Microsoft hat Klage gegen eine Gruppe eingereicht, die nach Angaben des Unternehmens seinen KI-Dienst missbraucht haben soll. Die namentlich nicht genannte Gruppe entwickelte laut Microsoft Tools, mit denen sie die Sicherheitsvorkehrungen seiner KI-Produkte umging. In der eingereichten Klage heißt es, die Gruppe, bestehend aus zehn namentlich nicht genannten Personen, habe angeblichdentgestohlen.
Microsoft behauptet , die Angeklagten hätten gestohlene Benutzerdaten dent eine eigens dafür entwickelte Software genutzt, um in den Azure OpenAI-Dienst einzudringen. Microsoft ist für die Verwaltung dieses Cloud-Dienstes verantwortlich, der von ChatGPT, der Muttergesellschaft von OpenAI, entwickelt wurde. Die genannten Personen hätten mehrere Gesetze gebrochen, eines davon habe die Einreichung der Klage erforderlich gemacht, so Microsoft.
Microsoft reicht eine Beschwerde wegen Missbrauchs seiner Dienste ein
In ihrer Klage hob Microsoft hervor, dass die Beklagten, die unter dem Pseudonym „Does“ auftreten, gegen den Computer Fraud and Abuse Act (CFA) verstoßen, ein Gesetz des Digital Millennium Copyright Act (DMCA). Das Unternehmen warf den Beklagten außerdem vor, gegen ein Bundesgesetz zur Bekämpfung von organisierter Kriminalität verstoßen zu haben, indem sie illegal auf ihre Software und Server zugegriffen und diese genutzt haben, um schädliche und illegale Inhalte zu erstellen.
Microsoft weigerte sich jedoch, Einzelheiten zu den Inhalten preiszugeben, die angeblich schädlich und illegal waren. Das Unternehmen hob in seiner Beschwerde hervor, dass es im Juli 2024 festgestellt habe, dass einige Nutzer mit Azure OpenAI API-Schlüsseln – einer Zeichenfolge zur Autorisierung einer App oder eines Nutzers – illegal zur Erstellung von Inhalten missbraucht wurden, die nicht den Nutzungsrichtlinien des Unternehmens entsprachen.
Laut der Klageschrift Microsoft fest, dass die Nutzer illegal über einige andere Nutzer an die API-Schlüssel gelangt waren. In seiner Stellungnahme erklärte Microsoft, die Herkunft der Schlüssel sei weiterhin unbekannt, man gehe jedoch tron davon aus, dass die Beklagten diese gestohlen hätten. „Die genauen Umstände, mit denen die Beklagten alle API-Schlüssel erlangten, die für die in dieser Klage beschriebenen Verstöße verwendet wurden, sind unbekannt. Es scheint jedoch, dass die Beklagten systematisch API-Schlüssel gestohlen haben, matic sie API-Schlüssel von mehreren Microsoft-Kunden entwenden konnten“, heißt es in der Stellungnahme.
Rechtsgutachten und zukünftige Lösungsansätze
Laut Microsoft zielten die Angeklagten insbesondere auf Nutzer in den Vereinigten Staaten ab. Das Unternehmen wirft der Gruppe vor, die gestohlenen API-Schlüssel des Azure OpenAI -Dienstes genutzt zu haben, um ein System namens „Hacking-as-a-Service“ zu entwickeln. In der Anklage wird erwähnt, dass die Angeklagten ein clientseitiges Tool namens De3u entwickelt haben. Außerdem erstellten sie eine weitere Software, die die Kommunikation von De3u zu den Systemen des Unternehmens verarbeitete und weiterleitete.
Das Unternehmen stellte fest, dass De3u die gestohlenen API- dent , um Nutzern die Generierung von Bildern mit DALL-E, einem der OpenAI -Dienste, zu ermöglichen. Der Clou dabei: Sie konnten dies tun, ohne eigenen Code schreiben zu müssen. In der Klage wird außerdem behauptet, De3u habe versucht, den Azure OpenAI-Dienst daran zu hindern, die zur Bildgenerierung verwendeten Eingabeaufforderungen zu überprüfen. Dies geschehe nur dann, wenn eine Eingabeaufforderung Wörter enthalte, die das Inhaltsfiltersystem der Plattform auslösen.
Ein Repository mit dem De3u-Code, das auf dem Microsoft-eigenen GitHub-Repository veröffentlicht worden war, war zum Zeitpunkt der Veröffentlichung dieses Artikels bereits entfernt worden. Microsoft erklärte, dass die Kombination aus den gestohlenen Azure OpenAI Service-API-Schlüsseln und den entsprechenden Tools es den Angeklagten ermöglichte, die Inhaltskontrollmaßnahmen des Unternehmens zu umgehen. „Diese Funktionen, kombiniert mit dem unrechtmäßigenmatic API-Zugriff der Angeklagten auf den Azure OpenAI-Dienst, ermöglichten es ihnen, Methoden zur Umgehung der Inhalts- und Missbrauchskontrollmaßnahmen von Microsoft zu entwickeln“, so das Unternehmen.
Das Unternehmen gab kürzlich in einem Blogbeitrag bekannt, dass das Gericht seinem Antrag auf Beschlagnahme einer für die Geschäftstätigkeit der Beklagten zentralen Website stattgegeben hat. Microsoft wird die Gelegenheit nutzen, Beweise zu sammeln und die Monetarisierungsmethoden des Dienstes zu ermitteln, um die verbliebene technische Infrastruktur zu entfernen. Das Unternehmen erklärte, Maßnahmen zur Schließung der Sicherheitslücke ergriffen zu haben und verwies auf neue Sicherheitsvorkehrungen für den Azure OpenAI-Dienst. Microsoft beantragt zudem Unterlassungsansprüche und Schadensersatz.
