Νομικά έχει κινηθεί η Microsoft εναντίον μίας ομάδας που, όπως ισχυρίζεται, ανέπτυξε και χρησιμοποίησε σκόπιμα εργαλεία για να παρακάμψει τις προστατευτικές μπάρες ασφαλείας των προϊόντων Τεχνητής νοημοσύνης της στο cloud.
Σύμφωνα με καταγγελία που κατέθεσε η εταιρεία τον Δεκέμβριο στο Περιφερειακό Δικαστήριο της Ανατολικής Περιφέρειας της Βιρτζίνια των ΗΠΑ, μια ομάδα 10 ανώνυμων κατηγορουμένων φέρεται να χρησιμοποίησε κλεμμένα διαπιστευτήρια πελατών και ειδικά σχεδιασμένο λογισμικό για να εισέλθει στην υπηρεσία Azure OpenAI Service, την πλήρως διαχειριζομένη υπηρεσία της Microsoft που τροφοδοτείται από τις τεχνολογίες του κατασκευαστή ChatGPT OpenAI.
Στην καταγγελία, η Microsoft αναφέρεται στους κατηγορούμενους ως «Does» – ένα νομικό ψευδώνυμο – λέγοντας ότι παραβίασαν το Computer Fraud and Abuse Act, το Digital Millennium Copyright Act και έναν ομοσπονδιακό νόμο περί εκβιασμού, αποκτώντας παράνομη πρόσβαση και χρησιμοποιώντας το λογισμικό και τους διακομιστές της Microsoft με σκοπό τη «δημιουργία προσβλητικού» και «επιβλαβούς και παράνομου περιεχομένου». Η Microsoft δεν παρείχε συγκεκριμένες λεπτομέρειες σχετικά με το καταχρηστικό περιεχόμενο που δημιουργήθηκε.
Ακόμη, τον Ιούλιο του 2024 η Microsoft ανακάλυψε ότι πελάτες με διαπιστευτήρια της υπηρεσίας Azure OpenAI – συγκεκριμένα κλειδιά API, οι μοναδικές σειρές χαρακτήρων που χρησιμοποιούνται για την πιστοποίηση ταυτότητας μιας εφαρμογής ή ενός χρήστη – χρησιμοποιούνταν για τη δημιουργία περιεχομένου που παραβιάζει την πολιτική αποδεκτής χρήσης της υπηρεσίας. Στη συνέχεια, μέσω έρευνας, η Microsoft ανακάλυψε ότι τα κλειδιά API είχαν κλαπεί από πελάτες που πλήρωναν, σύμφωνα με την καταγγελία.
«Ο ακριβής τρόπος με τον οποίο οι εναγόμενοι απέκτησαν όλα τα κλειδιά API που χρησιμοποιήθηκαν για την εκτέλεση των παραπτωμάτων που περιγράφονται στην παρούσα καταγγελία είναι άγνωστος», αναφέρεται στην καταγγελία της Microsoft, «αλλά φαίνεται ότι οι εναγόμενοι έχουν εμπλακεί σε ένα μοτίβο συστηματικής κλοπής κλειδιών API που τους επέτρεψε να κλέψουν τα κλειδιά API της Microsoft από πολλούς πελάτες της Microsoft».
Η Microsoft ισχυρίζεται ότι οι κατηγορούμενοι χρησιμοποίησαν κλεμμένα κλειδιά API της υπηρεσίας Azure OpenAI που ανήκαν σε πελάτες με έδρα τις ΗΠΑ για να δημιουργήσουν ένα σύστημα «hacking-as-a-service». Σύμφωνα με την καταγγελία, για να πραγματοποιήσουν αυτό το σχέδιο, οι κατηγορούμενοι δημιούργησαν ένα εργαλείο client-side που ονομάζεται de3u, καθώς και λογισμικό για την επεξεργασία και τη δρομολόγηση επικοινωνιών από το de3u προς τα συστήματα της Microsoft.
Ένα repo που περιέχει τον κώδικα του έργου de3u, το οποίο φιλοξενείται στο GitHub - μια εταιρεία που ανήκει στη Microsoft - δεν είναι πλέον προσβάσιμο.
«Αυτά τα χαρακτηριστικά, σε συνδυασμό με την παράνομη προγραμματιστική πρόσβαση API των εναγόντων στην υπηρεσία Azure OpenAI, επέτρεψαν στους εναγόμενους να κατασκευάσουν αντίστροφα μέσα για την παράκαμψη των μέτρων της Microsoft για το περιεχόμενο και την κατάχρηση», αναφέρεται στην καταγγελία. «Οι εναγόμενοι είχαν εν γνώσει τους και σκόπιμα πρόσβαση στους προστατευόμενους υπολογιστές της υπηρεσίας Azure OpenAl χωρίς εξουσιοδότηση και ως αποτέλεσμα αυτής της συμπεριφοράς προκάλεσαν ζημίες και απώλειες».
