Microsoft padit hakerat për keqpërdorim të AI në një padi të re
Microsoft ka ndërmarrë veprime ligjore kundër një grupi për të cilin kompania pretendon se ka zhvilluar dhe përdorur qëllimisht mjete për të anashkaluar parmakët e sigurisë të produkteve të saj të inteligjencës artificiale cloud.
Sipas një ankese të paraqitur nga kompania në dhjetor në Gjykatën e Qarkut të SHBA për Distriktin Lindor të Virxhinias, një grup prej 10 të pandehurish të paidentifikuar dyshohet se përdorën kredencialet e vjedhura të klientit dhe softuer të dizajnuar me porosi për të depërtuar në Shërbimin Azure OpenAI, shërbimi i menaxhuar plotësisht i Microsoft. mundësuar nga teknologjitë e krijuesit të ChatGPT OpenAI.
Në ankesë, Microsoft akuzon të pandehurit – të cilëve u referohet vetëm si “Does”, një pseudonim ligjor – për shkelje të Aktit të Mashtrimit dhe Abuzimit në Kompjuter, Aktit të të Drejtave të Autorit të Mijëvjeçarit Dixhital dhe një ligji federal të shantazhit duke aksesuar dhe përdorur në mënyrë të paligjshme softuerin e Microsoft. dhe serverë për qëllimin për të “krijuar përmbajtje fyese” dhe “të dëmshme dhe të paligjshme”. Microsoft nuk dha detaje specifike në lidhje me përmbajtjen abuzive që u krijua.
Kompania po kërkon lehtësim dhe dëmshpërblim “të tjera të barabarta”.
Në ankesë, Microsoft thotë se zbuloi në korrik 2024 se klientët me kredencialet e Shërbimit Azure OpenAI – veçanërisht çelësat API, vargjet unike të karaktereve të përdorura për të vërtetuar një aplikacion ose përdorues – po përdoreshin për të gjeneruar përmbajtje që shkel politikën e pranueshme të përdorimit të shërbimit. Më pas, përmes një hetimi, Microsoft zbuloi se çelësat API ishin vjedhur nga klientët që paguanin, sipas ankesës.
“Mënyra e saktë në të cilën të pandehurit kanë marrë të gjithë çelësat API të përdorur për të kryer sjelljen e keqe të përshkruar në këtë ankesë është e panjohur,” lexohet në ankesën e Microsoft, “por duket se të pandehurit janë përfshirë në një model të vjedhjes sistematike të çelësit API që i mundësoi ata. për të vjedhur çelësat e Microsoft API nga shumë klientë të Microsoft.”
Microsoft pretendon se të pandehurit përdorën çelësat e vjedhur të Azure OpenAI Service API që u përkisnin klientëve me bazë në SHBA për të krijuar një skemë “hacking-as-a-service”. Sipas ankesës, për të hequr këtë skemë, të pandehurit krijuan një mjet nga ana e klientit të quajtur de3u, si dhe softuer për përpunimin dhe drejtimin e komunikimeve nga de3u në sistemet e Microsoft.
De3u i lejoi përdoruesit të përdornin çelësat e vjedhur të API për të gjeneruar imazhe duke përdorur DALL-E, një nga modelet OpenAI të disponueshme për klientët e Shërbimit Azure OpenAI, pa pasur nevojë të shkruanin kodin e tyre, pretendon Microsoft. De3u u përpoq gjithashtu të parandalonte Shërbimin Azure OpenAI nga rishikimi i kërkesave të përdorura për të gjeneruar imazhe, sipas ankesës, gjë që mund të ndodhë, për shembull, kur një kërkesë teksti përmban fjalë që shkaktojnë filtrimin e përmbajtjes së Microsoft.
Një depo që përmban kodin e projektit de3u, e vendosur në GitHub – një kompani që zotëron Microsoft – nuk është më e aksesueshme në kohën e shtypit.
“Këto veçori, të kombinuara me aksesin e paligjshëm programatik të API-së së të pandehurve në shërbimin Azure OpenAI, u mundësonin të pandehurve të kthenin inxhinierinë e mjeteve për të anashkaluar përmbajtjen dhe masat e abuzimit të Microsoft,” thuhet në ankesë. “Të pandehurit me vetëdije dhe qëllimisht iu qasen Shërbimit Azure OpenAl të mbrojtur kompjuterat pa autorizim, dhe si rezultat i një sjelljeje të tillë shkaktuan dëme dhe humbje.”
Në një postim në blog të botuar të premten, Microsoft thotë se gjykata e ka autorizuar atë të konfiskojë një faqe interneti “instrumentale” për funksionimin e të pandehurve që do t’i lejojë kompanisë të mbledhë prova, të deshifrojë se si fitohen para nga shërbimet e pretenduara të të pandehurve dhe të ndërpresë çdo shtesë. infrastrukturën teknike që gjen.
Microsoft thotë gjithashtu se ka “vendosur kundërmasa”, të cilat kompania nuk i specifikoi dhe “shtoi zbutje shtesë të sigurisë” në Shërbimin Azure OpenAI duke synuar aktivitetin që vëzhgoi.