Microsoft wehrt sich gegen mutmaßlichen Missbrauch von KI-Diensten
Der Technologieriese Microsoft hat rechtliche Schritte unternommen, um gegen eine Gruppe vorzugehen, die nach Angaben des Unternehmens absichtlich Instrumente entwickelt und genutzt hat, um die Sicherheitsvorkehrungen seiner Cloud-KI-Produkte zu umgehen. In einer im Dezember im US-Bezirksgericht für den östlichen Bezirk von Virginia eingereichten Beschwerde erhebt Microsoft den Vorwurf, dass eine Gruppe von zehn namentlich nicht genannten Angeklagten, die lediglich als "Does" bezeichnet werden, gestohlene Kundendaten und eigens entwickelte Software verwendet hat, um in den Azure OpenAI Service einzudringen.
Die Beschwerde weist darauf hin, dass die Angeklagten gegen mehrere US-Gesetze verstoßen haben sollen, darunter den Computer Fraud and Abuse Act und das Digital Millennium Copyright Act. Die Programme und Server von Microsoft seien demnach genutzt worden, um "anstößige" sowie "schädliche und unerlaubte Inhalte" zu generieren. Konkrete Details zu den Inhalten wurden jedoch nicht veröffentlicht.
Microsoft fordert von den Gerichten eine einstweilige Verfügung sowie andere gerechte und schadensersatzrechtliche Maßnahmen. Das Unternehmen entdeckte im Juli 2024, dass Kunden-API-Schlüssel der Azure OpenAI Services, insbesondere jene zur Authentifizierung von Anwendungen verwendeten, zur Erzeugung von Inhalten missbraucht wurden, welche die Nutzungsrichtlinien des Dienstes verletzten.
Ermittlungen ergaben, dass die API-Schlüssel von zahlenden Kunden gestohlen wurden. Die mutmaßlichen Täter sollen laut Microsoft ein "Hacking-as-a-Service"-Verfahren ins Leben gerufen haben. Eine von ihnen entwickelte Client-Software namens de3u soll es ermöglicht haben, gestohlene API-Schlüssel zu nutzen, um mit DALL-E, einem Modell von OpenAI, Bilder zu generieren.
Ein GitHub-Repository, das den Quellcode des de3u-Projekts enthält – wobei GitHub Teil von Microsoft ist – ist derzeit nicht mehr zugänglich. In einem kürzlich veröffentlichten Blog-Beitrag erklärt Microsoft, dass das Gericht das Unternehmen ermächtigt habe, eine Website zu beschlagnahmen, die entscheidend für den Betrieb der Angeklagten sei.
Microsoft plant, Beweise zu sammeln, den angeblichen Service besser zu verstehen und weitere technische Infrastrukturen zu unterbrechen. Weiterhin seien nicht näher spezifizierte Gegenmaßnahmen und zusätzliche Sicherheitsvorkehrungen im Azure OpenAI Service eingeführt worden.