Microsoft, AI Güvenlik Önlemlerini Aşan Gruplara Karşı Dava Açtı
Microsoft, bulut yapay zeka ürünlerinin güvenlik önlemlerini aşmak amacıyla araçlar geliştiren ve kullanan bir gruba karşı hukuki işlem başlattığını duyurdu.
Davanın Detayları
Şirketin Aralık 2024‘te, Virginia Doğu Bölgesi ABD District Mahkemesi’nde düzenlediği şikayette, 10 ismi belirsiz sanığın *çalıntı müşteri kimlik bilgilerini* ve özel yazılımları kullanarak Azure OpenAI Service‘e girdiğini öne sürdü. Bu, **Microsoft’un**, OpenAI teknolojileriyle desteklenen tamamen yönetilen bir hizmetidir.
İddialar ve Yasaların İhlali
Microsoft’un şikayetinde, sanıkların “Does” olarak adlandırdığı yasal bir takma adla belirtilen grubu, Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası, Sayısal Yüzyıl Telif Hakkı Yasası, ve bir federal örgütlü suç yasası kapsamında Microsoft’un yazılımlarına ve sunucularına yasadışı erişim sağlamakla suçladığı ortaya çıktı. Bu işlemlerin amacı ise yaratıcı içerikler üretmek olarak belirtildi. Microsoft, üretilen içeriklerin türü hakkında ise spesifik bilgiler sunmadı.
API Anahtarlarının Çalınması
Şirket, Temmuz 2024‘te, Azure OpenAI Service kimlik bilgilerine sahip müşterilerin API anahtarlarının, hizmetin kabul edilebilir kullanım politikasını ihlal eden içerikler oluşturmak için kullanılmakta olduğunu keşfetti. Yapılan araştırmalar sonrasında bu API anahtarlarının, ücretli müşteri hesaplarından çalındığı belirlendi.
Microsoft’un şikayetinde şu ifadelere yer verildi: “Sanıkların bu suçlamalarda belirtilen kötü niyetli faaliyetleri gerçekleştirmek için nasıl API anahtarları elde ettiği tam olarak bilinmemektedir, ancak sanıkların, birden fazla Microsoft müşterisinden Microsoft API anahtarlarını çalabilen sistematik bir API Anahtarı hırsızlığı düzeni içine girmiş oldukları görünmektedir.”
Sanal Hizmetler ve Yazılımlar
Microsoft, sanıkların çalınan Azure OpenAI Service API anahtarlarını kullanarak bir “hizmet olarak hackleme” şeması kurduğunu iddia ediyor. Şikayete göre, bu şemayı uygulamak için sanıklar, de3u adlı bir istemci tarafı aracı geliştirdiler ve de3u ile Microsoft’un sistemleri arasındaki iletişimi işlemek ve yönlendirmek için bir yazılım oluşturdu.
De3u aracı, kullanıcıların çalınan API anahtarlarını kullanarak DALL-E isimli OpenAI modelini kullanarak görüntüler oluşturmasını sağlıyordu. Microsoft, kullanıcıların kendi kodlarını yazmalarına gerek kalmadan bunu gerçekleştirmelerini sağladığını belirtiyor. Ayrıca, bu araç, Azure OpenAI Service’in görüntü oluşturan metin istemlerini revize etmesini engellemeye çalıştı.
Microsoft, de3u projesine ait kodların yer aldığı GitHub’daki bir deposunun ise daha fazla erişime kapatıldığını açıkladı.
Önlemler ve Gelecek Adımlar
Microsoft, bir blog gönderisinde, mahkemenin, sanıkların operasyonuna “önemli” olan bir web sitesine el koymasına izin verdiğini duyurdu. Bu durum, şirketin kanıt toplamasını, sanıkların hizmetlerinin nasıl gelir elde ettiğini çözümlemesini ve bulduğu ek teknik altyapıyı bozmasını sağlayacak.
Şirket ayrıca, bu tespit edilen kötüye kullanımla ilgili olarak **“karşı önlemler”** alındığını ve **“ek güvenlik önlemleri”** eklediğini belirtti. Ancak Microsoft, bu karşı önlemler hakkında ayrıntılı bilgi vermedi.