Η Microsoft κινείται νομικά κατά ομάδας που παραβίασε την ασφάλεια των υπηρεσιών AI στο cloud
Η Microsoft έχει ξεκινήσει νομικές διαδικασίες εναντίον μιας ομάδας ατόμων, οι οποίοι φέρονται να ανέπτυξαν και να χρησιμοποίησαν εργαλεία για να παρακάμψουν τα μέτρα ασφαλείας των προϊόντων της στο cloud, που σχετίζονται με την τεχνητή νοημοσύνη. Σύμφωνα με αγωγή που κατατέθηκε από την εταιρεία τον Δεκέμβριο στο Περιφερειακό Δικαστήριο των Ηνωμένων Πολιτειών για την Ανατολική Περιφέρεια της Βιρτζίνια, μια ομάδα 10 αγνώστων κατηγορείται ότι χρησιμοποίησε κλεμμένα στοιχεία πελατών και λογισμικό ειδικά σχεδιασμένο για να παραβιάσει την υπηρεσία Azure OpenAI, την πλήρως διαχειριζόμενη υπηρεσία της Microsoft που υποστηρίζεται από τις τεχνολογίες της OpenAI, δημιουργού του ChatGPT.
Κατηγορίες και παραβιάσεις: Πώς η ομάδα παραβίασε την ασφάλεια της Microsoft
Στην αγωγή, η Microsoft κατηγορεί τους εναγόμενους, που αναφέρονται μόνο ως “Does”, για παραβίαση του Νόμου περί Απάτης και Κατάχρησης Υπολογιστών, του Νόμου περί Ψηφιακού Χιλιετηρίου για τα Πνευματικά Δικαιώματα, και ενός ομοσπονδιακού νόμου περί εκβιασμού, με την κατηγορία της παράνομης πρόσβασης και χρήσης του λογισμικού και των διακομιστών της Microsoft για τη δημιουργία “προσβλητικού” και “επιβλαβούς και παράνομου περιεχομένου”. Η εταιρεία δεν παρείχε συγκεκριμένες λεπτομέρειες για το περιεχόμενο που δημιουργήθηκε.
Ανακάλυψη και έρευνα: Πώς η Microsoft εντόπισε την παραβίαση
Η Microsoft αναφέρει ότι ανακάλυψε τον Ιούλιο του 2024 ότι τα στοιχεία πρόσβασης πελατών της υπηρεσίας Azure OpenAI, συγκεκριμένα τα API keys, χρησιμοποιούνταν για τη δημιουργία περιεχομένου που παραβιάζει την πολιτική αποδεκτής χρήσης της υπηρεσίας. Μέσω έρευνας, η εταιρεία διαπίστωσε ότι τα API keys είχαν κλαπεί από πελάτες που πληρώνουν για την υπηρεσία.
Το σχέδιο των κατηγορουμένων: Πώς λειτουργούσε το σχήμα “hacking-as-a-service”
Η Microsoft ισχυρίζεται ότι οι κατηγορούμενοι χρησιμοποίησαν τα κλεμμένα API keys για να δημιουργήσουν ένα σχήμα “hacking-as-a-service”. Για την υλοποίηση αυτού του σχήματος, οι κατηγορούμενοι δημιούργησαν ένα εργαλείο πελάτη που ονομάζεται de3u, καθώς και λογισμικό για την επεξεργασία και δρομολόγηση επικοινωνιών από το de3u στα συστήματα της Microsoft.
Η λειτουργία του de3u: Χρήση κλεμμένων API keys για δημιουργία εικόνων
Το de3u επέτρεπε στους χρήστες να χρησιμοποιούν τα κλεμμένα API keys για τη δημιουργία εικόνων μέσω του DALL-E, ενός από τα μοντέλα της OpenAI που είναι διαθέσιμα στους πελάτες της υπηρεσίας Azure OpenAI, χωρίς να χρειάζεται να γράψουν δικό τους κώδικα. Σύμφωνα με την αγωγή, το de3u προσπάθησε επίσης να αποτρέψει την υπηρεσία Azure OpenAI από το να αναθεωρεί τα ερωτήματα που χρησιμοποιούνται για τη δημιουργία εικόνων, κάτι που μπορεί να συμβεί, για παράδειγμα, όταν ένα κείμενο περιέχει λέξεις που ενεργοποιούν το φίλτρο περιεχομένου της Microsoft.
Αντιμετώπιση και μέτρα: Η απάντηση της Microsoft στην παραβίαση
Σε μια ανάρτηση στο ιστολόγιο της, η Microsoft αναφέρει ότι το δικαστήριο της έδωσε την άδεια να κατασχέσει έναν ιστότοπο “κρίσιμο” για τη λειτουργία των κατηγορουμένων, που θα επιτρέψει στην εταιρεία να συλλέξει αποδεικτικά στοιχεία, να αποκρυπτογραφήσει πώς οι υπηρεσίες των κατηγορουμένων αποφέρουν κέρδη, και να διακόψει οποιαδήποτε πρόσθετη τεχνική υποδομή που θα βρει. Επιπλέον, η Microsoft δηλώνει ότι έχει εφαρμόσει μέτρα αντιμετώπισης, τα οποία δεν προσδιορίζει, και έχει προσθέσει επιπλέον μέτρα ασφαλείας στην υπηρεσία Azure OpenAI για να στοχεύσει τη δραστηριότητα που παρατήρησε.
Συμπέρασμα: Η σημασία της ασφάλειας στις υπηρεσίες cloud AI
Η υπόθεση αυτή υπογραμμίζει τη σημασία της ασφάλειας στις υπηρεσίες cloud που βασίζονται στην τεχνητή νοημοσύνη. Καθώς οι τεχνολογίες AI συνεχίζουν να εξελίσσονται και να ενσωματώνονται σε περισσότερες επιχειρηματικές διαδικασίες, η προστασία των δεδομένων και των υποδομών γίνεται πιο κρίσιμη από ποτέ. Η Microsoft, μέσω των νομικών της ενεργειών και των μέτρων ασφαλείας, προσπαθεί να διασφαλίσει ότι οι πελάτες της παραμένουν προστατευμένοι από κακόβουλες ενέργειες.
