利用 API 服务进行滥用以及盗用其他付费客户的 API 是真的犯罪行为:微软日前在美国弗吉尼亚州东区地方法院提起诉讼,指控 10 名未透露姓名的被告涉嫌使用盗窃的客户凭证和定制软件攻击 Azure OpenAI 服务。
在起诉书中微软透露在 2024 年 7 月该公司发现部分拥有 Azure OpenAI 凭证的客户使用该服务生成违反服务条款的内容,随后微软进一步调查还发现这些 API 密钥是窃取的。
为了实施滥用计划被告还开发名为 De3u 的客户端工具,该工具可以处理和路由从 De3u 到微软系统的流量,简单来说提供类似反向代理的服务。
而该客户端工具允许用户利用被盗的 API 密钥使用 DALL-E 系列模型生成图像而无需自己编写任何代码,De3u 还试图阻止 Azure OpenAI 安全边界用来生成违规的图片等。
值得注意的是 De3u 是 GitHub 上名为 @Notfiz 的开发者创建,该工具通过开源协议免费提供,但目前我们并不清楚 @Notfiz 和盗窃 API 密钥的被告是否存在关联。
截止至本文发布时微软已经通过法律手段删除 De3u 项目,微软还透露法院已经授权查封针对被告至关重要的网站,该网站可以让微软收集证据、破译被告所谓的货币化服务并破坏被告的其他基础设施。
从微软的描述来看有可能这些被告经营着付费的 Azure OpenAI 服务租用,用户通过付费获得使用权,被告则是在背后使用盗窃来的 API 进行无本买卖。
至于这个网站域名、具体的被告细节、关于 De3u 的更多内容微软暂时都未透露,但既然已经走到起诉这一步,这些被告可能很难收场。
相关链接 :https://github.com/notfiz/de3u (目前已经处于 404 状态)
