Microsoft telah mengambil tindakan hukum terhadap sebuah kelompok yang diduga sengaja mengembangkan dan menggunakan alat untuk melewati penghalang keamanan dari produk cloud AI-nya.
Menurut keluhan yang diajukan oleh perusahaan pada bulan Desember di Pengadilan Distrik AS untuk Distrik Timur Virginia, sebuah kelompok 10 terdakwa yang tidak disebutkan namanya diduga menggunakan kredensial pelanggan yang dicuri dan perangkat lunak khusus yang dirancang untuk meretas Azure OpenAI Service, layanan yang dikelola sepenuhnya oleh Microsoft dan didukung oleh teknologi OpenAI, pembuat ChatGPT.
Dalam keluhan itu, Microsoft menuduh para terdakwa - yang hanya disebut sebagai "Does," sebutan hukum - melanggar Undang-Undang Pencurian dan Penyalahgunaan Komputer, Undang-Undang Hak Cipta Milenium Digital, dan undang-undang federal tentang tindak pidana dengan mengakses dan menggunakan secara melanggar perangkat lunak dan server Microsoft untuk "menciptakan konten ofensif" dan "merugikan serta konten ilegal." Microsoft tidak memberikan detail spesifik tentang konten yang merugikan yang dihasilkan.
Perusahaan ini mencari perintah penghentian sementara dan "tindakan lain yang sesuai" serta ganti rugi.
Dalam keluhan itu, Microsoft mengungkapkan bahwa pada bulan Juli 2024, pelanggan dengan kredensial Azure OpenAI Service - khususnya kunci API, urutan karakter unik yang digunakan untuk mengautentikasi aplikasi atau pengguna - digunakan untuk menghasilkan konten yang melanggar kebijakan penggunaan yang diterima oleh layanan tersebut. Selanjutnya, melalui investigasi, Microsoft menemukan bahwa kunci API telah dicuri dari pelanggan yang membayar, menurut keluhan tersebut.
"Cara persis yang Diterdakwa peroleh semua Kunci API yang digunakan untuk melakukan tindakan melanggar hukum yang dijelaskan dalam Keluhan ini tidak diketahui," tulisan keluhan Microsoft, "tapi tampaknya Para Terdakwa telah terlibat dalam pola pencurian Kunci API yang sistematis yang memungkinkan mereka mencuri Kunci API Microsoft dari berbagai pelanggan Microsoft."
Microsoft menuduh para terdakwa menggunakan kunci API Azure OpenAI Service yang dicuri milik pelanggan di AS untuk menciptakan skema "pembobolan sebagai layanan." Menurut keluhan, untuk melancarkan skema ini, para terdakwa membuat alat sisi klien yang disebut de3u, serta perangkat lunak untuk memroses dan mengarahkan komunikasi dari de3u ke sistem Microsoft.
Repo yang berisi kode proyek de3u, yang dihosting di GitHub - perusahaan yang dimiliki Microsoft - tidak lagi dapat diakses saat ini.
“Fitur-fitur ini, yang digabungkan dengan akses API programatik yang melanggar hukum oleh De3u pada layanan Azure OpenAI, memungkinkan Para Terdakwa untuk mengembangkan cara-cara untuk melewati langkah-langkah kontrol konten dan penyalahgunaan Microsoft,” demikian keluhan tersebut. “Para Terdakwa dengan sengaja dan dengan sengaja mengakses komputer-komputer yang dilindungi Azure OpenAI Service tanpa izin, dan sebagai hasil dari perilaku tersebut menyebabkan kerusakan dan kerugian.”
Dalam sebuah pos blog yang dipublikasikan Jumat, Microsoft mengatakan bahwa pengadilan telah memberikan izin kepada mereka untuk menyita situs web yang “penting” untuk operasi terdakwa yang akan memungkinkan perusahaan untuk mengumpulkan bukti, menganalisis bagaimana layanan yang diduga milik terdakwa tersebut dimonetisasi, dan mengganggu infrastruktur teknis tambahan yang ditemukan.
Microsoft juga mengatakan bahwa mereka telah “menerapkan tindakan pencegahan,” yang tidak mereka spesifikasikan, dan “menambahkan mitigasi keamanan tambahan” ke layanan Azure OpenAI yang menargetkan aktivitas yang mereka amati.
