微軟對利用Azure AI的網絡罪犯採取法律行動
微軟已對十名未具名的被告提起訴訟,指控他們利用其Azure OpenAI服務。根據2024年12月在美國維吉尼亞州東區地方法院提交的訴狀,被告們據稱使用被盜的客戶憑證和自定義軟件來繞過安全措施,通過該平台生成有害內容。
這家公司的數字犯罪單位(DCU)在近二十年來一直在打擊網絡犯罪,並主導了此次調查。訴狀指出三名主要的個人,據稱他們策劃了這一計劃,並有其他人協助分發被盜憑證和提供工具,以便進行未經授權的訪問。這個團體使用了“de3u”軟件和反向代理服務來操縱微軟的生成式AI系統,包括OpenAI的DALL-E。
微軟DCU助理總法律顧問Steven Masada在公司博客中寫道:“每天都有個人利用生成式AI工具來提升他們的創意表達和生產力。不幸的是,正如我們在其他技術出現時所見,這些工具的好處吸引了那些尋求惡意利用技術和創新的壞人。微軟認識到我們在保護工具免受濫用和誤用方面所扮演的角色,因為我們和行業內其他公司正在推出新功能。”
微軟的訴狀描述了被告如何使用被盜的API密鑰來獲得對Azure OpenAI服務的未經授權訪問,繞過設計用於防止濫用的保護措施。這些密鑰通常是通過數據洩露或不當訪問獲得的,使得繞過內容安全過濾器成為可能,從而生成和分發有害材料。包括de3u在內的工具被賣給其他惡意行為者,並附有詳細的使用說明。
微軟在2024年7月檢查不規則的API使用時發現了可疑活動。調查將被盜憑證與美國的客戶相聯繫,包括賓夕法尼亞州和新澤西州的企業。被告還被指控經營一個黑客即服務平台,通過“rentry.org/de3u”和“aitism.net”等域名擴大對其工具的訪問。
據稱,被告的工具包括繞過微軟安全機制的功能,例如設計用來檢測和阻止有害提示的內容過濾系統。反向代理服務通過Cloudflare隧道路由惡意流量,進一步隱藏未經授權活動的來源。
微軟的應對和法律措施
微軟聲稱在檢測到違規行為後迅速採取行動,撤銷受損的憑證並實施額外的安全措施,以加強其系統抵禦未來事件的能力。該公司還查封了與該操作相關的域名和伺服器,以便收集證據並中斷進一步的濫用。
該訴訟指控被告違反多項法律,包括《計算機詐騙和濫用法》、《數字千年版權法》和《影響和腐敗組織法》。根據維吉尼亞州的法律,還包括對財物的侵佔和侵權干擾。微軟正尋求損害賠償和禁令救濟,以追究被告的責任並防止類似事件的發生。
Azure OpenAI服務包括內建的內容過濾和濫用檢測技術,旨在減輕與生成式AI濫用相關的風險。這些安全措施是據稱在該計劃中被繞過的措施之一,突顯了提供先進AI能力的平台面臨的持續威脅。
根據Capgemini研究所於2024年底發布的一份報告,97%的受訪機構報告在過去12個月內經歷過與生成式AI相關的至少一次安全漏洞。該研究調查了來自13個國家的1,000個機構,突顯了網絡安全漏洞的驟增。超過90%的受訪者報告在過去一年中至少經歷過一次漏洞,相較於2021年的51%有了顯著增加。近一半的受訪機構估計在過去三年中損失超過5000萬美元,這突顯了與生成式AI技術相關的風險及其被惡意行為者利用的日益增長。
對於微軟的這一法律行動,我認為這不僅是對網絡犯罪的有力回應,同時也反映出現今技術環境下的安全挑戰日益嚴峻。隨著生成式AI的普及,企業必須更加重視安全防護,並不斷更新其防範措施,以應對不斷演變的威脅。此外,這一事件也提醒其他科技公司在推廣新技術時,必須考慮到可能的濫用風險,並在設計產品時融入更多的安全考量。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
