微软近日针对一涉嫌组织提起法律诉讼,该组织被指开发并利用工具规避其云AI产品安全措施。依据微软去年12月向美国弗吉尼亚东区地方法院提交的诉讼,该组织由10名身份未明的嫌疑人组成,涉嫌通过非法获取客户凭证和定制软件,入侵Azure OpenAI服务。
微软指控嫌疑人违反了《计算机欺诈和滥用法案》、《数字千年版权法案》及联邦敲诈勒索法,非法访问和使用微软的软件及服务器,目的在于制作攻击性及有害非法内容。微软并未透露具体滥用内容的细节。
微软正在寻求禁令及其他合理救济和损害赔偿。据微软所述,他们在2024年7月发现,部分Azure OpenAI服务的客户凭证(特别是用于身份验证的API密钥)被用于生成违反服务使用政策的内容。
微软在诉讼中称,被告获取API密钥的具体手段尚不明确,但似乎已形成系统性API密钥盗窃模式,从而从多个微软客户处盗取API密钥。
微软指控被告利用窃取的API密钥实施“黑客即服务”计划,创建了名为de3u的客户端工具和软件,用于处理和路由从de3u到微软系统的通信。de3u允许用户使用被盗API密钥,无需编写代码即可利用DALL-E(Azure OpenAI服务中的OpenAI模型之一)生成图像。据称,de3u还试图阻止Azure OpenAI服务修改用于生成图像的提示。
截至发稿时,GitHub上托管de3u项目代码的repo已无法访问。
微软在周五发布的博客文章中表示,法院已授权其查封一个对被告行动至关重要的网站,以便收集证据、破解被告如何将服务货币化,并破坏其发现的其他技术基础设施。
微软还表示,已采取对策加强Azure OpenAI服务的安全措施,但未透露具体措施。
暂无评论