Microsoft ha avviato una causa contro un gruppo che, secondo l'azienda, stava abusando del suo servizio di intelligenza artificiale (IA). Secondo Microsoft, il gruppo, il cui nome non è stato reso noto, ha sviluppato strumenti utilizzati per aggirare i sistemi di sicurezza dei suoi prodotti di IA. La denuncia presentata affermava che il gruppo, composto da 10 individui non identificati, avrebbe rubato ledentdegli utenti.
Microsoft ha affermato che gli imputati hanno utilizzato le dent e un software progettato a tale scopo per violare il suo servizio Azure OpenAI. Microsoft è responsabile della gestione del servizio cloud, creato dalla società madre di OpenAI, ChatGPT. Gli individui in questione hanno violato diverse leggi, una delle quali ha reso necessaria la presentazione della causa, sostiene Microsoft.
Microsoft presenta un reclamo per abuso dei suoi servizi
Nella sua denuncia, Microsoft ha sottolineato che gli imputati, a cui si riferisce con lo pseudonimo legale "Does", violano il Computer Fraud and Abuse Act, una legge ai sensi del Digital Millennium Copyright Act. L'azienda ha inoltre affermato che gli individui hanno violato una legge federale contro l'estorsione, accedendo e utilizzando illegalmente i suoi software e server per creare contenuti dannosi e illegali.
Tuttavia, Microsoft si è rifiutata di entrare nei dettagli dei contenuti che riteneva dannosi e illegali. L'azienda ha sottolineato nella sua denuncia di aver scoperto nel luglio 2024 che alcuni utenti con chiavi API di Azure OpenAI, una stringa di caratteri utilizzata per approvare un'app o un utente, venivano utilizzati illegalmente per generare contenuti non in linea con la politica di utilizzo accettabile dell'azienda.
Secondo quanto riportato nel documento, Microsoft ha scoperto che gli utenti sono entrati in contatto con le chiavi API illegalmente tramite alcuni utenti. Nella sua dichiarazione, Microsoft ha affermato che il modo in cui hanno ottenuto le chiavi rimane sconosciuto, ma è tron convinta che gli imputati le abbiano rubate. "Il modo preciso in cui gli imputati hanno ottenuto tutte le chiavi API utilizzate per commettere la condotta illecita descritta in questa denuncia è sconosciuto, ma sembra che gli imputati abbiano messo in atto un sistematico matic di chiavi API che ha permesso loro di rubare le chiavi API Microsoft da diversi clienti Microsoft", si legge nella dichiarazione.
Verdetto legale e soluzioni future
Secondo Microsoft, gli imputati hanno preso di mira in particolare gli utenti degli Stati Uniti, sostenendo che il gruppo ha utilizzato le chiavi API rubate di Azure OpenAI Service per creare uno schema denominato "hacking-as-a-service". La denuncia menzionava che gli imputati avevano creato uno strumento chiamato De3u, che funziona lato client. Avevano anche creato un altro software che elaborava e instradava le comunicazioni da De3u ai sistemi aziendali.
L'azienda ha osservato che De3u ha sfruttato le dent per consentire agli utenti di generare immagini utilizzando DALL-E, uno dei OpenAI accessibili agli utenti. Tuttavia, la vera sorpresa è che possono farlo senza scrivere codice proprio. Il documento affermava inoltre che De3u aveva anche tentato di impedire al servizio Azure OpenAI di esaminare i prompt utilizzati per creare immagini. La denuncia affermava che ciò accade solo nel caso in cui un prompt contenga parole che attivano il sistema di filtraggio dei contenuti sulla sua piattaforma.
Un repository contenente il codice De3u, segnalato su GitHub di proprietà di Microsoft, era stato rimosso al momento della stesura di questo articolo. Microsoft ha osservato che la combinazione delle chiavi API del servizio Azure OpenAI rubate e degli strumenti consentiva agli imputati di eludere le sue misure di sicurezza sui contenuti. "Queste funzionalità, combinate con l'accesso APImatic illecito degli imputati al servizio Azure OpenAI, hanno consentito agli imputati di effettuare reverse engineering per aggirare le misure di sicurezza sui contenuti e sugli abusi di Microsoft", ha affermato l'azienda.
Nel frattempo, l'azienda, in un recente post sul blog , ha affermato che il tribunale ha accolto la sua richiesta di sequestro di un sito web fondamentale per le attività degli imputati. Microsoft coglierà l'occasione per raccogliere prove e capire come il servizio viene monetizzato, al fine di rimuovere qualsiasi infrastruttura tecnica ancora esistente. L'azienda ha affermato di aver adottato misure per colmare la lacuna, evidenziando nuove misure di sicurezza per il servizio Azure OpenAI. L'azienda sta inoltre chiedendo provvedimenti ingiuntivi e altri provvedimenti equitativi e risarcimenti danni.
