- A reclamação da Microsoft de dezembro de 2024 refere-se a 10 réus anônimos
- “Operação de hacking como serviço” roubou chaves de API de usuários legítimos e contornou proteções de conteúdo
- A reclamação do distrito da Virgínia levou à retirada de um repositório e site do Github
A Microsoft acusou um coletivo não identificado de desenvolver ferramentas para contornar intencionalmente a programação de segurança em seu serviço Azure OpenAI que alimenta a ferramenta de IA ChatGPT.
Em dezembro de 2024, a gigante da tecnologia apresentou uma queixa no Tribunal Distrital dos EUA para o Distrito Leste da Virgínia contra 10 réus anônimos, que acusa de violar a Lei de Fraude e Abuso de Computadores, a Lei de Direitos Autorais do Milênio Digital, além da lei federal de extorsão.
A Microsoft afirma que seus servidores foram acessados para auxiliar na criação de “conteúdo ofensivo”, “prejudicial e ilícito”. Embora não fornecesse mais detalhes sobre a natureza desse conteúdo, era claramente suficiente para uma ação rápida; ele tinha um repositório Github offline e alegou em uma postagem no blog que o tribunal permitiu que eles apreendessem um site relacionado à operação.
Chaves de API ChatGPT
Na reclamação, a Microsoft afirmou que descobriu pela primeira vez usuários abusando das chaves de API do serviço Azure OpenAI usadas para autenticá-los a fim de produzir conteúdo ilícito em julho de 2024. Ela passou a discutir uma investigação interna que descobriu que as chaves de API em questão tinham foram roubados de clientes legítimos.
“A maneira precisa pela qual os Réus obtiveram todas as Chaves de API usadas para executar a má conduta descrita nesta Reclamação é desconhecida, mas parece que os Réus se envolveram em um padrão de roubo sistemático de Chaves de API que lhes permitiu roubar Chaves de API da Microsoft de vários clientes da Microsoft”, diz a reclamação.
A Microsoft afirma que, com o objetivo final de lançar um produto de hacking como serviço, os réus criaram o de3u, uma ferramenta do lado do cliente, para roubar essas chaves de API, além de software adicional para permitir que o de3u se comunicasse com os servidores da Microsoft.
A De3u também trabalhou para contornar os filtros de conteúdo integrados dos Serviços OpenAI do Azure e a posterior revisão dos prompts do usuário, permitindo que o DALL-E, por exemplo, gerasse imagens que o OpenAI normalmente não permitiria.
“Esses recursos, combinados com o acesso programático ilegal da API dos Réus ao serviço Azure OpenAI, permitiram que os Réus fizessem engenharia reversa de meios para contornar o conteúdo e as medidas de abuso da Microsoft”, escreveu na denúncia.
Através do TechCrunch
