Microsoft ha interpuesto una demanda contra un grupo que, según la compañía, estaba abusando de su servicio de inteligencia artificial (IA). Según Microsoft, este grupo, cuyo nombre no se ha dado a conocer, desarrolló herramientas que utilizaba para eludir las medidas de seguridad de sus productos de IA. La denuncia presentada afirmaba que el grupo, compuesto por 10 personas anónimas, presuntamente robabadentde usuario.
Microsoft alegó que los demandados utilizaron las dent y un software diseñado para tal fin para vulnerar su servicio Azure OpenAI. Microsoft gestiona el servicio en la nube, creado por ChatGPT, empresa matriz de OpenAI. Los acusados infringieron varias leyes, una de las cuales obligó a la presentación de la demanda, según Microsoft.
Microsoft presenta una denuncia por un abuso de sus servicios
En su demanda, Microsoft destacó que los demandados, a los que se refiere bajo el seudónimo legal "Sí", violan la Ley de Fraude y Abuso Informático, una ley amparada por la Ley de Derechos de Autor del Milenio Digital. La compañía también alegó que los individuos infringieron una ley federal contra la extorsión al acceder y utilizar ilegalmente su software y servidores para crear contenido dañino e ilegal.
Sin embargo, Microsoft se ha negado a detallar el contenido que, según afirma, era dañino e ilegal. La compañía destacó en su denuncia que, en julio de 2024, descubrió que algunos usuarios con claves API de Azure OpenAI (una cadena de caracteres que se utiliza para aprobar una aplicación o un usuario) estaban siendo utilizados ilegalmente para generar contenido que no se ajustaba a la política de uso aceptable de la compañía.
Según la demanda, Microsoft descubrió que los usuarios accedieron ilegalmente a las claves API a través de otros usuarios. En su declaración, Microsoft afirmó que se desconoce cómo obtuvieron las claves, pero tron que los acusados las robaron. "Se desconoce la manera precisa en que los acusados obtuvieron todas las claves API utilizadas para llevar a cabo la conducta indebida descrita en esta demanda, pero parece que han participado en un patrón de robo sistemático de matic API que les permitió robar claves API de Microsoft de múltiples clientes de Microsoft", se lee en la declaración.
Veredicto legal y soluciones futuras
Según Microsoft, los acusados se dirigieron especialmente a usuarios estadounidenses. La empresa alegó que el grupo utilizó las claves API robadas del servicio Azure OpenAI para crear un esquema denominado "hacking como servicio". La denuncia menciona que los acusados crearon una herramienta llamada De3u, que funciona en el lado del cliente. También crearon otro software que procesaba y enrutaba la comunicación de De3u a los sistemas de la empresa.
La firma señaló que De3u aprovechó las dent para permitir a los usuarios generar imágenes mediante DALL-E, uno de los de OpenAI disponibles para los usuarios. Sin embargo, la peculiaridad es que pueden hacerlo sin escribir su propio código. La denuncia también alegó que De3u intentó impedir que el servicio Azure OpenAI revisara las indicaciones utilizadas para crear imágenes. La denuncia mencionó que esto solo ocurre cuando una indicación contiene palabras que activan el sistema de filtrado de contenido de su plataforma.
Un repositorio con el código De3u, detectado en GitHub, propiedad de Microsoft, había sido eliminado al momento de redactar este artículo. Microsoft señaló que la combinación de las claves API del servicio Azure OpenAI robadas y las herramientas permitió a los demandados eludir sus medidas de contenido. "Estas características, junto con el accesomatic ilegal de los demandados a la API del servicio Azure OpenAI, les permitieron aplicar ingeniería inversa para eludir las medidas de contenido y abuso de Microsoft", declaró la compañía.
Mientras tanto, la compañía, en una publicación reciente de su blog , mencionó que el tribunal aprobó su solicitud de incautación de un sitio web esencial para las operaciones de los demandados. Microsoft aprovechará la oportunidad para recopilar pruebas y determinar cómo se monetiza el servicio para eliminar cualquier infraestructura técnica restante. La firma afirmó haber implementado medidas para subsanar la deficiencia, incluyendo nuevas medidas de seguridad para el servicio Azure OpenAI. La compañía también solicita medidas cautelares y otras medidas de equidad, así como una indemnización por daños y perjuicios.
