Microsoft 列出了滥用 Azure OpenAI 服务生成恶意内容的黑客

Microsoft 已对一个全球网络犯罪集团提起法律诉讼，该集团被指控开发复杂的工具来绕过其 Azure OpenAI 服务中的安全协议。

向美国弗吉尼亚州东区地方法院提交的投诉称，该组织（被跟踪为 Storm-2139）使用被盗的 API 密钥、反向代理基础设施和自定义软件通过 DALL-E 图像生成模型生成有害内容，包括未经同意的私密图像。

攻击者部署了双管齐下的技术策略来利用 Microsoft 的生成式 AI 基础设施：

API 密钥盗窃和滥用：

Storm-2139 系统地从遭到入侵的客户帐户（包括宾夕法尼亚州和新泽西州的美国企业）中收集了 Azure OpenAI 服务 API 密钥（52 个字符的字母数字身份验证令牌）。

这些密钥旨在授予对 Azure AI 模型的编程访问权限，但通过从公共存储库和网络钓鱼活动中抓取凭据而被盗。

Microsoft 的调查显示，该组织使用这些密钥来冒充合法用户，绕过了 Azure 的身份验证门。

反向代理基础设施：

黑客在 aitism.net 和 rentry.org/de3u 等域上运行托管的自定义反向代理服务（称为“oai-reverse-proxy”）。该工具通过 Cloudflare 隧道路由恶意 HTTP 请求以掩盖其来源，从而实现与 Azure 的 API 端点（例如 POST https://{endpoint}/openai/deployments/{deployment-id}/images/generations）的通信。

代理更改了请求参数，例如端点地址和部署 ID，以规避 Microsoft 的地理围栏和内容过滤系统。

客户端工具 （“de3u”）：

de3u 软件是 DALL-E 3 的 GitHub 托管前端，允许用户输入文本提示，同时绕过 Azure 的内容审核。

例如，使用字符串作对 Microsoft 的集成分类器标记的色情或暴力内容提示进行修改，以避免被发现（例如，将阻止的关键字替换为 Unicode 等效关键字）。

该工具还禁用了 Azure 的默认“revised_prompt”功能，该功能通常会清理用户输入。

绕过多层 AI 保护措施

Microsoft 的 Azure OpenAI 服务采用多种防御机制，包括：

内容过滤模型：经过训练的神经分类器，可检测八种语言的仇恨、暴力、性和自残内容，具有严重性阈值（安全/低/中/高）。

滥用监控：实时分析 API 调用模式和提示完成日志，并通过 Secure Access Workstation （SAW） 进行人工审查。

C2PA 元数据：嵌入在生成图像中的内容凭据 （CR） 图标，用于验证 AI 来源。

Storm-2139 的工具通过以下方式抵消了这些措施：

• 使用反向代理从 DALL-E 输出中拦截和剥离 CR 元数据。

• 利用异步筛选来延迟内容审核响应，允许有害图像在 Azure 系统阻止之前到达最终用户

法律和运营响应

Microsoft 的 89 页投诉引用了违反《计算机欺诈和滥用法案》（CFAA）、《数字千年版权法案》（DMCA） 和《反勒索和腐败组织法案》（RICO） 的行为。

法院已授权没收基础设施，包括 aitism.net 域和托管 de3u 的 GitHub 存储库。

该事件凸显了基于 API 的 AI 服务中的关键漏洞：

第三方依赖： 攻击者利用了对 Cloudflare 和 AWS IP 的依赖，凸显了去中心化云生态系统中的风险。

基于 Token 的计费方式： 被盗的 API 密钥实现了大规模的“令牌盗窃”，耗尽了受害者账户的预付费计算积分。

Microsoft 敦促企业采用 Entra ID（以前称为 Azure AD）进行基于 OAuth 的身份验证和审核 API 密钥使用情况。该案为根据反黑客法规追究工具开发人员（而不仅仅是最终用户）的责任开创了先例。

由于 Storm-2139 的成员可能面临来自伊朗、英国、香港和越南的引渡，该诉讼表明对 AI 在网络犯罪中的作用的审查更加严格。

随着 Azure OpenAI 在全球托管 18,000 个组织，保护生成式 AI 的风险从未如此之高。

原文来自: cybersecuritynews.com