Microsoft accuse le groupe d'avoir développé un outil pour abuser de son service d'IA dans un nouveau procès

Microsoft a intenté une action en justice contre un groupe qui, selon la société, a intentionnellement développé et utilisé des outils pour contourner les garde-fous de sécurité de ses produits d'IA cloud.

Selon une plainte déposée par la société en décembre devant le tribunal de district américain du district oriental de Virginie, un groupe de 10 accusés anonymes auraient utilisé des informations d'identification client volées et des logiciels conçus sur mesure pour pénétrer dans le service Azure OpenAI, le service entièrement géré de Microsoft. propulsé par les technologies du créateur ChatGPT OpenAI.

Dans la plainte, Microsoft accuse les accusés – qu'elle appelle uniquement « Does », un pseudonyme légal – d'avoir violé le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act et une loi fédérale sur le racket en accédant et en utilisant illégalement les logiciels de Microsoft. et des serveurs dans le but de « créer du contenu offensant » et « nuisible et illicite ». Microsoft n'a pas fourni de détails spécifiques sur le contenu abusif généré.

La société demande une injonction et d’autres réparations et dommages-intérêts équitables.

Dans la plainte, Microsoft affirme avoir découvert en juillet 2024 que des clients disposant d'informations d'identification du service Azure OpenAI – en particulier des clés API, les chaînes de caractères uniques utilisées pour authentifier une application ou un utilisateur – étaient utilisés pour générer du contenu qui enfreint la politique d'utilisation acceptable du service. Par la suite, grâce à une enquête, Microsoft a découvert que les clés API avaient été volées à des clients payants, selon la plainte.

“La manière précise dont les accusés ont obtenu toutes les clés API utilisées pour commettre l'inconduite décrite dans cette plainte est inconnue”, indique la plainte de Microsoft, “mais il semble que les accusés se soient livrés à un modèle de vol systématique de clés API qui leur a permis pour voler les clés API Microsoft de plusieurs clients Microsoft.

Microsoft allègue que les accusés ont utilisé des clés API Azure OpenAI Service volées appartenant à des clients basés aux États-Unis pour créer un système de « piratage en tant que service ». Selon la plainte, pour mettre en œuvre ce stratagème, les défendeurs ont créé un outil côté client appelé de3u, ainsi qu'un logiciel permettant de traiter et d'acheminer les communications de de3u vers les systèmes Microsoft.

De3u a permis aux utilisateurs d'exploiter des clés API volées pour générer des images à l'aide de DALL-E, l'un des modèles OpenAI disponibles pour les clients Azure OpenAI Service, sans avoir à écrire leur propre code, affirme Microsoft. De3u a également tenté d'empêcher le service Azure OpenAI de réviser les invites utilisées pour générer des images, selon la plainte, ce qui peut se produire, par exemple, lorsqu'une invite de texte contient des mots qui déclenchent le filtrage de contenu de Microsoft.

Poursuite De3u Microsoft
Une capture d'écran de l'outil De3u de la plainte Microsoft.Crédits images :Microsoft

Un dépôt contenant le code du projet de3u, hébergé sur GitHub – une société appartenant à Microsoft – n'est plus accessible au moment de la publication.

“Ces fonctionnalités, combinées à l'accès programmatique illégal des accusés au service Azure OpenAI, ont permis aux accusés de faire de l'ingénierie inverse pour contourner le contenu et les mesures d'abus de Microsoft”, indique la plainte. «Les accusés ont sciemment et intentionnellement accédé aux ordinateurs protégés par Azure OpenAl Service sans autorisation et, en conséquence, ont causé des dommages et des pertes.»

Dans un article de blog publié vendredi, Microsoft affirme que le tribunal l'a autorisé à saisir un site Web « instrumental » aux opérations des accusés, qui permettra à l'entreprise de rassembler des preuves, de déchiffrer comment les services présumés des accusés sont monétisés et de perturber toute activité supplémentaire. infrastructure technique qu'il trouve.

Microsoft affirme également avoir « mis en place des contre-mesures », que l'entreprise n'a pas précisées, et « ajouté des mesures d'atténuation de sécurité supplémentaires » au service Azure OpenAI ciblant l'activité observée.

rewrite this content and keep HTML tags

Microsoft a intenté une action en justice contre un groupe qui, selon la société, a intentionnellement développé et utilisé des outils pour contourner les garde-fous de sécurité de ses produits d'IA cloud.

Selon une plainte déposée par la société en décembre devant le tribunal de district américain du district oriental de Virginie, un groupe de 10 accusés anonymes auraient utilisé des informations d'identification client volées et des logiciels conçus sur mesure pour pénétrer dans le service Azure OpenAI, le service entièrement géré de Microsoft. propulsé par les technologies du créateur ChatGPT OpenAI.

Dans la plainte, Microsoft accuse les accusés – qu'elle appelle uniquement « Does », un pseudonyme légal – d'avoir violé le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act et une loi fédérale sur le racket en accédant et en utilisant illégalement les logiciels de Microsoft. et des serveurs dans le but de « créer du contenu offensant » et « nuisible et illicite ». Microsoft n'a pas fourni de détails spécifiques sur le contenu abusif généré.

La société demande une injonction et d’autres réparations et dommages-intérêts équitables.

Dans la plainte, Microsoft affirme avoir découvert en juillet 2024 que des clients disposant d'informations d'identification du service Azure OpenAI – en particulier des clés API, les chaînes de caractères uniques utilisées pour authentifier une application ou un utilisateur – étaient utilisés pour générer du contenu qui enfreint la politique d'utilisation acceptable du service. Par la suite, grâce à une enquête, Microsoft a découvert que les clés API avaient été volées à des clients payants, selon la plainte.

“La manière précise dont les accusés ont obtenu toutes les clés API utilisées pour commettre l'inconduite décrite dans cette plainte est inconnue”, indique la plainte de Microsoft, “mais il semble que les accusés se soient livrés à un modèle de vol systématique de clés API qui leur a permis pour voler les clés API Microsoft de plusieurs clients Microsoft.

Microsoft allègue que les accusés ont utilisé des clés API Azure OpenAI Service volées appartenant à des clients basés aux États-Unis pour créer un système de « piratage en tant que service ». Selon la plainte, pour mettre en œuvre ce stratagème, les défendeurs ont créé un outil côté client appelé de3u, ainsi qu'un logiciel permettant de traiter et d'acheminer les communications de de3u vers les systèmes Microsoft.

De3u a permis aux utilisateurs d'exploiter des clés API volées pour générer des images à l'aide de DALL-E, l'un des modèles OpenAI disponibles pour les clients Azure OpenAI Service, sans avoir à écrire leur propre code, affirme Microsoft. De3u a également tenté d'empêcher le service Azure OpenAI de réviser les invites utilisées pour générer des images, selon la plainte, ce qui peut se produire, par exemple, lorsqu'une invite de texte contient des mots qui déclenchent le filtrage de contenu de Microsoft.

Poursuite De3u Microsoft
Une capture d'écran de l'outil De3u de la plainte Microsoft.Crédits images :Microsoft

Un dépôt contenant le code du projet de3u, hébergé sur GitHub – une société appartenant à Microsoft – n'est plus accessible au moment de la publication.

“Ces fonctionnalités, combinées à l'accès programmatique illégal des accusés au service Azure OpenAI, ont permis aux accusés de faire de l'ingénierie inverse pour contourner le contenu et les mesures d'abus de Microsoft”, indique la plainte. «Les accusés ont sciemment et intentionnellement accédé aux ordinateurs protégés par Azure OpenAl Service sans autorisation et, en conséquence, ont causé des dommages et des pertes.»

Dans un article de blog publié vendredi, Microsoft affirme que le tribunal l'a autorisé à saisir un site Web « instrumental » aux opérations des accusés, qui permettra à l'entreprise de rassembler des preuves, de déchiffrer comment les services présumés des accusés sont monétisés et de perturber toute activité supplémentaire. infrastructure technique qu'il trouve.

Microsoft affirme également avoir « mis en place des contre-mesures », que l'entreprise n'a pas précisées, et « ajouté des mesures d'atténuation de sécurité supplémentaires » au service Azure OpenAI ciblant l'activité observée.

Laisser un commentaire

WP Twitter Auto Publish Powered By : XYZScripts.com