Microsoft, geçen ay ABD Virginia Doğu Bölgesi Bölge Mahkemesi'ne yaptığı bir şikayet ile kimliği açıklanmayan 10 kişilik bir grubun, bulut yapay zeka ürünlerinin güvenlik korkuluklarını atlamak için kasıtlı olarak araçlar geliştirdiğini ve kullandığını iddia etti.
İddialara göre grup; Microsoft'un Azure OpenAI hizmetine girmek için çalıntı müşteri kimlik bilgilerini ve özel tasarlanmış yazılımı kullandı. Şikayette yer alan bilgilere göre zanlılar, saldırgan, zararlı ve yasadışı içerik oluşturmak amacıyla Microsoft'un yazılım ve sunucularına yasa dışı bir şekilde erişti. Bu kapsamda zanlılar, Bilgisayar Sahtekarlığı ve Suistimal Yasası, Dijital Binyıl Telif Hakkı Yasası ve federal bir haraç yasasını ihlal etmekle suçlanıyor.
Microsoft'un şikayet dosyasında belirttiğine göre; Temmuz 2024'te Azure OpenAI hizmeti kimlik bilgilerine sahip müşterilerin API anahtarları kullanıldı. Microsoft, API anahtarlarının ödeme yapan müşterilerden çalındığını keşfetti. Ancak API anahtarlarının nasıl çalındığı tam olarak bilinmiyor.
Microsoft'un iddiasına göre; davalılar, ABD merkezli müşterilere ait çalıntı Azure OpenAI hizmeti API anahtarlarını kullanarak bir hizmet olarak hackleme planı oluşturdu. Zanlılar, bu planı gerçekleştirmek için de3u adlı bir istemci tarafı aracı oluşturdu. Böylece de3u'dan Microsoft'un sistemlerine iletişimleri işleme ve yönlendirme işlemleri gerçekleştirilebildi.
De3u, kullanıcıların Azure OpenAI hizmeti müşterilerine sunulan OpenAI modellerinden biri olan DALL-E'yi kullanarak görüntüler oluşturmak için çalınan API anahtarlarından yararlanmasına imkan tanıdı. De3u ayrıca Azure OpenAI hizmetinin görüntü oluşturmak için kullanılan istemleri revize etmesini de engellemeye çalıştı.
Yaşanan bu olayın akabinde Microsoft, karşı önlemleri uygulamaya koyduğunu açıkladı. Şirket, Azure OpenAI hizmetine ek güvenlik önlemleri ilave ettiğini de duyurdu.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap