更多全球网络安全资讯尽在邑安全
Microsoft 已对一个全球网络犯罪集团提起法律诉讼,该集团被指控开发复杂的工具来绕过其 Azure OpenAI 服务中的安全协议。
向美国弗吉尼亚州东区地方法院提交的投诉称,该组织(被跟踪为 Storm-2139)使用被盗的 API 密钥、反向代理基础设施和自定义软件通过 DALL-E 图像生成模型生成有害内容,包括未经同意的私密图像。
攻击者部署了双管齐下的技术策略来利用 Microsoft 的生成式 AI 基础设施:
API 密钥盗窃和滥用:
Storm-2139 系统地从遭到入侵的客户帐户(包括宾夕法尼亚州和新泽西州的美国企业)中收集了 Azure OpenAI 服务 API 密钥(52 个字符的字母数字身份验证令牌)。
这些密钥旨在授予对 Azure AI 模型的编程访问权限,但通过从公共存储库和网络钓鱼活动中抓取凭据而被盗。
Microsoft 的调查显示,该组织使用这些密钥来冒充合法用户,绕过了 Azure 的身份验证门。
反向代理基础设施:
黑客在 aitism.net 和 rentry.org/de3u 等域上运行托管的自定义反向代理服务(称为“oai-reverse-proxy”)。该工具通过 Cloudflare 隧道路由恶意 HTTP 请求以掩盖其来源,从而实现与 Azure 的 API 端点(例如 POST https://{endpoint}/openai/deployments/{deployment-id}/images/generations)的通信。
代理更改了请求参数,例如端点地址和部署 ID,以规避 Microsoft 的地理围栏和内容过滤系统。
客户端工具 (“de3u”):
de3u 软件是 DALL-E 3 的 GitHub 托管前端,允许用户输入文本提示,同时绕过 Azure 的内容审核。
例如,使用字符串作对 Microsoft 的集成分类器标记的色情或暴力内容提示进行修改,以避免被发现(例如,将阻止的关键字替换为 Unicode 等效关键字)。
该工具还禁用了 Azure 的默认“revised_prompt”功能,该功能通常会清理用户输入。
绕过多层 AI 保护措施
Microsoft 的 Azure OpenAI 服务采用多种防御机制,包括:
内容过滤模型:经过训练的神经分类器,可检测八种语言的仇恨、暴力、性和自残内容,具有严重性阈值(安全/低/中/高)。
滥用监控:实时分析 API 调用模式和提示完成日志,并通过 Secure Access Workstation (SAW) 进行人工审查。
C2PA 元数据:嵌入在生成图像中的内容凭据 (CR) 图标,用于验证 AI 来源。
Storm-2139 的工具通过以下方式抵消了这些措施:
-
使用反向代理从 DALL-E 输出中拦截和剥离 CR 元数据。
-
利用异步筛选来延迟内容审核响应,允许有害图像在 Azure 系统阻止之前到达最终用户
法律和运营响应
Microsoft 的 89 页投诉引用了违反《计算机欺诈和滥用法案》(CFAA)、《数字千年版权法案》(DMCA) 和《反勒索和腐败组织法案》(RICO) 的行为。
法院已授权没收基础设施,包括 aitism.net 域和托管 de3u 的 GitHub 存储库。
该事件凸显了基于 API 的 AI 服务中的关键漏洞:
第三方依赖: 攻击者利用了对 Cloudflare 和 AWS IP 的依赖,凸显了去中心化云生态系统中的风险。
基于 Token 的计费方式: 被盗的 API 密钥实现了大规模的“令牌盗窃”,耗尽了受害者账户的预付费计算积分。
Microsoft 敦促企业采用 Entra ID(以前称为 Azure AD)进行基于 OAuth 的身份验证和审核 API 密钥使用情况。该案为根据反黑客法规追究工具开发人员(而不仅仅是最终用户)的责任开创了先例。
由于 Storm-2139 的成员可能面临来自伊朗、英国、香港和越南的引渡,该诉讼表明对 AI 在网络犯罪中的作用的审查更加严格。
随着 Azure OpenAI 在全球托管 18,000 个组织,保护生成式 AI 的风险从未如此之高。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/microsoft-hackers-abusing-azure-openai-service/
原文始发于微信公众号(邑安全):Microsoft 列出了滥用 Azure OpenAI 服务生成恶意内容的黑客
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论