Η Microsoft έχει καταθέσει ομοσπονδιακή αγωγή εναντίον μιας άγνωστης ομάδας κυβερνοεγκληματιών που κατηγορείται ότι χρησιμοποίησε κλεμμένα κλειδιά API για να παρακάμψει πρωτόκολλα ασφαλείας στην Υπηρεσία Azure OpenAI.
Οι νομικές αξιώσεις περιλαμβάνουν παραβιάσεις του Νόμος περί απάτης και κατάχρησης υπολογιστών (CFAA), ο Digital Millennium Copyright Act (DMCA) και το Οργανισμοί που επηρεάζονται και διεφθαρμένοι από ρακέτες (RICO) Πράξη.
Το Ο τεχνολογικός γίγαντας ισχυρίζεται ότι ο όμιλος λειτούργησε ένα εξελιγμένο σύστημα πειρατείας, με τη δημιουργία εσόδων από μη εξουσιοδοτημένη πρόσβαση στην υπηρεσία Azure OpenAI, διανέμοντας προσαρμοσμένο λογισμικό, συμπεριλαμβανομένου ενός εφαρμογή από την πλευρά του πελάτη, γνωστή ως”de3u”και ένα σύστημα αντίστροφου διακομιστή μεσολάβησης που ονομάζεται”oai reverse proxy”.
Αυτά τα εργαλεία επέτρεψαν στους χρήστες να εκμεταλλευτούν κλεμμένα διαπιστευτήρια και να παρακάμψουν τα προηγμένα μέτρα ασφαλείας της Microsoft.
Σχετικά: Η Microsoft διακόπτει την πρόσβαση στο Azure OpenAI για Κινέζους προγραμματιστές
>
Η έρευνα της Microsoft ξεκίνησε τον Ιούλιο του 2024 όταν ανακάλυψε ότι τα κλειδιά API—μοναδικά αναγνωριστικά που ελέγχουν την ταυτότητα του χρήστη αιτήματα—που εκδόθηκαν για νόμιμους πελάτες του Azure OpenAI χρησιμοποιήθηκαν για πρόσβαση στα συστήματά του χωρίς εξουσιοδότηση.
Η εταιρεία εντόπισε τη δραστηριότητα σε μια συντονισμένη επιχείρηση που στοχεύει πολλούς πελάτες, συμπεριλαμβανομένων πολλών εταιρειών που εδρεύουν στις ΗΠΑ.
“Ο ακριβής τρόπος με τον οποίο οι κατηγορούμενοι απέκτησαν όλα τα Κλειδιά API που χρησιμοποιήθηκαν για τη μεταφορά τους. το παράπτωμα που περιγράφεται σε αυτήν την καταγγελία είναι άγνωστο”, δήλωσε η Microsoft στην κατάθεσή της,”αλλά φαίνεται ότι οι κατηγορούμενοι έχουν εμπλακεί σε ένα μοτίβο συστηματικής κλοπής κλειδιού API που τους επέτρεψε να κλέψτε τα κλειδιά API της Microsoft από πολλούς πελάτες της Microsoft.”
Σχετικά: Οι κυβερνοεπιθέσεις που βασίζονται σε AI αυξάνονται σε πάνω από 600 εκατομμύρια καθημερινά περιστατικά
Εργαλεία που χρησιμοποιούνται σε the Scheme
Οι κατηγορούμενοι φέρεται να δημιούργησαν το λογισμικό de3u για να διευκολύνουν τη μη εξουσιοδοτημένη χρήση της Υπηρεσίας Azure OpenAI. Αυτό το εργαλείο παρείχε μια φιλική προς το χρήστη διεπαφή για τη δημιουργία εικόνων μέσω του μοντέλου DALL-E του OpenAI.
Επικοινωνούσε με τα συστήματα του Azure μιμούμενος νόμιμα αιτήματα API, εκμεταλλευόμενος κλεμμένα διαπιστευτήρια για να παρακάμψει τις ενσωματωμένες διασφαλίσεις. Το σύστημα αντίστροφης μεσολάβησης επέτρεψε περαιτέρω αυτήν την κατάχρηση δρομολογώντας την μη εξουσιοδοτημένη κυκλοφορία μέσω των τούνελ Cloudflare, γεγονός που απέκρυψε τις δραστηριότητες και έκανε πιο δύσκολο τον εντοπισμό τους.
Η καταγγελία της Microsoft περιγράφει λεπτομερώς τα εργαλεία: «Η εφαρμογή de3u των κατηγορουμένων επικοινωνεί με το Azure. υπολογιστές που χρησιμοποιούν μη τεκμηριωμένα API δικτύου της Microsoft για την αποστολή αιτημάτων που έχουν σχεδιαστεί για να μιμούνται τα νόμιμα Αιτήματα Azure OpenAI Service API. Το σύστημα αντίστροφου διακομιστή μεσολάβησης oai επέτρεψε στους χρήστες να δρομολογούν επικοινωνίες μέσω των σηράγγων Cloudflare σε συστήματα Azure και να λαμβάνουν εξόδους που παρακάμπτουν τους περιορισμούς ασφαλείας.”
Τα εργαλεία περιλάμβαναν επίσης λειτουργίες για την αφαίρεση μεταδεδομένων από περιεχόμενο που δημιουργείται από AI, αποτρέποντας την αναγνώριση Η προέλευσή του και η περαιτέρω κατάχρηση
Μετά την ανακάλυψη της Microsoft, οι κατηγορούμενοι φέρονται να επιχείρησαν για να διαγράψετε βασική υποδομή, συμπεριλαμβανομένων των σελίδων Rentry.org, του αποθετηρίου GitHub για το de3u και στοιχείων του συστήματος αντίστροφου διακομιστή μεσολάβησης.
Ευρύτερο πλαίσιο και επιπτώσεις σε όλο τον κλάδο
Η μήνυση έρχεται σε μια στιγμή που οι τεχνολογίες παραγωγής τεχνητής νοημοσύνης υπόκεινται σε αυξημένο έλεγχο για πιθανή κακή χρήση τους, όπως το OpenAI Το DALL-E και το ChatGPT έχουν μεταμορφώσει τη δημιουργία περιεχομένου, αλλά έχουν επίσης γίνει αντικείμενο εκμετάλλευσης για παραπληροφόρηση, ανάπτυξη κακόβουλου λογισμικού και επιβλαβείς εικόνες
Η νομική ενέργεια της Microsoft υπογραμμίζει τις συνεχείς προκλήσεις που αντιμετωπίζουν οι πάροχοι τεχνητής νοημοσύνης όσον αφορά την προστασία των συστημάτων τους. >
Η Microsoft τόνισε ότι τα μέτρα ασφαλείας που είναι ενσωματωμένα στην υπηρεσία Azure OpenAI είναι ισχυρά και χρησιμοποιούν νευρωνικές πολυκλάσεις μοντέλα ταξινόμησης και προστασία μεταδεδομένων. Αυτά τα συστήματα έχουν σχεδιαστεί για να μπλοκάρουν το επιβλαβές περιεχόμενο και να εντοπίζουν τα αποτελέσματα που δημιουργούνται από την τεχνητή νοημοσύνη στις πηγές τους.
Ωστόσο, όπως δείχνει αυτή η περίπτωση, ακόμη και οι πιο προηγμένες διασφαλίσεις μπορούν να παρακαμφθούν από αποφασισμένους παράγοντες.”Παρά τους διάφορους μετριασμούς ασφαλείας της Microsoft και του OpenAI, εξελιγμένοι κακοί παράγοντες έχουν επινοήσει τρόπους για να αποκτήσουν παράνομη πρόσβαση στα συστήματα της Microsoft”, σημειώνει η καταγγελία.
Η ομάδα που στοχεύει η Microsoft ενδέχεται να μην είναι απομονωμένη στις δραστηριότητές της. Η εταιρεία. ισχυρίζεται ότι οι ίδιοι παράγοντες έχουν εκμεταλλευτεί πιθανώς άλλους παρόχους υπηρεσιών τεχνητής νοημοσύνης, αντανακλώντας μια ευρύτερη τάση κατάχρησης στον χώρο της τεχνητής νοημοσύνης ευπάθειες των τεχνολογιών παραγωγής τεχνητής νοημοσύνης και η ανάγκη για συνεργασία σε ολόκληρη τη βιομηχανία για την αντιμετώπιση αυτών των απειλών.
Νομικές ενέργειες και αντίμετρα
Για την καταπολέμηση της εκμετάλλευσης, η Microsoft έχει ζητήσει να αντιμετωπίσει αυτές τις απειλές. ακύρωσε όλα τα κλεμμένα διαπιστευτήρια και εφάρμοσε πρόσθετα μέτρα ασφαλείας για να αποτρέψει παρόμοιες παραβιάσεις κατηγορούμενους, συμπεριλαμβανομένου του”aitism.net”, το οποίο ήταν κεντρικό στις επιχειρήσεις τους.
Αυτά τα μέτρα επιτρέπουν στη Μονάδα Ψηφιακών Εγκλημάτων της Microsoft να ανακατευθύνει τις επικοινωνίες από αυτούς τους τομείς σε ελεγχόμενα περιβάλλοντα για περαιτέρω έρευνα.
Η καταγγελία περιγράφει επίσης την πρόθεση της Microsoft να ζητήσει αποζημίωση και ασφαλιστικά μέτρα για την εξάρθρωση των κατηγορουμένων. υποδομή. Λαμβάνοντας νομικά μέτρα, η εταιρεία στοχεύει να δημιουργήσει ένα προηγούμενο για την αντιμετώπιση της κακής χρήσης τεχνολογιών τεχνητής νοημοσύνης και την ανάληψη ευθύνης από κακόβουλους παράγοντες.
Επιπτώσεις για το μέλλον της ασφάλειας AI
Η υπόθεση δείχνει την αυξανόμενη πολυπλοκότητα των κυβερνοεγκληματιών που εκμεταλλεύονται συστήματα τεχνητής νοημοσύνης. Καθώς η γενετική τεχνητή νοημοσύνη ενσωματώνεται περισσότερο σε επιχειρηματικές και καταναλωτικές εφαρμογές, οι κίνδυνοι κακής χρήσης διευρύνονται. Αυτό το περιστατικό υπογραμμίζει τη σημασία της συνεχούς επένδυσης σε τεχνολογίες ασφάλειας και την ανάγκη για νομικά πλαίσια για την αντιμετώπιση των αναδυόμενων απειλών.
Με την άσκηση αυτής της αγωγής, η Microsoft όχι μόνο αντιμετωπίζει άμεσες ευπάθειες, αλλά ενισχύει επίσης τη δέσμευσή της για υπεύθυνη ανάπτυξη τεχνητής νοημοσύνης.
