Microsoft hat rechtliche Schritte gegen eine Gruppe eingeleitet, die nach Angaben des Unternehmens absichtlich Tools entwickelt und eingesetzt hat, um Sicherheitsbarrieren für seine Cloud-KI-Produkte zu umgehen.
Entsprechend Beschwerde des Unternehmens Im Dezember soll eine Gruppe von 10 nicht identifizierten Angeklagten vor dem US-Bezirksgericht für den östlichen Bezirk von Virginia gestohlene Kundendaten und kundenspezifische Software verwendet haben, um das zu hacken Azure OpenAI-DienstDer vollständig verwaltete Dienst von Microsoft, unterstützt von GPT-Chat Technologien des Herstellers OpenAI.
In der Klage wirft Microsoft den Beklagten – die Microsoft nur als „Does“, ein juristisches Pseudonym – bezeichnet, vor, gegen den Computer Fraud and Abuse Act, den Digital Millennium Copyright Act und ein Bundesgesetz gegen Erpressung verstoßen zu haben, indem sie auf Microsoft-Software zugegriffen und diese unrechtmäßig genutzt haben. und Server mit dem Ziel, „anstößige“ und „schädliche und illegale“ Inhalte zu erstellen. Konkrete Details zu den erzeugten missbräuchlichen Inhalten machte Microsoft nicht.
Das Unternehmen fordert eine einstweilige Verfügung und „andere angemessene Rechtsmittel“ sowie Schadensersatz.
In der Beschwerde gibt Microsoft an, im Juli 2024 entdeckt zu haben, dass Kunden mit Anmeldeinformationen für den Azure OpenAI-Dienst – insbesondere API-Schlüsseln, den eindeutigen Zeichenfolgen, die zur Authentifizierung einer Anwendung oder eines Benutzers verwendet werden – zur Generierung von Inhalten verwendet wurden, die gegen die Richtlinie zur akzeptablen Nutzung des Dienstes verstoßen . Später stellte Microsoft bei einer Untersuchung fest, dass zahlenden Kunden API-Schlüssel gestohlen worden waren, heißt es in der Beschwerde.
„Die genaue Art und Weise, wie die Beklagten an alle API-Schlüssel gelangt sind, die zur Begehung des in dieser Klage beschriebenen Fehlverhaltens verwendet wurden, ist unbekannt“, heißt es in der Beschwerde von Microsoft, „aber es scheint, dass die Beklagten an einem Muster systematischen API-Schlüsseldiebstahls beteiligt waren, der ihnen dies ermöglichte.“ Microsoft-API-Schlüssel von mehreren Microsoft-Kunden stehlen.“
Microsoft behauptet, dass die Beklagten gestohlene API-Schlüssel des Azure OpenAI-Dienstes von in den USA ansässigen Kunden verwendet haben, um ein „Hacking as a Service“-System zu erstellen. Der Beschwerde zufolge haben die Beklagten zur Umsetzung dieses Schemas ein clientseitiges Tool namens de3u sowie Software zur Verarbeitung und Weiterleitung der Kommunikation von de3u an Microsoft-Systeme erstellt.
De3u ermöglichte es Benutzern, gestohlene API-Schlüssel zu nutzen, um damit Bilder zu generieren DALL-ELaut Microsoft ist es eines der OpenAI-Modelle, die Azure OpenAI Service-Kunden zur Verfügung stehen, ohne dass ein eigener Code geschrieben werden muss. Der Beschwerde zufolge versuchte De3u auch, den Azure OpenAI-Dienst daran zu hindern, Eingabeaufforderungen zur Generierung von Bildern zu überprüfen. Dies kann beispielsweise passieren, wenn eine Texteingabeaufforderung Wörter enthält, die die Inhaltsfilterung von Microsoft auslösen.
Ein Repository mit dem de3u-Projektcode, gehostet auf GitHub – einem Unternehmen im Besitz von Microsoft – ist derzeit nicht mehr zugänglich.
„Diese Funktionen, kombiniert mit dem illegalen programmatischen API-Zugriff der Beklagten auf den Azure OpenAI-Dienst, ermöglichten es den Beklagten, Mittel zurückzuentwickeln, um die Inhalte und Missbrauchsmaßnahmen von Microsoft zu umgehen“, heißt es in der Klageschrift. „Die Angeklagten haben wissentlich und absichtlich ohne Genehmigung auf geschützte Azure OpenAl Service-Computer zugegriffen und durch dieses Verhalten Schäden und Verluste verursacht.“
In einem Blogbeitrag Wie Microsoft am Freitag veröffentlichte, hat das Gericht die Beschlagnahmung einer Website genehmigt, die für den Betrieb der Beklagten „wesentlich“ ist und es dem Unternehmen ermöglichen wird, Beweise zu sammeln, zu entschlüsseln, wie die angeblichen Dienste der Beklagten monetarisiert werden, und jede zusätzliche technische Infrastruktur, die es findet, zu stören . . .
Microsoft behauptet außerdem, dass es „Gegenmaßnahmen implementiert“ habe, die das Unternehmen nicht spezifiziert habe, und „zusätzliche Sicherheitsmaßnahmen“ zum Azure OpenAI-Dienst hinzugefügt habe, die auf die beobachtete Aktivität abzielen.
