Microsoft cáo buộc một nhóm phát triển công cụ lạm dụng dịch vụ AI của họ trong vụ kiện mới

Microsoft đã đệ đơn kiện một nhóm mà công ty cáo buộc đã cố tình phát triển và sử dụng các công cụ để vượt qua các cơ chế an toàn của sản phẩm AI trên nền tảng đám mây của mình.

Theo đơn kiện được nộp vào tháng 12 tại Tòa án Quận phía Đông Virginia, nhóm gồm 10 bị cáo giấu tên – được gọi là “Does” (bút danh pháp lý) – đã sử dụng thông tin đăng nhập khách hàng bị đánh cắp và phần mềm tùy chỉnh để xâm nhập vào Azure OpenAI Service, dịch vụ quản lý toàn diện của Microsoft dựa trên công nghệ từ OpenAI, nhà phát triển ChatGPT.

Trong đơn, Microsoft cáo buộc nhóm này vi phạm Đạo luật Lạm dụng và Gian lận Máy tính (Computer Fraud and Abuse Act), Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số (Digital Millennium Copyright Act), và luật liên bang về tội phạm có tổ chức bằng cách truy cập và sử dụng trái phép phần mềm và máy chủ của Microsoft để tạo ra nội dung “xúc phạm,” “gây hại” và “phi pháp.” Tuy nhiên, Microsoft không cung cấp chi tiết cụ thể về nội dung bị lạm dụng.

Công ty đang tìm kiếm các biện pháp cấm và khắc phục công bằng khác, cùng với yêu cầu bồi thường thiệt hại.

Microsoft phát hiện vào tháng 7 năm 2024 rằng thông tin đăng nhập của khách hàng sử dụng Azure OpenAI Service – đặc biệt là các khóa API (chuỗi ký tự duy nhất dùng để xác thực ứng dụng hoặc người dùng) – đã bị sử dụng để tạo ra nội dung vi phạm chính sách sử dụng dịch vụ. Qua điều tra, Microsoft phát hiện rằng các khóa API này đã bị đánh cắp từ khách hàng trả phí.

“Cách chính xác mà các bị cáo có được tất cả các khóa API để thực hiện các hành vi sai trái như đã nêu trong đơn kiện vẫn chưa được xác định,” nội dung đơn kiện của Microsoft nêu rõ. “Tuy nhiên, có vẻ như các bị cáo đã tham gia vào một mô hình trộm cắp khóa API có hệ thống, cho phép họ lấy trộm khóa API của nhiều khách hàng Microsoft.”

Microsoft cũng cáo buộc nhóm này đã sử dụng các khóa API bị đánh cắp của khách hàng tại Mỹ để tạo ra một dịch vụ “hack thuê.” Theo đơn kiện, nhóm này đã phát triển một công cụ phía người dùng tên là de3u cùng với phần mềm xử lý và định tuyến giao tiếp từ de3u đến hệ thống của Microsoft.

De3u cho phép người dùng sử dụng các khóa API bị đánh cắp để tạo hình ảnh bằng DALL-E, một trong những mô hình của OpenAI có sẵn trên Azure OpenAI Service, mà không cần viết mã riêng. Microsoft còn cáo buộc de3u cố gắng ngăn chặn dịch vụ Azure OpenAI Service sửa đổi các lệnh yêu cầu (prompts) dùng để tạo hình ảnh – điều có thể xảy ra khi các lệnh chứa các từ kích hoạt bộ lọc nội dung của Microsoft.

Mã nguồn dự án de3u, được lưu trữ trên GitHub – một công ty thuộc sở hữu của Microsoft – hiện không còn khả dụng tại thời điểm báo chí tiếp cận.

“Những tính năng này, kết hợp với việc các bị cáo truy cập trái phép API của Azure OpenAI Service một cách có hệ thống, đã cho phép họ tái cấu trúc ngược để vượt qua các biện pháp bảo vệ nội dung và chống lạm dụng của Microsoft,” nội dung trong đơn kiện nêu rõ. “Các bị cáo đã cố ý và có nhận thức truy cập trái phép vào các máy tính được bảo vệ bởi Azure OpenAI Service, gây ra thiệt hại và tổn thất.”

Trong một bài đăng blog hôm thứ Sáu, Microsoft cho biết tòa án đã cho phép công ty thu giữ một trang web được cho là “công cụ quan trọng” trong hoạt động của nhóm bị cáo. Động thái này sẽ giúp Microsoft thu thập bằng chứng, làm rõ cách nhóm này kiếm lợi từ các dịch vụ bị cáo buộc và phá vỡ các cơ sở hạ tầng kỹ thuật liên quan.

Microsoft cũng tuyên bố rằng họ đã “áp dụng các biện pháp đối phó” – tuy không nêu cụ thể – và “bổ sung các biện pháp giảm thiểu an toàn bổ sung” cho Azure OpenAI Service để đối phó với các hoạt động mà công ty phát hiện.