Microsoft je pokrenuo pravnu akciju protiv grupe za koju tvrdi da je namerno razvila i koristila alate kako bi zaobišla sigurnosne mere u njenim cloud AI proizvodima.
Prema tužbi podnetoj u decembru u Okružnom sudu Sjedinjenih Američkih Država za istočni okrug Virdžinije, grupa od 10 neimenovanih tuženih navodno je koristila ukradene korisničke akreditive i softver dizajniran po meri kako bi provalila u Azure OpenAI Service, Microsoft-ovu potpuno upravljanu uslugu zasnovanu na tehnologijama OpenAI, tvorca ChatGPT-a.
U tužbi, Microsoft optužuje tužene — označene samo kao „Does,“ što je pravni pseudonim — za kršenje Zakona o računarskim prevarama i zloupotrebama, Zakona o digitalnim autorskim pravima i saveznog zakona o reketiranju, time što su nezakonito pristupali i koristili Microsoft-ov softver i servere za generisanje „uvredljivog“, „štetnog i nezakonitog sadržaja.“ Microsoft nije pružio konkretne detalje o štetnom sadržaju koji je generisan.
Kompanija traži sudsku zabranu i „drugu pravičnu“ naknadu, kao i odštetu.
U tužbi, Microsoft navodi da je u julu 2024. otkrio da su akreditive korisnika Azure OpenAI Service — konkretno API ključevi, jedinstveni nizovi karaktera koji se koriste za autentifikaciju aplikacija ili korisnika — korišćeni za generisanje sadržaja koji krši pravila prihvatljivog korišćenja ove usluge. Naknadnom istragom, Microsoft je otkrio da su API ključevi ukradeni od korisnika koji su plaćali uslugu, navodi se u tužbi.
Microsoft je u svojoj tužbi naveo: „Precizan način na koji su optuženi pribavili sve API ključeve korišćene za sprovođenje opisanih nezakonitih radnji nije poznat, ali izgleda da su se optuženi bavili sistematskom krađom API ključeva, što im je omogućilo da ukradu Microsoft-ove API ključeve od više korisnika.“
Microsoft tvrdi da su optuženi koristili ukradene API ključeve iz Azure OpenAI Service-a, koji pripadaju korisnicima iz Sjedinjenih Američkih Država, kako bi razvili šemu „hakovanja kao usluge“. Prema tužbi, optuženi su kreirali alat na strani klijenta pod nazivom de3u, kao i softver za procesiranje i usmeravanje komunikacije između de3u i Microsoftovih sistema.
Kako se navodi, de3u je korisnicima omogućio da koriste ukradene API ključeve za generisanje slika pomoću DALL-E modela, koji je dostupan korisnicima Azure OpenAI Service-a, bez potrebe da sami pišu kod. Microsoft takođe tvrdi da je de3u pokušao da spreči Azure OpenAI Service da revidira unete tekstualne zahteve za generisanje slika, što se inače dešava kada uneti tekst sadrži reči koje pokreću Microsoftove filtere za sadržaj.
Repozitorijum koji je sadržao kod de3u projekta, hostovan na GitHub-u – kompaniji koju Microsoft poseduje – više nije dostupan u trenutku objavljivanja.
Tužba navodi: „Ove funkcije, zajedno sa nezakonitim programatskim pristupom API-ju Azure OpenAI servisa, omogućile su optuženima da obrate inženjering kako bi zaobišli Microsoft-ove mere zaštite od neprimerenog sadržaja i zloupotrebe.“ Takođe, dodaje se: „Optuženi su svesno i namerno pristupili zaštićenim računarima Azure OpenAI servisa bez dozvole, čime su izazvali štetu i gubitak.“
U blog postu objavljenom u petak, Microsoft je saopštio da je sud odobrio da kompanija zapleni veb sajt koji je bio „instrumentalan“ za rad optuženih, a koji će omogućiti Microsoft-u da prikupi dokaze, razjasni način na koji se navodno monetizuju usluge optuženih i ometa bilo koju dodatnu tehničku infrastrukturu koju pronađe.
Microsoft takođe tvrdi da je „postavio protivmere“, koje nije precizirao, kao i da je „dodan dodatni nivo zaštite“ Azure OpenAI servisu kako bi se ciljala aktivnost koju je kompanija uočila.