A Microsoft iniciou um processo contra um grupo que, segundo a empresa, estava abusando de seu serviço de inteligência artificial (IA). De acordo com a Microsoft, o grupo, não identificado, desenvolveu ferramentas que utilizava para burlar os mecanismos de segurança de seus produtos de IA. A queixa apresentada afirma que o grupo, composto por 10 indivíduos não identificados, teria roubadodentde usuários.
A Microsoft alegou que os réus usaram as credenciais de usuário roubadas dent um software desenvolvido para esse fim para invadir seu serviço Azure OpenAI. A Microsoft é responsável pela gestão do serviço em nuvem, criado pela ChatGPT, empresa controladora da OpenAI. Os indivíduos em questão violaram diversas leis, uma das quais motivou a abertura do processo, alega a Microsoft.
A Microsoft apresentou uma queixa sobre um abuso dos seus serviços
Em sua denúncia, a Microsoft destacou que os réus, aos quais se refere sob o pseudônimo legal de "Does", violam a Lei de Fraude e Abuso de Computadores (Computer Fraud and Abuse Act), uma lei vinculada à Lei de Direitos Autorais do Milênio Digital (Digital Millennium Copyright Act). A empresa também alegou que os indivíduos infringiram uma lei federal de extorsão e crime organizado ao acessar e usar ilegalmente seu software e servidores para criar conteúdo prejudicial e ilegal.
No entanto, a Microsoft se recusou a divulgar detalhes sobre o conteúdo que alegou ser prejudicial e ilegal. A empresa destacou em sua denúncia que descobriu, em julho de 2024, que algumas chaves de API do Azure OpenAI, uma sequência de caracteres usada para aprovar um aplicativo ou usuário, estavam sendo usadas ilegalmente para gerar conteúdo que não estava em conformidade com a política de uso aceitável da empresa.
De acordo com o processo, a Microsoft descobriu que os usuários tiveram acesso às chaves de API ilegalmente por meio de alguns usuários. Em sua declaração, a Microsoft afirmou que a forma como as chaves foram obtidas permanece desconhecida, mas tron que os réus as roubaram. "A maneira precisa pela qual os réus obtiveram todas as chaves de API usadas para realizar a conduta ilícita descrita nesta denúncia é desconhecida, mas parece que os réus se envolveram em um padrão de roubo sistemático de matic de API que lhes permitiu roubar chaves de API da Microsoft de vários clientes da Microsoft", diz a declaração.
Veredicto judicial e soluções futuras
Segundo a Microsoft, os réus visavam particularmente usuários dos Estados Unidos, e a empresa alega que o grupo usou as chaves de API roubadas do Azure OpenAI Service para criar um esquema que denominou "hacking como serviço". A denúncia menciona que os réus criaram uma ferramenta chamada De3u, que funciona no lado do cliente. Eles também criaram outro software que processava e encaminhava a comunicação do De3u para os sistemas da empresa.
A empresa observou que a De3u utilizou as dent para permitir que os usuários gerassem imagens usando o DALL-E, um dos da OpenAI disponíveis ao público. No entanto, o diferencial é que eles podem fazer isso sem escrever seus próprios códigos. A denúncia também alega que a De3u tentou impedir que o serviço Azure OpenAI revisasse os prompts usados para criar imagens. A queixa menciona que isso só ocorre quando um prompt contém palavras que acionam o sistema de filtragem de conteúdo da plataforma.
Um repositório contendo o código De3u, que havia sido mencionado no GitHub, de propriedade da Microsoft, foi removido no momento da redação deste texto. A Microsoft observou que a combinação das chaves de API roubadas do serviço Azure OpenAI e das ferramentas permitiu que os réus burlassem suas medidas de conteúdo. "Esses recursos, combinados com o acessomatic ilegal dos réus à API do serviço Azure OpenAI, permitiram que eles fizessem engenharia reversa para contornar as medidas de conteúdo e abuso da Microsoft", afirmou a empresa.
Entretanto, a empresa, em uma postagem recente em seu blog , mencionou que o tribunal aprovou seu pedido de apreensão de um site essencial para as operações dos réus. A Microsoft aproveitará a oportunidade para coletar evidências e descobrir como o serviço está sendo monetizado, a fim de remover qualquer infraestrutura técnica remanescente. A empresa afirmou ter implementado medidas para sanar a vulnerabilidade, destacando novas medidas de segurança para o serviço Azure OpenAI. A empresa também busca medidas cautelares, outras medidas judiciais e indenizações.
