Microsoft telah mengajukan gugatan federal terhadap sekelompok penjahat dunia maya tak dikenal yang dituduh menggunakan kunci API curian untuk melewati protokol keamanan di Layanan Azure OpenAI miliknya.
Menurut keluhan diajukan ke Pengadilan Distrik A.S. untuk Distrik Timur Virginia, kelompok yang disebut Does 1–10, diduga mengembangkan dan mendistribusikan alat untuk mengeksploitasi sistem Microsoft dan menghasilkan konten berbahaya yang melanggar kebijakannya.
Klaim hukum mencakup pelanggaran Penipuan dan Penyalahgunaan Komputer Undang-Undang (CFAA), Undang-Undang Hak Cipta Milenium Digital (DMCA), dan Undang-Undang Organisasi yang Terpengaruh dan Korup (RICO) Racketeer.
Raksasa teknologi tersebut menuduh bahwa kelompok tersebut mengoperasikan skema peretasan yang canggih, memonetisasi akses tidak sah ke Layanan Azure OpenAI dengan mendistribusikan perangkat lunak khusus, termasuk aplikasi sisi klien yang dikenal sebagai “de3u”dan sistem proksi terbalik bernama “oai proksi terbalik.”
Alat-alat ini memungkinkan pengguna mengeksploitasi kredensial yang dicuri dan menghindari langkah-langkah keamanan lanjutan Microsoft.
Terkait: Microsoft Memotong Akses Azure OpenAI untuk Pengembang Tiongkok
Investigasi Microsoft dimulai pada Juli 2024 ketika ditemukan bahwa kunci API—pengidentifikasi unik yang mengautentikasi permintaan pengguna—yang dikeluarkan untuk pelanggan sah Azure OpenAI digunakan untuk mengakses sistemnya tanpa izin.
Perusahaan menelusuri aktivitas tersebut hingga operasi terkoordinasi yang menargetkan banyak pelanggan, termasuk beberapa perusahaan yang berbasis di AS.
“Cara persisnya yang digunakan Tergugat untuk memperoleh semua Kunci API yang digunakan untuk membawa kesalahan yang dijelaskan dalam Pengaduan ini tidak diketahui,”Microsoft menyatakan dalam pengajuannya,”tetapi tampaknya Tergugat telah terlibat dalam pola pencurian Kunci API sistematis yang memungkinkan mereka mencuri Kunci API Microsoft dari beberapa pelanggan Microsoft.”
Terkait: Serangan Siber Berbasis AI Melonjak hingga Lebih dari 600 Juta Insiden Harian
Alat yang Digunakan dalam Skema ini
terdakwa diduga membuat perangkat lunak de3u untuk memfasilitasi penggunaan Layanan Azure OpenAI yang tidak sah. Alat ini menyediakan antarmuka yang ramah pengguna untuk menghasilkan gambar melalui model DALL-E OpenAI.
Ia berkomunikasi dengan sistem Azure dengan meniru permintaan API yang sah, mengeksploitasi kredensial yang dicuri untuk melewati perlindungan bawaan. Sistem proksi terbalik semakin memungkinkan penyalahgunaan ini dengan merutekan ulang lalu lintas tidak sah melalui terowongan Cloudflare, yang mengaburkan aktivitas dan membuatnya lebih sulit dideteksi.
Keluhan Microsoft menjelaskan alat tersebut secara rinci: “Aplikasi de3u milik terdakwa berkomunikasi dengan Azure komputer yang menggunakan API jaringan Microsoft yang tidak berdokumen untuk mengirim permintaan yang dirancang untuk meniru permintaan API Azure OpenAI Service yang sah. Sistem proksi terbalik oai memungkinkan pengguna merutekan komunikasi melalui terowongan Cloudflare ke sistem Azure dan menerima output yang melewati batasan keamanan.”
Alat ini juga menyertakan fitur untuk menghapus metadata dari konten yang dihasilkan AI, sehingga mencegah identifikasi asal-usulnya dan semakin memungkinkan terjadinya penyalahgunaan.
Setelah penemuan Microsoft, para terdakwa dilaporkan berusaha menghapus infrastruktur utama, termasuk halaman Rentry.org, repositori GitHub untuk de3u, dan elemen sistem proxy terbalik.
Konteks yang Lebih Luas dan Implikasinya di Seluruh Industri
Gugatan ini muncul pada saat teknologi AI generatif berada di bawah pengawasan ketat karena potensi penyalahgunaannya ChatGPT telah mengubah pembuatan konten namun juga telah dieksploitasi untuk disinformasi, pengembangan malware, dan gambar berbahaya melindungi sistem mereka.
Microsoft telah menekankan bahwa langkah-langkah keamanan yang diintegrasikan ke dalam Azure OpenAI Service sangat kuat, menggunakan model klasifikasi kelas multi-neural dan perlindungan metadata. Sistem ini dirancang untuk memblokir konten berbahaya dan melacak keluaran yang dihasilkan AI hingga ke sumbernya.
Namun, seperti yang ditunjukkan dalam kasus ini, upaya perlindungan yang paling maju sekalipun dapat dielakkan oleh pihak-pihak yang memiliki tekad kuat. “Meskipun Microsoft dan OpenAI telah melakukan berbagai mitigasi keselamatan, pelaku kejahatan yang canggih telah merancang cara untuk mendapatkan akses yang melanggar hukum ke sistem Microsoft,” catatan pengaduan tersebut.
Kelompok yang menjadi sasaran Microsoft mungkin tidak terisolasi dalam aktivitasnya. Perusahaan ini menuduh bahwa pelaku yang sama kemungkinan besar juga mengeksploitasi penyedia layanan AI lainnya, yang mencerminkan tren penyalahgunaan yang lebih luas di bidang AI. Hal ini menyoroti kerentanan sistemik dari teknologi AI generatif dan perlunya kolaborasi seluruh industri untuk mengatasi hal ini ancaman.
Tindakan Hukum dan Penanggulangan
Untuk memerangi eksploitasi, Microsoft telah membatalkan semua kredensial yang dicuri dan menerapkan langkah-langkah keamanan tambahan untuk mencegah pelanggaran serupa pada perusahaan juga memperoleh perintah pengadilan untuk menyita domain yang terkait dengan para terdakwa, termasuk “aitism.net,” yang merupakan pusat operasi mereka.
Langkah-langkah ini memungkinkan Unit Kejahatan Digital Microsoft untuk mengalihkan komunikasi dari domain ini ke lingkungan terkendali untuk penyelidikan lebih lanjut.
Keluhan tersebut juga menguraikan niat Microsoft untuk meminta ganti rugi dan ganti rugi untuk membongkar para terdakwa’infrastruktur. Dengan mengambil tindakan hukum, perusahaan ini bertujuan untuk menjadi preseden dalam mengatasi penyalahgunaan teknologi AI dan meminta pertanggungjawaban pelaku kejahatan.
Implikasi terhadap Masa Depan Keamanan AI
Kasus ini menggambarkan semakin canggihnya penjahat dunia maya yang mengeksploitasi sistem AI. Ketika AI generatif menjadi lebih terintegrasi ke dalam aplikasi bisnis dan konsumen, risiko penyalahgunaan semakin besar. Insiden ini menyoroti pentingnya investasi berkelanjutan dalam teknologi keamanan dan perlunya kerangka hukum untuk mengatasi ancaman yang muncul.
Dengan mengajukan gugatan ini, Microsoft tidak hanya mengatasi kerentanan yang ada, namun juga memperkuat komitmennya terhadap pengembangan AI yang bertanggung jawab.