Microsoft Gugat Kelompok yang Kembangkan Alat untuk Penyalahgunaan Layanan AI-nya
Microsoft accuses group of developing tool to abuse its AI service in new lawsuit https://techcrunch.com/2025/01/10/microsoft-accuses-group-of-developing-tool-to-abuse-its-ai-service-in-new-lawsuit/

Microsoft Melawan Kelompok yang Menggunakan Alat untuk Melanggar Keamanan Cloud AI

Microsoft telah mengambil tindakan hukum melawan kelompok yang perusahaan ini klaim telah secara sengaja mengembangkan dan menggunakan alat untuk melanggar aturan keamanan cloud AI-nya.

Menurut laporan yang diterbitkan pada Desember di Pengadilan Distrik U.S. Virginia, kelompok 10 orang yang tidak diketahui (disebut "Does" sebagai pseudonim hukum) dugaan menggunakan kreditan pengguna pelanggan dan perangkat lunak yang dirancang khusus untuk melanggar aturan keamanan Azure OpenAI Service, layanan cloud AI yang dipenuhi oleh Microsoft.

Dalam laporan, Microsoft mengakusasi para pelaku - yang hanya disebut sebagai "Does" - atas pelanggaran Undang-Undang Kejahatan Komputer, Undang-Undang Milenium Digital, dan undang-undang kejahatan serikat federal dengan melanggar aturan keamanan software dan server Microsoft untuk tujuan "membuat konten yang tidak menyenangkan" dan "konten yang berbahaya dan ilegal". Microsoft tidak menyediakan detail spesifik tentang konten yang dihasilkan.

Perusahaan ini meminta penghentian dan "penyelesaian lainnya" serta ganti rugi.

Dalam laporan, Microsoft mengatakan bahwa perusahaan menemukan pada bulan Juli 2024 bahwa pengguna Azure OpenAI Service dengan kreditan pengguna - khususnya API keys unik yang digunakan untuk memverifikasi aplikasi atau pengguna - digunakan untuk menghasilkan konten yang melanggar kebijakan penggunaan layanan. Subsequentnya, melalui penyelidikan, Microsoft menemukan bahwa API keys tersebut telah dicuri dari pelanggan yang membayar.

"Jenis yang presisi bagaimana pelaku-pelaku mendapatkan semua API Keys yang digunakan untuk melaksanakan kejahatan yang dijelaskan dalam laporan ini tidak diketahui," tulis laporan Microsoft. "Tapi tampaknya bahwa pelaku-pelaku telah melakukan pola sistematis API Key pencurian yang memungkinkan mereka untuk mencuri API Keys dari pelanggan Microsoft sebanyak-banyaknya."

Microsoft mengklaim bahwa para pelaku menggunakan API keys pelanggan yang dicuri dari pelanggan AS untuk menciptakan "sistem hacking-as-a-service". Menurut laporan, untuk melaksanakan ini, para pelaku menciptakan perangkat lunak sampingan bernama de3u, serta perangkat lunak untuk mengolah dan mengarahkan komunikasi dari de3u ke sistem Microsoft.

De3u memungkinkan pengguna untuk menggunakan API keys yang dicuri untuk menghasilkan gambar menggunakan DALL-E, salah satu model OpenAI yang tersedia untuk pelanggan Azure OpenAI Service tanpa harus menulis kode sendiri, menurut laporan. De3u juga berusaha untuk mencegah Azure OpenAI Service mengubah prompt yang digunakan untuk menghasilkan gambar, menurut laporan, yang dapat terjadi jika prompt teks mengandung kata-kata yang menyerang keamanan Microsoft.

Skenario De3u dari laporan Microsoft. Kredit: Microsoft

Repositori kode proyek de3u yang dihosting di GitHub - perusahaan yang dimiliki oleh Microsoft - tidak dapat diakses pada waktu ini.

"Fitur-fitur ini, bersama dengan akses programatik API ke layanan Azure OpenAI Service yang tidak sah, memungkinkan pelaku untuk mereka-mereka sendiri untuk mereka-mereka sendiri untuk mengubah Microsoft's content dan keamanan pencegahan," tulis laporan. "Pelaku-pelaku mengetahui dan secara sengaja mengakses komputer Azure OpenAI Service yang dilindungi tanpa izin, dan sebagai hasil dari conduct tersebut menyebabkan kerugian dan kehilangan."

Dalam blog pos yang diterbitkan pada hari Jumat, Microsoft mengatakan bahwa pengadilan telah memberikan izin kepada perusahaan untuk menyita situs web yang "instrumental" untuk operasi para pelaku yang akan memungkinkan perusahaan untuk mengumpulkan bukti, menebak bagaimana para pelaku layanan mereka dihasilkan, dan mengganggu infrastruktur teknis tambahan yang ditemukan.

Microsoft juga mengatakan bahwa perusahaan telah "mengambil langkah-langkah penanggulangan" dan "menambahkan mitigasi keamanan tambahan" pada Azure OpenAI Service yang dirasakan oleh aktivitas yang diawasi.