, «инструментализирующий» деятельность ответчиков, который позволит компании собирать доказательства, расшифровывать, как монетизируются предполагаемые услуги ответчиков, и препятствовать любым дополнительным действиям. техническая инфраструктура, которую он находит.
Microsoft также заявляет, что она «применила контрмеры», которые компания не уточнила, и «добавила дополнительные меры безопасности» в службу Azure OpenAI, нацеленную на наблюдаемую ею активность.
