微软起诉团队涉嫌滥用人工智能服务
微软已对一个涉嫌故意开发和使用旨在规避其云AI产品安全措施的工具的团队提起法律程序。此诉讼于2024年12月在美国弗吉尼亚州东区地方法院提出,指控十名未具名的被告利用被盗的客户凭证和自定义软件侵犯Azure OpenAI服务。
滥用指控
在诉状中,微软声称被告违反了计算机欺诈和滥用法案、数字千年版权法和联邦勒索法,通过非法访问和使用微软的软件和服务器。这些行为的目的,按照指控,是为了创造“冒犯性”和“有害且非法的内容。”然而,公司并未具体说明所生成的滥用内容的性质。
微软正在寻求禁令及“其他公平”救济和损害赔偿。公司在其诉状中披露,它在2024年7月发现Azure OpenAI服务的凭证,特别是API密钥——这些是用于应用程序或用户身份验证的独特字符串——被滥用以生成违反服务可接受使用政策的内容。
图像来源说明:AI生成的图像,由服务提供商Midjourney授权
系统性API密钥盗窃
诉状中指出:“被告获得所有用于实施本诉状中所述不当行为的API密钥的具体方式尚不清楚,但被告似乎从事了一种系统性的API密钥盗窃模式,使其能够从多个微软客户那里盗取微软的API密钥。”
据微软称,被告实施了一种“黑客即服务”方案,利用来自美国Azure OpenAI服务客户的被盗API密钥。诉状详细说明被告创建了一个名为de3u的客户端工具和软件,以管理并路由从de3u到微软系统的通信,以便促进这一操作。
De3u工具的特点
微软声称,de3u工具允许用户利用被盗的API密钥生成使用DALL-E的图像,DALL-E是可供Azure OpenAI服务客户使用的OpenAI模型之一,而无需任何编码知识。此外,有报道称de3u试图阻止对用于生成图像的提示进行修改,特别是在文本提示中包含可能触发微软内容过滤机制的词汇时。
在本报告发布时,包含de3u项目代码的GitHub库(微软的子公司)已无法访问。
法院行动和安全措施
在周五发布的博客文章中,微软宣布法院已授权查封一个被视为“关键”的被告操作的网站。此行动预计将允许微软收集证据,揭露被告 purportedly 如何盈利其服务,并拆除任何其他被发现的技术基础设施。
此外,微软还指出,它已“采取了对策,”尽管具体细节未披露。公司还为Azure OpenAI服务“增加了额外的安全缓解措施”,以应对其观察到的活动。
关键点
- 微软已对一个团队提起诉讼,指控其滥用Azure OpenAI服务。
- 此诉讼声称违反了多项法律,包括联邦勒索和版权法。
- 被告据称开发了工具,利用被盗的API密钥生成有害内容。
