Microsoft y su lucha contra el fraude en la IA
Microsoft ha tomado medidas legales contra un grupo no identificado que, según la compañía, desarrolló herramientas para eludir las medidas de seguridad de sus productos de inteligencia artificial en la nube. La demanda fue presentada en diciembre en el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia, donde se alega que los demandados utilizaron credenciales robadas de clientes y software diseñado a medida para acceder ilegalmente al Azure OpenAI Service, un servicio gestionado por Microsoft que utiliza tecnologías de OpenAI, creador de ChatGPT.
Las acusaciones de Microsoft
En la demanda, Microsoft acusa a los demandados, a quienes se refiere como “Does”, de violar la Ley de Fraude y Abuso Informático, la Ley de Derechos de Autor del Milenio Digital y una ley federal de crimen organizado. Se alega que accedieron y utilizaron el software y los servidores de Microsoft para crear contenido “ofensivo” y “dañino e ilícito”. Aunque la compañía no proporcionó detalles específicos sobre el contenido abusivo generado, busca medidas cautelares y compensación por daños.
Robo de credenciales y su impacto
Microsoft descubrió en julio de 2024 que las credenciales del Azure OpenAI Service, específicamente las claves API, estaban siendo utilizadas para generar contenido que violaba la política de uso aceptable del servicio. A través de una investigación, la compañía determinó que estas claves habían sido robadas de clientes que pagaban por el servicio. La demanda indica que los demandados habían participado en un patrón sistemático de robo de claves API, lo que les permitió acceder a las claves de múltiples clientes de Microsoft.
El esquema de hacking como servicio
Según la demanda, los demandados crearon una herramienta del lado del cliente llamada de3u, así como software para procesar y dirigir las comunicaciones desde de3u hacia los sistemas de Microsoft. Esta herramienta permitía a los usuarios aprovechar las claves API robadas para generar imágenes utilizando DALL-E, uno de los modelos de OpenAI, sin necesidad de escribir su propio código. Además, de3u intentaba evitar que el Azure OpenAI Service revisara los comandos utilizados para generar imágenes, lo que podría ocurrir si un texto contenía palabras que activaran los filtros de contenido de Microsoft.
Medidas de Microsoft y el futuro del caso
Microsoft ha informado que el tribunal le ha autorizado a incautar un sitio web que es “instrumental” para la operación de los demandados, lo que le permitirá recopilar evidencia y descifrar cómo se monetizan los servicios presuntamente ilegales. La compañía también ha implementado “contramedidas” y ha añadido “mitigaciones de seguridad adicionales” al Azure OpenAI Service para abordar la actividad observada. Este caso resalta la creciente preocupación por la seguridad en el uso de tecnologías de inteligencia artificial y la necesidad de proteger los derechos de propiedad intelectual en el entorno digital.
