Microsoft accuse le groupe d’avoir développé un outil pour abuser de son service d’intelligence artificielle dans un nouveau procès

Microsoft a intenté une action en justice contre un groupe qui, selon la société, a intentionnellement développé et utilisé des outils pour contourner les barrières de sécurité de ses produits d’intelligence artificielle cloud.

Selon une plainte déposée par l’entreprise En décembre, devant le tribunal de district américain du district oriental de Virginie, un groupe de 10 accusés anonymes auraient utilisé des informations d’identification client volées et un logiciel conçu sur mesure pour se connecter au service Azure OpenAI, le service entièrement géré de Microsoft alimenté par le fabricant ChatGPT OpenAI. technologiques.

Dans le procès, Microsoft accuse les accusés (appelés uniquement « Does », un pseudonyme légal) d’avoir violé le Computer Fraud and Abuse Act, le Digital Millennium Copyright Act et une loi fédérale sur la criminalité organisée en accédant et en utilisant illégalement des logiciels Microsoft. . et des serveurs dans le but de « créer du contenu offensant » et « préjudiciable et illégal ». Microsoft n’a pas fourni de détails spécifiques sur le contenu abusif généré.

La société demande une injonction et « d’autres réparations équitables » ainsi que des dommages-intérêts.

Dans la plainte, Microsoft affirme avoir découvert en juillet 2024 que des clients disposant des informations d’identification du service Azure OpenAI (en particulier les clés API, les chaînes de caractères uniques utilisées pour authentifier une application ou un utilisateur) étaient utilisés pour générer du contenu qui enfreint la politique d’utilisation acceptable. du service. Plus tard, grâce à une enquête, Microsoft a découvert que les clés API avaient été volées à des clients payants, selon la plainte.

“La manière précise dont les défendeurs ont obtenu toutes les clés API utilisées pour commettre l’inconduite décrite dans ce procès est inconnue”, lit-on dans le procès de Microsoft, “mais il semble que les défendeurs se soient livrés à un schéma de vol de clés API qui ont permis leur pour voler les clés API Microsoft de plusieurs clients Microsoft.

Microsoft allègue que les accusés ont utilisé des clés API du service Azure OpenAI volées appartenant à des clients basés aux États-Unis pour créer un système de « piratage en tant que service ». Selon le procès, pour mettre en œuvre ce stratagème, les défendeurs ont créé un outil côté client appelé de3u, ainsi qu’un logiciel permettant de traiter et d’acheminer les communications de de3u vers les systèmes Microsoft.

De3u a permis aux utilisateurs d’exploiter des clés API volées pour générer des images à l’aide de DALL-E, l’un des modèles OpenAI disponibles pour les clients du service Azure OpenAI, sans avoir à écrire leur propre code, affirme Microsoft. De3u a également tenté d’empêcher le service Azure OpenAI d’examiner les messages utilisés pour générer des images, selon la plainte, ce qui peut se produire, par exemple, lorsqu’un message texte contient des mots qui déclenchent le filtrage de contenu Microsoft.

Un référentiel contenant le code du projet de3u, hébergé sur GitHub, une société appartenant à Microsoft, n’est plus disponible au moment d’écrire ces lignes.

“Ces fonctionnalités, combinées à l’accès programmatique illégal des accusés au service Azure OpenAI, leur ont permis de faire de l’ingénierie inverse sur les médias pour contourner les mesures de contenu et d’abus de Microsoft”, indique le procès. “Les accusés ont sciemment et intentionnellement accédé aux ordinateurs protégés du service Azure OpenAl sans autorisation et, du fait de cette conduite, ont causé des dommages et des pertes.”

dans un article de blog Libéré vendredi, Microsoft affirme que le tribunal l’a autorisé à saisir un site Web « essentiel » au fonctionnement des accusés, qui permettra à l’entreprise de rassembler des preuves, de comprendre comment les services présumés des accusés sont monétisés et de perturber toute infrastructure technique supplémentaire que vous trouverez. . .

Microsoft affirme également avoir « mis en œuvre des contre-mesures », que la société n’a pas précisées, et « ajouté des mesures de sécurité supplémentaires » au service Azure OpenAI ciblant l’activité observée.