ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਖਤਰਨਾਕ ਉਦੇਸ਼ਾਂ ਲਈ ਐਜ਼ੂਰ ਏਆਈ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੇ ਹੈਕਰਾਂ ਦੇ ਖਿਲਾਫ ਕਾਨੂੰਨੀ ਕਾਰਵਾਈ ਕੀਤੀ
ਮਾਈਕਰੋਸੌਫਟ ਦੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਦੇ ਵਿਰੁੱਧ ਚੱਲ ਰਹੀ ਲੜਾਈ ਅਜ਼ੁਰ ਦੀਆਂ ਜਨਰੇਟਿਵ ਏਆਈ ਸੇਵਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੇ ਦੋਸ਼ ਵਿੱਚ ਇੱਕ ਹੈਕਿੰਗ ਸਮੂਹ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਆਪਣੇ ਨਵੀਨਤਮ ਮੁਕੱਦਮੇ ਨਾਲ ਨਵੀਂ ਉਚਾਈਆਂ 'ਤੇ ਪਹੁੰਚ ਗਈ ਹੈ। ਤਕਨੀਕੀ ਦਿੱਗਜ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਕਿ ਵਿਦੇਸ਼ੀ-ਅਧਾਰਤ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੇ Azure AI ਦੇ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਇੱਕ ਹੈਕਿੰਗ-ਏ-ਏ-ਸਰਵਿਸ ਪਲੇਟਫਾਰਮ ਬਣਾਇਆ ਹੈ, ਜਿਸ ਨਾਲ ਹਾਨੀਕਾਰਕ ਸਮੱਗਰੀ ਅਤੇ ਮਾਲਵੇਅਰ ਦੀ ਰਚਨਾ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ ।
ਇਹ ਕੇਸ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਖਤਰਨਾਕ ਉਦੇਸ਼ਾਂ ਲਈ AI ਪਲੇਟਫਾਰਮਾਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਵਾਲੇ ਵਧ ਰਹੇ ਜੋਖਮਾਂ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਦੁਨੀਆ ਭਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਚੁਣੌਤੀਆਂ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਹੈਕਰਾਂ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਅਜ਼ੁਰ ਏਆਈ ਦਾ ਸ਼ੋਸ਼ਣ ਕਿਵੇਂ ਕੀਤਾ
ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀ ਡਿਜੀਟਲ ਕ੍ਰਾਈਮਜ਼ ਯੂਨਿਟ (DCU) ਨੇ ਜੁਲਾਈ 2024 ਵਿੱਚ ਕਾਰਵਾਈ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਸਮੂਹ ਨੇ Azure ਸਿਸਟਮਾਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਅਤੇ OpenAI ਦੇ DALL-E ਵਰਗੇ AI ਮਾਡਲਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਨ ਲਈ, ਜਨਤਕ ਸਰੋਤਾਂ ਤੋਂ ਪ੍ਰਾਪਤ ਚੋਰੀ ਕੀਤੇ ਗਾਹਕ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
ਮੁੱਖ ਵੇਰਵਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ : ਅਜ਼ੂਰ ਓਪਨਏਆਈ ਸੇਵਾਵਾਂ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਲਈ ਚੋਰੀ ਕੀਤੀਆਂ Azure API ਕੁੰਜੀਆਂ ਅਤੇ Entra ID ਪ੍ਰਮਾਣਿਕਤਾ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਸੀ।
- ਹਾਨੀਕਾਰਕ ਸਮਗਰੀ ਬਣਾਉਣਾ : ਸਮੂਹ ਨੇ ਅਪਮਾਨਜਨਕ ਚਿੱਤਰ ਬਣਾਉਣ ਅਤੇ AI ਸਮੱਗਰੀ ਫਿਲਟਰਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਟੂਲ ਬਣਾ ਕੇ ਆਪਣੀ ਪਹੁੰਚ ਦਾ ਮੁਦਰੀਕਰਨ ਕੀਤਾ।
- ਹੈਕਿੰਗ-ਏਜ਼-ਏ-ਸਰਵਿਸ : ਸਮੂਹ ਨੇ ਐਟਿਜ਼ਮ[.]ਨੈੱਟ ਵਰਗੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ ਆਪਣੇ ਟੂਲਸ ਤੱਕ ਪਹੁੰਚ ਵੇਚੀ ਅਤੇ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨਾਲ ਵਰਤੋਂ ਦੀਆਂ ਹਦਾਇਤਾਂ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ।
ਇਹਨਾਂ ਗਤੀਵਿਧੀਆਂ ਨੇ ਹਜ਼ਾਰਾਂ ਨੁਕਸਾਨਦੇਹ ਚਿੱਤਰਾਂ ਦੇ ਗੈਰ-ਕਾਨੂੰਨੀ ਉਤਪੱਤੀ ਅਤੇ ਹੋਰ ਗੈਰ-ਕਾਨੂੰਨੀ AI ਦੁਰਵਿਵਹਾਰ ਦੀ ਸਹੂਲਤ ਦੀ ਅਗਵਾਈ ਕੀਤੀ, ਜਦੋਂ ਕਿ ਅਪਰਾਧੀਆਂ ਨੇ ਆਪਣੇ ਡਿਜੀਟਲ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਮਿਟਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ।
ਮਾਲਵੇਅਰ ਕਨੈਕਸ਼ਨ
ਜਨਰੇਟਿਵ AI ਸੇਵਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਦੇ ਮਾਲਵੇਅਰ ਵਿਕਾਸ ਲਈ ਵਿਆਪਕ ਪ੍ਰਭਾਵ ਹਨ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ:
- ਭਰੋਸੇਮੰਦ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਫਿਸ਼ਿੰਗ ਲਾਲਚਾਂ ਜਾਂ ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ ਬਣਾਓ।
ਇਹ ਸ਼ੋਸ਼ਣ ਇਸ ਗੱਲ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ਹੈਕਿੰਗ ਸਮੂਹ ਆਪਣੀਆਂ ਚਾਲਾਂ ਨੂੰ ਵਿਕਸਿਤ ਕਰ ਰਹੇ ਹਨ, ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਐਡਵਾਂਸਡ AI ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਾਈਬਰ ਹਮਲੇ ਕਰਨ ਲਈ ਮਿਲਾਉਂਦੇ ਹਨ।
ਉਲਟਾ ਪ੍ਰੌਕਸੀ ਸ਼ੋਸ਼ਣ ਅਤੇ ਐਲਐਲਐਮਜੈਕਿੰਗ
ਕੇਸ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂ ਰਿਵਰਸ ਪ੍ਰੌਕਸੀਜ਼ ਦੀ ਵਰਤੋਂ ਹੈ, ਜਿਵੇਂ ਕਿ de3u ਟੂਲ। ਇਹਨਾਂ ਪ੍ਰੌਕਸੀਜ਼ ਨੇ Cloudflare ਸੁਰੰਗ ਰਾਹੀਂ ਉਪਭੋਗਤਾ ਡਿਵਾਈਸਾਂ ਤੋਂ ਅਜ਼ੂਰ ਓਪਨਏਆਈ ਸੇਵਾਵਾਂ ਤੱਕ ਸੰਚਾਰਾਂ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ, ਜਾਇਜ਼ API ਕਾਲਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ।
ਇਹ ਤਕਨੀਕ LLMjacking ਹਮਲਿਆਂ ਵਿੱਚ ਪਛਾਣੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜਿੱਥੇ ਚੋਰੀ ਕੀਤੇ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਵੱਡੇ ਭਾਸ਼ਾ ਮਾਡਲ (LLM) ਸੇਵਾਵਾਂ ਜਿਵੇਂ ਕਿ ਐਂਥਰੋਪਿਕ, AWS ਬੈਡਰੋਕ, ਅਤੇ Google Vertex AI ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਅਜਿਹੀਆਂ ਸਕੀਮਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਨੂੰ ਕਲਾਉਡ-ਅਧਾਰਿਤ AI ਟੂਲਸ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀਆਂ ਹਨ, ਅਕਸਰ ਇਸਨੂੰ ਦੂਜੇ ਅਪਰਾਧੀਆਂ ਨੂੰ ਵੇਚ ਕੇ ਪਹੁੰਚ ਦਾ ਮੁਦਰੀਕਰਨ ਕਰਦੀਆਂ ਹਨ।
ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਦੇ ਵਿਰੋਧੀ ਉਪਾਅ ਅਤੇ ਵਿਆਪਕ ਪ੍ਰਭਾਵ
ਇਸ ਕਾਰਵਾਈ ਦੇ ਜਵਾਬ ਵਿੱਚ, Microsoft:
- ਰੱਦ ਕੀਤੀ ਪਹੁੰਚ : ਸਮੂਹ ਦੇ ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੱਤਾ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸੇਵਾ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਬੰਦ ਕਰ ਦਿੱਤਾ।
- ਜ਼ਬਤ ਕੀਤੇ ਡੋਮੇਨ : ਐਟਿਜ਼ਮ ਨੂੰ ਬੰਦ ਕਰਨ ਲਈ ਅਦਾਲਤੀ ਹੁਕਮ ਪ੍ਰਾਪਤ ਕੀਤਾ[.]ਨੈੱਟ ।
- ਮਜ਼ਬੂਤ ਰੱਖਿਆ : ਭਵਿੱਖ ਵਿੱਚ ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਦੁਰਵਿਵਹਾਰਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਵਾਧੂ ਸੁਰੱਖਿਆ ਉਪਾਅ ਲਾਗੂ ਕੀਤੇ ਗਏ ਹਨ।
ਹਾਲਾਂਕਿ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲੈਂਡਸਕੇਪ ਵਿੱਚ AI ਦੁਰਵਿਵਹਾਰ ਦੇ ਇੱਕ ਵੱਡੇ ਰੁਝਾਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹੋਏ, ਹੋਰ AI ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਮੂਹ ਦੇ ਸਬੂਤ ਵੀ ਲੱਭੇ।
AI ਟੂਲਜ਼: ਇੱਕ ਦੋ-ਧਾਰੀ ਤਲਵਾਰ
ਜਦੋਂ ਕਿ ChatGPT ਅਤੇ DALL-E ਵਰਗੇ ਜਨਰੇਟਿਵ AI ਟੂਲ ਬਹੁਤ ਲਾਭ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ, ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਉਹਨਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਵਧੇ ਹੋਏ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਤੁਰੰਤ ਲੋੜ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ:
- API ਸੁਰੱਖਿਆ : ਸੰਸਥਾਵਾਂ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਰੋਕਣ ਲਈ API ਕੁੰਜੀਆਂ ਲਈ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਯਕੀਨੀ ਬਣਾਉਣੀ ਚਾਹੀਦੀ ਹੈ।
- ਖ਼ਤਰੇ ਦੀ ਨਿਗਰਾਨੀ : AI ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਅਸਾਧਾਰਣ ਵਿਵਹਾਰ ਨੂੰ ਖੋਜਣ ਅਤੇ ਰੋਕਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦੀ ਹੈ।
ਮਾਈਕ੍ਰੋਸਾਫਟ ਦਾ ਮੁਕੱਦਮਾ ਏਆਈ ਅਤੇ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਦੇ ਖਤਰਨਾਕ ਇੰਟਰਸੈਕਸ਼ਨ 'ਤੇ ਰੌਸ਼ਨੀ ਪਾਉਂਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਹਾਨੀਕਾਰਕ ਸਮੱਗਰੀ ਪੈਦਾ ਕਰਨ ਅਤੇ ਮਾਲਵੇਅਰ ਵਿਕਸਿਤ ਕਰਨ ਲਈ AI ਸੇਵਾਵਾਂ ਦਾ ਵੱਧ ਤੋਂ ਵੱਧ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਸੰਗਠਨਾਂ ਨੂੰ ਆਪਣੇ AI ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ।
ਇਹ ਕੇਸ ਇੱਕ ਖਾਸ ਰੀਮਾਈਂਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ: ਜਦੋਂ ਕਿ AI ਤਕਨਾਲੋਜੀ ਦੇ ਭਵਿੱਖ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਇਸ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਹਥਿਆਰ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਮਜ਼ਬੂਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਅ ਡਿਜੀਟਲ ਖਤਰਿਆਂ ਦੇ ਵਿਰੁੱਧ ਲੜਾਈ ਵਿੱਚ ਇੱਕ ਪੂਰਨ ਲੋੜ ਹੈ।