陈焕|黑客盗用密钥搞“有害图像”-微软对利用Azure生成有害内容提起诉讼
免费
陈焕
时长/课时:9分钟/0.19课时
2天前
微软近期将一个AI犯罪团伙起诉至弗吉尼亚州联邦法院,指控该组织通过开发工具来绕开AzureOpenAI服务中的关键安全机制,违反了《计算机欺诈与滥用法》《数字千年版权法》《兰哈姆法案》等。
由于微软未能掌握被告的真实身份,10名被告都叫做JohnDoe。其中三人被指控为开发绕过AI安全护栏工具的主谋,其余七人涉嫌使用破坏工具生成有害内容。
1 这个网络犯罪团伙究竟干了些什么?
1.窃取Microsoft用户的API密钥,创建“黑客即服务”
被告从多个有权使用AzureOpenAI服务的微软用户那里窃取了MicrosoftAPI密钥。微软没有明确说明被告是如何盗用合法的用户账户,但在起诉状中表明,被告会创建工具来搜索代码存储库,以寻找API密钥。
被告利用盗取而来的API密钥创建了一个叫做“黑客即服务”的项目,该项目能够让用户通过特定网站访问AzureOpenAI服务。
被告使用定制的HTTP请求,其中包括被盗的API密钥和其他用户认证信息,以绕过微软的安全措施,并获取对AzureOpenAI服务的非法访问权限。
2.“de3u”非法软件工具
被告开发了一个名为“de3u”的客户端软件工具,该工具允许用户通过简单的用户界面使用AzureOpenAI服务生成图像。
(被告向用户提供的“de3u”软件界面)
“de3u”软件允许用户绕过AzureOpenAIServiceAPI请求参数的限制,例如更改目标端点地址等。“de3u”软件的设计让那些技术能力较差的用户也可以轻松地利用被盗的API密钥,而无需编写自己的代码。
目前已无法在GitHub上访问的“de3u”项目代码的存储库。
3.oai反向代理服务
在起诉状中,微软指出,被告开发了一个oai反向代理服务,该服务允许“de3u”用户访问AzureOpenAI服务。、
具体而言,oai反向代理服务通过Cloudflare隧道,将“de3u”用户的通信传输到AzureOpenAI服务。oai反向代理服务能够处理和修改“de3u”客户端计算机和目标AzureOpenAI服务之间的通信流量。如起诉中的图片所示:
4.生成大量有害和非法内容
被告通过前述手段,使用AzureOpenAI服务生成了大量有害图像,已经违反了相关的法律规定和微软的平台使用规则。
微软禁止使用其生成式人工智能系统创建展示或宣扬性剥削或性虐待或色情内容,或基于种族、民族、国籍、性别、性别认同、性取向、宗教、年龄、残疾状况或类似特征攻击、诋毁或排斥他人等内容。
除了明确禁止使用其平台来生成或传播相关内容,微软还通过内容过滤系统、用户滥用监测、人工审查等防护机制,来检查用户输入的提示词和输出的结果,以检查所请求的内容是否违反了微软的使用条款。
2 微软指控被告违反了哪些法律?
1.违反《计算机欺诈与滥用法》(ComputerFraudandAbuseAct,CFAA)
被告未经授权访问微软的计算机系统,违反《计算机欺诈与滥用法》。
微软在诉状中指出,被告的行为在一年内给微软造成了总计至少5000美元的损失。微软的内部人员和外部法律顾问已经花了几个月的时间调查和努力来纠正被告的行为,微软所支出的费用远远超过CFAA规定的5000美元的门槛。此外,被告通过欺诈手段从微软公司获得的服务价值也已超过5000美元。
2.违反《数字千年版权法》(DigitalMillenniumCopyrightAct,DMCA)
被告传播了主要用于规避微软技术措施的技术和服务,被告故意规避微软控制对其受版权保护作品访问的技术措施,给微软造成实际损失。
3.违反《兰哈姆法案》(《美国商标法》,LanhamAct)
被告未经授权生成了包含微软商标的图像,并可能造成公众对被告和微软之间的关联产生混淆。被告的行为损害了微软的声誉,并可能淡化微软的著名商标。
3 在中国,被告可能触犯哪些法律?
被告未经授权,窃取用户密钥,开发并对外提供可以非法访问和控制原告计算机系统的软件工具,可能触犯中国《刑法》第285条第3款,属于提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,可能构成“提供侵入、非法控制计算机信息系统程序、工具罪”。
根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第3条,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具达二十人次以上的,或违法所得五千元以上或者造成经济损失一万元以上的,则构成“情节严重”,处三年以下有期徒刑或者拘役,并处或者单处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具达一百人次以上的,或违法所得两万五千元以上或者造成经济损失五万元以上的,则构成“情节特别严重”,处三年以上七年以下有期徒刑,并处罚金。
在去年国内首例“AI外挂”犯罪案件中,被告人王某合等人通过制作出售“AI外挂”点卡密码等方式牟利,非法获利共计629万余元。经鉴定,案涉“AI外挂”中“cvc”等程序对多款游戏中游戏画面数据进行了未授权获取,对游戏中处理的鼠标数据指令进行了未授权的修改,增加了游戏中“自动瞄准”和“自动开枪”的功能,干扰了游戏的正常运行环境,属于破坏性程序。盒子程序源代码具有接收计算机USB端口传输的鼠标数据指令,并对指令进行计算解析,再将计算结果发送至计算机USB端口,从而实现控制计算机鼠标指针自动移动和点击的功能。
鹰潭市余江区人民法院对被告人王某合以提供侵入、非法控制计算机信息系统程序、工具罪判处有期徒刑三年,缓刑五年,并处罚金;已退缴的违法所得及扣押的作案工具予以没收,上缴国库;剩余未退缴的个人违法所得继续追缴。
首发:微信公众号“AI合规圈”
公司决议下次,股东是否打赏的卡死了肯德基阿里
声音
- 情感童声
- 性感男声
- 特别男声
- 普通男声
- 普通女声
语速
- 0.7X
- 1.0X
- 1.5X
- 2X
- 3X
- 4X
字号
- 特大
- 大
- 标准
- 小
作者
- 文章19
- 读者3w
- 关注5
- 点赞29
隆安湾区人工智能法律研究中心主任,隆安全国合规委副主任,国家工业信息安全发展研究中心《生成式人工智能数据应用合规指南》标准起草人,广东财经大学法学院人工智能法研究中心兼职研究员,广州市涉外律师领军人才,南沙区政府全球数源中心数据合规项目组副组长,某市市场监督管理局(知识产权局)知识产权专家库专家 业务领域:人工智能专项合规、数据合规、数据资产入表、计算机网络案件、企业与私人法律顾问、民商事诉讼代理。致力于为人工智能项目提供法律安全感,为数字经济发展保驾护航。 著作成果:《法律人ChatGPT应用指南》
思想共享 知识变现
猜你喜欢
换一换作者推荐
换一换
常见问题
-
1、“点读”是什么?
点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。
-
2、“点读”的作者?
在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。
-
3、“点读”的文章?
作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。
-
4、“点读”的审核?
作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。