Microsoft avvia una causa contro un gruppo per abuso del suo servizio

Microsoft ha avviato una causa contro un gruppo che, secondo l'azienda, stava abusando del suo servizio di intelligenza artificiale (IA). Secondo Microsoft, il gruppo, il cui nome non è stato reso noto, ha sviluppato strumenti utilizzati per aggirare i sistemi di sicurezza dei suoi prodotti di IA. La denuncia presentata affermava che il gruppo, composto da 10 individui non identificati, avrebbe rubato ledentdegli utenti.

Microsoft ha affermato che gli imputati hanno utilizzato ledente un software progettato appositamente per violare il suo servizio Azure OpenAI. Microsoft è responsabile della gestione del servizio cloud, creato dalla società madre di OpenAI, ChatGPT. Secondo Microsoft, i suddetti individui avrebbero violato diverse leggi, una delle quali avrebbe reso necessaria la presentazione della denuncia.

Microsoft presenta un reclamo per abuso dei suoi servizi

Nella sua denuncia, Microsoft ha sottolineato che gli imputati, a cui si riferisce con lo pseudonimo legale "Does", violano il Computer Fraud and Abuse Act, una legge ai sensi del Digital Millennium Copyright Act. L'azienda ha inoltre affermato che gli individui hanno violato una legge federale contro l'estorsione, accedendo e utilizzando illegalmente i suoi software e server per creare contenuti dannosi e illegali.

Tuttavia, Microsoft si è rifiutata di entrare nei dettagli dei contenuti che riteneva dannosi e illegali. L'azienda ha sottolineato nella sua denuncia di aver scoperto nel luglio 2024 che alcuni utenti con chiavi API di Azure OpenAI, una stringa di caratteri utilizzata per approvare un'app o un utente, venivano utilizzati illegalmente per generare contenuti non in linea con la politica di utilizzo accettabile dell'azienda.

Secondo quanto riportato nella denuncia, Microsoft ha scoperto che gli utenti sono entrati in contatto illegalmente con le chiavi API tramite alcuni utenti. Nella sua dichiarazione, Microsoft ha affermato che le modalità con cui hanno ottenuto le chiavi rimangono sconosciute, ma ètronconvinta che gli imputati le abbiano rubate. "Le modalità precise con cui gli imputati hanno ottenuto tutte le chiavi API utilizzate per mettere in atto la condotta illecita descritta in questa denuncia sono sconosciute, ma sembra che gli imputati abbiano messo in atto uno schema di furto sistematico dimatic API che ha permesso loro di rubare le chiavi API di Microsoft a numerosi clienti Microsoft", si legge nella dichiarazione.

Verdetto legale e soluzioni future

Secondo Microsoft, gli imputati hanno preso di mira in particolare gli utenti statunitensi, e l'azienda sostiene che il gruppo abbia utilizzato le chiavi API rubate del servizio Azure OpenAI per creare un sistema definito "hacking-as-a-service". La denuncia menziona che gli imputati hanno creato uno strumento chiamato De3u, che opera lato client, e un altro software che elabora e instrada le comunicazioni da De3u ai sistemi dell'azienda.

L'azienda ha osservato che De3u ha sfruttato ledentper consentire agli utenti di generare immagini utilizzando DALL-E, uno dei OpenAI accessibili agli utenti. Tuttavia, la vera sorpresa è che possono farlo senza scrivere codice proprio. Il documento affermava inoltre che De3u aveva anche tentato di impedire al servizio Azure OpenAI di esaminare i prompt utilizzati per creare immagini. La denuncia affermava che ciò accade solo nel caso in cui un prompt contenga parole che attivano il sistema di filtraggio dei contenuti sulla sua piattaforma.

Un repository contenente il codice De3u, segnalato su GitHub di proprietà di Microsoft, era stato rimosso al momento della stesura di questo articolo. Microsoft ha osservato che la combinazione delle chiavi API del servizio Azure OpenAI rubate e degli strumenti consentiva agli imputati di eludere le sue misure di sicurezza sui contenuti. "Queste funzionalità, combinate con l'accesso APImatic illecito degli imputati al servizio Azure OpenAI, hanno consentito agli imputati di effettuare reverse engineering per aggirare le misure di sicurezza sui contenuti e sugli abusi di Microsoft", ha affermato l'azienda.

Nel frattempo, la società, in un recente post sul blog, ha comunicato che il tribunale ha accolto la sua richiesta di sequestro di un sito web fondamentale per le operazioni degli imputati. Microsoft sfrutterà l'occasione per raccogliere prove e capire come il servizio viene monetizzato, al fine di rimuovere qualsiasi infrastruttura tecnica ancora presente. L'azienda ha dichiarato di aver adottato misure per colmare la lacuna, citando nuove misure di sicurezza per il servizio Azure OpenAI. La società chiede inoltre provvedimenti ingiuntivi e altri rimedi equitativi, nonché un risarcimento danni.