A gigante da tecnologia Microsoft decidiu tomar uma atitude contundente contra um grupo que, segundo a empresa, desenvolveu intencionalmente ferramentas para contornar as salvaguardas de segurança de seus produtos de inteligência artificial na nuvem. Este caso ressalta preocupações críticas sobre a segurança digital e a integridade das plataformas de tecnologia, em um momento em que a inteligência artificial está se tornando cada vez mais prevalente e frequentemente discutida em vários segmentos da sociedade.
A ação legal foi protocolada em dezembro no Tribunal Distrital dos EUA para o Distrito Leste da Virgínia, onde Microsoft acusa dez réus não identificados de utilizarem credenciais de clientes roubadas junto com um software projetado sob medida para invadir o Azure OpenAI Service. Este serviço totalmente gerenciado, que é alimentado pelas tecnologias da OpenAI, criadora do ChatGPT, representa um dos pilares da infraestrutura de inteligência artificial da Microsoft.
Na queixa registrada, a Microsoft argumenta que os réus, referidos como “Does”, um pseudônimo legal, violaram a Lei de Fraude e Abuso de Computador, a Lei dos Direitos Autorais do Milênio Digital e uma lei federal de extorsão ao acessar e utilizar ilicitamente o software e servidores da Microsoft para criar conteúdo que a empresa classifica como “ofensivo”, “prejudicial” e “ilícito”. No entanto, a Microsoft não fornece detalhes específicos sobre o tipo de conteúdo abusivo que foi gerado a partir de suas ferramentas.
A empresa está buscando medidas cautelares e “outras medidas equitativas” além de danos monetários. No processo, Microsoft relata que, em julho de 2024, identificou que clientes com credenciais do Azure OpenAI Service estavam gerando conteúdo que violava a política de uso aceitável da plataforma, após uma investigação que revelou o roubo de chaves de API de clientes pagantes. As chaves de API são sequências únicas de caracteres usadas para autenticar um aplicativo ou usuário e, neste caso, foram utilizadas de maneira fraudulenta.
“A maneira precisa pela qual os réus obtiveram todas as chaves de API utilizadas para cometer a má conduta descrita nesta queixa é desconhecida”, diz o documento, que prossegue alegando que os réus engajaram-se em um padrão sistemático de roubo de chaves que lhes permitiu acessar as chaves de API da Microsoft de múltiplos clientes.
A acusação vai além e alega que os réus utilizaram as chaves de API roubadas que pertencem a clientes baseados nos Estados Unidos para criar um esquema de “hacking-as-a-service”. De acordo com a reclamação, para concretizar esse esquema, os réus desenvolveram uma ferramenta de cliente chamada de3u, além de um software para processar e redirecionar comunicações entre de3u e os sistemas da Microsoft.
Microsoft alega que a ferramenta de3u permitiu que usuários aproveitassem chaves de API roubadas para gerar imagens utilizando DALL-E, um dos modelos da OpenAI disponíveis aos clientes do Azure OpenAI Service, tudo isso sem necessidade de codificação própria. A ferramenta de3u também tentava impedir que o Azure OpenAI Service revisasse as solicitações utilizadas para gerar imagens, o que poderia ocorrer, por exemplo, se um texto contivesse palavras que acionassem o filtro de conteúdo da Microsoft.
Vale ressaltar que um repositório contendo o código do projeto de3u, hospedado no GitHub — uma empresa que pertence à Microsoft — não está mais acessível no momento em que esta reportagem foi redigida. A Microsoft observa que “essas características, combinadas com o acesso programático ilegal à API do Azure OpenAI Service pelos réus, permitiram que eles engenharia reversa dos meios de contornar as medidas de conteúdo e abuso da Microsoft.”
Além disso, o documento enfatiza que os réus “propositadamente e intencionalmente acessaram os computadores protegidos do Azure OpenAI Service sem autorização, e como resultado dessa conduta causaram danos e perdas”.
Recentemente, a Microsoft publicou um post em seu blog afirmando que o tribunal autorizou a empresa a apreender um site “instrumental” para as operações dos réus, o que permitirá coletar evidências, decifrar como os supostos serviços dos réus são monetizados e interromper qualquer infraestrutura técnica adicional que encontrar. A empresa também afirmou que “implementou contramedidas”, embora não tenha especificado quais, e “adicionou mitigação de segurança adicional” ao Azure OpenAI Service, visando a atividade que observou.
Esse caso levanta questões cruciais sobre a segurança e as práticas éticas no campo em constante evolução da inteligência artificial e dos serviços em nuvem. À medida que essas tecnologias avançam, a proteção contra o uso indevido e o abuso dos recursos tecnológicos é mais importante do que nunca. Serão necessárias não apenas medidas legais, mas também inovações contínuas para garantir que o progresso não se torne um campo fértil para práticas maliciosas. Assim, o desfecho desta ação judicial poderá servir de precedência e, quem sabe, de alerta para outros envolvidos no desenvolvimento e na utilização de tecnologias emergentes.
Links externos relevantes:
