Google заявляет, что его ИИ-чатбот Gemini подвергается масштабным «атакам дистилляции»

ИИ-чатбот Gemini от Google стал целью масштабной кражи информации: злоумышленники атакуют систему вопросами, чтобы скопировать принципы её работы. Одна операция отправила чатботу более 100 000 запросов, пытаясь извлечь секретные паттерны, которые делают его умным.

В четверг компания сообщила, что эти так называемые "атаки дистилляции" усиливаются. Злоумышленники отправляют волну за волной вопросов, чтобы понять логику ответов Gemini. Их цель проста: украсть технологию Google для создания или улучшения собственных ИИ-систем без затрат миллиардов на разработку.

Google считает, что большинство злоумышленников - это частные компании или исследователи, стремящиеся продвинуться вперёд без тяжёлой работы. Согласно отчёту компании, атаки поступали со всего мира. Джон Халтквист, руководитель группы анализа угроз Google, заявил, что небольшие компании, использующие кастомные ИИ-инструменты, вероятно, скоро столкнутся с аналогичными атаками.

Технологические компании вложили миллиарды долларов в создание своих ИИ-чатботов. Внутренние механизмы этих систем защищаются как драгоценности. Даже при наличии защитных мер для отражения этих атак, крупные ИИ-системы остаются лёгкими целями, потому что любой, у кого есть доступ к интернету, может с ними взаимодействовать.

В прошлом году OpenAI указал на китайскую компанию DeepSeek, утверждая, что она использовала дистилляцию для улучшения своих моделей. Cryptopolitan сообщил 30 января, что Италия и Ирландия запретили DeepSeek после того, как OpenAI обвинил китайскую фирму в использовании дистилляции для кражи своих ИИ-моделей. Эта техника позволяет компаниям копировать дорогостоящие технологии за небольшую часть стоимости.

Почему злоумышленники это делают?

Экономика жестока. Создание современной ИИ-модели стоит сотни миллионов или даже миллиарды долларов. По сообщениям, DeepSeek создал свою модель R1 примерно за шесть миллионов долларов, используя дистилляцию, в то время как разработка ChatGPT-5 превысила два миллиарда долларов, согласно отраслевым отчётам. Кража логики модели сокращает эти массивные инвестиции практически до нуля.

Google заявил, что многие атаки на Gemini нацелены на алгоритмы, которые помогают ему "рассуждать" или обрабатывать информацию. Компании, обучающие собственные ИИ-системы на конфиденциальных данных - таких как 100 лет торговых стратегий или клиентской информации - теперь сталкиваются с той же угрозой.

"Допустим, ваша большая языковая модель обучалась на 100 годах секретного мышления о способах торговли. Теоретически вы можете дистиллировать часть этого", - объяснил Халтквист.

Хакеры национальных государств присоединяются к охоте

Проблема выходит за рамки жадных до денег компаний. APT31, китайская правительственная хакерская группа, попавшая под американские санкции в марте 2024 года, использовала Gemini в конце прошлого года для планирования реальных кибератак против американских организаций.

Группа объединила Gemini с Hexstrike, инструментом взлома с открытым исходным кодом, который может запускать более 150 программ безопасности. Они анализировали уязвимости удалённого выполнения кода, способы обхода веб-безопасности и атаки SQL-инъекций - всё это было направлено на конкретные американские цели, согласно отчёту Google.

Cryptopolitan ранее освещал аналогичные проблемы безопасности ИИ, предупреждая, что хакеры эксплуатируют уязвимости ИИ. Случай APT31 показывает, что эти предупреждения были точными.

Халтквист указал на две основные проблемы. Противники, действующие на протяжении целых вторжений с минимальной помощью человека, и автоматизация разработки инструментов атаки. "Это два способа, которыми противники могут получить серьёзные преимущества и пройти через цикл вторжения с минимальным вмешательством человека", - сказал он.

Окно между обнаружением программной уязвимости и внедрением исправления, называемое разрывом патча, может значительно расшириться. Организациям часто требуются недели для развёртывания защиты. С ИИ-агентами, автоматически находящими и тестирующими уязвимости, злоумышленники могут действовать намного быстрее.

"Нам придётся использовать преимущества ИИ и всё больше исключать людей из процесса, чтобы мы могли реагировать со скоростью машины", - сказал Халтквист изданию The Register.

Финансовые ставки огромны. Отчёт IBM о утечках данных за 2024 год показал, что кража интеллектуальной собственности теперь обходится организациям в 173 $ за запись, при этом утечки, связанные с интеллектуальной собственностью, выросли на 27% в годовом исчислении. Веса ИИ-моделей представляют собой самые ценные цели в этой теневой экономике - одна украденная передовая модель может стоить сотни миллионов на чёрном рынке.

Google закрыл аккаунты, связанные с этими кампаниями, но атаки продолжают поступать "со всего мира", сказал Халтквист. По мере того, как ИИ становится более мощным, и всё больше компаний полагаются на него, ожидается усиление этой цифровой золотой лихорадки. Вопрос не в том, будут ли новые атаки, а в том, смогут ли защитники не отставать.

Оттачивайте свою стратегию с наставничеством + ежедневные идеи - 30 дней бесплатного доступа к нашей торговой программе