Microsoft, şirketin bulut yapay zeka ürünlerinin güvenlik korkuluklarını aşmak için kasıtlı olarak araçlar geliştirdiğini ve kullandığını iddia ettiği bir gruba karşı yasal işlem başlattı.
Buna göre şirket tarafından yapılan şikayet Aralık ayında ABD’nin Virginia Doğu Bölgesi Bölge Mahkemesinde, adı açıklanmayan 10 sanıktan oluşan bir grubun, çalıntı müşteri kimlik bilgilerini ve özel tasarlanmış yazılımları kullanarak Microsoft’un ChatGPT yapımcısı OpenAI teknolojileri tarafından desteklenen, tamamen yönetilen hizmeti Azure OpenAI Hizmetine girdiği iddia edildi.
Şikayette Microsoft, yasal bir takma ad olan “Yapıyor” olarak anılan sanıkları, Microsoft’un yazılımlarına yasa dışı erişim sağlayarak ve bunları kullanarak Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasasını, Dijital Binyıl Telif Hakkı Yasasını ve federal şantaj yasasını ihlal etmekle suçluyor. ve sunucular için “saldırgan” ve “zararlı ve yasa dışı içerik oluşturmak” amacıyla. Microsoft, oluşturulan kötü amaçlı içerik hakkında belirli ayrıntılar sağlamadı.
Şirket, ihtiyati tedbir ve “diğer adil” tedbir ve tazminatlar talep ediyor.
Şikayette Microsoft, Temmuz 2024’te Azure OpenAI Hizmeti kimlik bilgilerine (özellikle API anahtarlarına, bir uygulamanın veya kullanıcının kimliğini doğrulamak için kullanılan benzersiz karakter dizilerine) sahip müşterilerin, hizmetin kabul edilebilir kullanım politikasını ihlal eden içerik oluşturmak için kullanıldığını keşfettiğini söylüyor. Şikayete göre Microsoft, daha sonra yaptığı bir araştırma sonucunda API anahtarlarının ödeme yapan müşterilerden çalındığını keşfetti.
Microsoft’un şikayetinde şu ifadeler yer alıyor: “Davalıların bu Şikayette açıklanan suiistimali gerçekleştirmek için kullanılan tüm API Anahtarlarını tam olarak nasıl elde ettikleri bilinmiyor, ancak görünen o ki Davalılar, kendilerine olanak sağlayan sistematik bir API Anahtarı hırsızlığı modeline girişmişler.” birden fazla Microsoft müşterisinden Microsoft API Anahtarlarını çalmak için.”
Microsoft, sanıkların ABD merkezli müşterilere ait çalıntı Azure OpenAI Hizmeti API anahtarlarını bir “hizmet olarak hackleme” planı oluşturmak için kullandıklarını iddia ediyor. Şikayete göre, bu planı gerçekleştirmek için sanıklar, de3u adında bir müşteri tarafı aracının yanı sıra de3u’dan Microsoft’un sistemlerine iletişimleri işlemek ve yönlendirmek için bir yazılım oluşturdular.
Microsoft, De3u’nun, Azure OpenAI Hizmeti müşterilerine sunulan OpenAI modellerinden biri olan DALL-E’yi kullanarak kendi kodlarını yazmaya gerek kalmadan görüntüler oluşturmak için kullanıcıların çalıntı API anahtarlarından yararlanmasına olanak tanıdığını iddia ediyor. De3u ayrıca, şikayete göre Azure OpenAI Hizmetinin görüntü oluşturmak için kullanılan istemleri revize etmesini de engellemeye çalıştı; bu durum, örneğin bir metin isteminin Microsoft’un içerik filtrelemesini tetikleyen sözcükler içermesi durumunda meydana gelebilir.
Microsoft’un sahibi olduğu bir şirket olan GitHub’da barındırılan de3u proje kodunu içeren bir repo, bu yazının yazıldığı sırada artık erişilemez durumda.
Şikayette, “Bu özellikler, Davalıların Azure OpenAI hizmetine yasa dışı programatik API erişimiyle birleştiğinde, Davalıların Microsoft’un içeriğini ve kötüye kullanım önlemlerini atlatmak için tersine mühendislik yapmalarına olanak tanıdı” deniyor. “Sanıklar bilerek ve kasıtlı olarak Azure OpenAl Hizmeti ile korunan bilgisayarlara izinsiz olarak eriştiler ve bu tür davranışların sonucunda hasara ve kayba neden oldular.”
bir blog yazısı Cuma günü yayınlanan raporda Microsoft, mahkemenin kendisine, şirketin kanıt toplamasına, sanıkların iddia edilen hizmetlerinden nasıl para kazanıldığının şifresini çözmesine ve bulduğu her türlü ek teknik altyapıyı bozmasına olanak tanıyacak, sanıkların faaliyetleri için “araçsal” bir web sitesine el koyma yetkisi verdiğini söylüyor. .
Microsoft ayrıca, şirketin belirtmediği “karşı önlemleri aldığını” ve gözlemlediği etkinliği hedefleyen Azure OpenAI Hizmetine “ek güvenlik azaltımları eklediğini” söylüyor.
