Microsoft ha emprendido acciones legales contra un grupo que, según la compañía, desarrolló y utilizó intencionalmente herramientas para sortear las barreras de seguridad de sus productos de inteligencia artificial en la nube.
de acuerdo a Una denuncia presentada por la empresa. En diciembre, en el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia, un grupo de 10 acusados anónimos supuestamente utilizaron credenciales de clientes robadas y software diseñado para piratear Azure OpenAI, el servicio totalmente administrado de Microsoft impulsado por las tecnologías del fabricante OpenAI de ChatGPT.
En la demanda, Microsoft acusa a los demandados (a los que se hace referencia sólo como “Does”, un seudónimo legal) de violar la Ley de Abuso y Fraude Informático, la Ley de Copyright del Milenio Digital y el estatuto federal de extorsión al acceder y utilizar ilegalmente el software de Microsoft. y servidores con el fin de “crear contenido ofensivo” y “contenido nocivo y prohibido”. Microsoft no proporcionó detalles específicos sobre el contenido ofensivo que se creó.
La empresa solicita una orden judicial y una indemnización por daños y perjuicios y “otros daños justos”.
En la denuncia, Microsoft dice que descubrió en julio de 2024 que los clientes con credenciales del servicio Azure OpenAI (específicamente claves API, las cadenas únicas de caracteres utilizadas para autenticar una aplicación o un usuario) estaban siendo utilizados para crear contenido que violaba la Política de Uso Aceptable del servicio. Luego, a través de una investigación, Microsoft descubrió que las claves API fueron robadas a clientes que pagaban, según la denuncia.
“Se desconoce la forma exacta en que los demandados obtuvieron todas las claves API utilizadas para cometer la mala conducta descrita en esta demanda”, afirma la demanda de Microsoft, “pero parece que los demandados participaron en un patrón de robo sistemático de claves API que les permitió para robar claves API de Microsoft de varios clientes de Microsoft.” .”
Microsoft alega que los demandados utilizaron claves API del servicio Azure OpenAI robadas pertenecientes a clientes estadounidenses para crear un esquema de “piratería como servicio”. Según la denuncia, para llevar a cabo este esquema, los acusados crearon una herramienta del lado del cliente llamada de3u, como. así como software para procesar y enrutar comunicaciones de de3u para sistemas Microsoft.
De3u permitió a los usuarios aprovechar claves API robadas para crear imágenes utilizando DALL-E, uno de los modelos OpenAI disponibles para los clientes del servicio Azure OpenAI, sin tener que escribir su propio código, afirma Microsoft. De3u también intentó evitar que el servicio Azure OpenAI cambiara los mensajes utilizados para generar imágenes, según la denuncia, lo que puede suceder, por ejemplo, cuando un mensaje de texto contiene palabras que activan el filtrado de contenido de Microsoft.
Al momento de escribir este artículo ya no se puede acceder a un repositorio que contiene el código del proyecto de3u, alojado en GitHub, una empresa propiedad de Microsoft.
“Estas características, combinadas con el acceso API programático ilegal de los demandados al servicio Azure OpenAI, les permitieron aplicar ingeniería inversa a los medios para eludir el contenido y el abuso de Microsoft”, afirma la demanda. “Los demandados accedieron a sabiendas e intencionalmente a las computadoras protegidas por el servicio Azure OpenAl sin autorización, y como resultado de tal comportamiento causaron daños y pérdidas”.
B un Publicación de blog En un comunicado del viernes, Microsoft dijo que el tribunal le autorizó a confiscar un sitio web “útil” para las operaciones de los demandados, lo que permitiría a la empresa reunir pruebas, descifrar cómo se monetizan los supuestos servicios de los demandados e interrumpir cualquier infraestructura técnica adicional que encuentre. . .
Microsoft también dice que ha “adoptado contramedidas”, que la compañía no especificó, y “agregó salvaguardias adicionales” al servicio Azure OpenAI dirigidas a la actividad que observó.
