Google обнаружила и заблокировала кампанию, включающую более 100 000 запросов, которые, по утверждению компании, были разработаны для копирования проприетарных возможностей рассуждения ее ИИ-модели Gemini. Об этом говорится в квартальном отчете об угрозах, опубликованном Google Threat Intelligence Group.
Запросы выглядели как скоординированная попытка провести «извлечение модели» (model extraction) или дистилляцию — процесс машинного обучения, при котором создается меньшая модель, обладающая основными характеристиками гораздо большей. Системы Google перехватили запросы в режиме реального времени и «снизили риск данной конкретной атаки, защитив внутренние следы рассуждений», заявили в компании.
Google стремится предотвратить получение конкурентами прибыли от ее инвестиций в разработку ИИ-моделей для обучения собственных систем, при этом позволяя пользователям получать доступ к моделям, лежащим в основе ее сервисов.
«Извлечение модели и последующая дистилляция знаний позволяют злоумышленнику ускорить разработку ИИ при значительно более низких затратах, — говорится в отчете Google. — Эта деятельность фактически представляет собой форму кражи интеллектуальной собственности».
В ходе кампании, обнаруженной Google, злоумышленники инструктировали Gemini сохранять «язык, используемый в мыслительном контенте, строго соответствующим основному языку пользовательского ввода» — это техника, направленная на извлечение процессов рассуждения модели на нескольких языках. «Широта вопросов предполагает попытку воспроизвести способность Gemini к рассуждению на неанглийских целевых языках для широкого спектра задач», — говорится в отчете компании.
Google заявила, что обнаружила частые попытки извлечения моделей со стороны частных компаний по всему миру и исследователей, стремящихся клонировать проприетарные ИИ-возможности. Компания отметила, что эти атаки нарушают ее условия обслуживания и могут повлечь за собой меры по пресечению и судебные разбирательства.
Однако исследователи и потенциальные клиенты могут стремиться получить большие выборки рассуждений Gemini для других, законных целей, таких как сравнение производительности моделей или оценка их пригодности и надежности для задачи перед покупкой.
Поставщики моделей видят растущую угрозу кражи ИС
Google — не единственная компания, фиксирующая в своих логах, как она полагает, злонамеренные попытки извлечения моделей. В четверг OpenAI сообщила американским законодателям, что китайская ИИ-компания DeepSeek использовала «новые, замаскированные методы» для извлечения результатов из ведущих американских ИИ-моделей для обучения собственных систем, согласно служебной записке, с которой ознакомился Bloomberg. OpenAI обвинила DeepSeek в попытке «бесплатно воспользоваться возможностями, разработанными OpenAI и другими передовыми американскими лабораториями», подчеркнув, что кража моделей стала проблемой для компаний, вложивших миллиарды в разработку ИИ.
Исполнительный директор по информационной безопасности Corsica Technologies Росс Филипек видит изменение в киберугрозах, стоящих за обвинениями. «Злоумышленники, участвующие в атаках по извлечению моделей, демонстрируют сдвиг в приоритетах атак, — сказал он. — Извлечение моделей не проникает в системы в традиционном смысле, а скорее ставит приоритетом передачу знаний, разработанных на основе ИИ-модели жертвы, и использование их для ускорения разработки собственных ИИ-моделей злоумышленников».
Угроза кражи интеллектуальной собственности посредством извлечения моделей должна беспокоить любую организацию, предоставляющую ИИ-модели в качестве услуг, согласно отчету. Google заявила, что эти организации должны отслеживать шаблоны доступа к API на предмет признаков систематического извлечения.
Филипек отметил, что защита от этих атак требует строгого управления ИИ-системами и тщательного мониторинга потоков данных. «Организации должны внедрять фильтрацию ответов и контроль вывода, что может помешать злоумышленникам определить поведение модели в случае взлома», — сказал он.
Государственные группы использовали Gemini для ускорения операций по атаке
Google видит себя не только потенциальной жертвой киберпреступлений в сфере ИИ, но и невольным пособником. Ее отчет задокументировал, как поддерживаемые правительствами злоумышленники из Китая, Ирана, Северной Кореи и России интегрировали Gemini в свои операции в конце 2025 года. Компания заявила, что отключила учетные записи и активы, связанные с этими группами.
Иранская угроза APT42 использовала Gemini для создания целевых кампаний социальной инженерии, передавая ИИ биографические данные о конкретных целях для генерации тем для разговора, призванных завоевать доверие, согласно отчету. Группа также использовала Gemini для перевода и понимания культурных отсылок на неродных языках.
Китайские группы APT31 и UNC795 использовали Gemini для автоматизации анализа уязвимостей, отладки вредоносного кода и исследования методов эксплуатации, говорится в отчете. Северокорейские хакеры из UNC2970 использовали Gemini для сбора разведданных о подрядчиках оборонной промышленности и компаниях, занимающихся кибербезопасностью, собирая сведения об организационных структурах и должностных ролях для поддержки фишинговых кампаний.
Google заявила, что приняла меры, отключив связанные учетные записи, и что Google DeepMind использовала полученные сведения для усиления защиты от злоупотреблений.
Злоумышленники интегрируют ИИ в операции с вредоносным ПО
Gemini также используется не по назначению другими способами, заявила Google, причем некоторые злоумышленники встраивают его API непосредственно во вредоносный код.
Google идентифицировала новое семейство вредоносного ПО под названием HONESTCUE, которое интегрирует API Gemini непосредственно в свои операции, отправляя запросы для генерации рабочего кода, который вредоносное ПО компилирует и выполняет в памяти. Запросы выглядят безобидными по отдельности, что позволяет им обходить защитные фильтры Gemini, согласно отчету.
Исполнительный директор по информационной безопасности AttackIQ Пит Любан считает, что такие сервисы, как Gemini, предоставляют хакерам простой способ повысить свой уровень. «Интеграция общедоступных ИИ-моделей, таких как Google Gemini, во вредоносное ПО предоставляет злоумышленникам мгновенный доступ к мощным возможностям LLM без необходимости создавать или обучать что-либо самостоятельно», — сказал он. «Возможности вредоносного ПО экспоненциально возросли, обеспечивая более быстрое боковое перемещение, более скрытые кампании атак и более убедительное имитирование типичных операций компании».
Google также задокументировала COINBAIT, фишинговый набор, созданный с использованием платформ генерации кода на базе ИИ, и Xanthorox, подпольный сервис, который рекламировал ИИ для генерации пользовательского вредоносного ПО, но на самом деле являлся оберткой вокруг коммерческих продуктов, включая Gemini. Компания закрыла связанные с обоими аккаунты и проекты.
Любан заявил, что темпы развития угроз, связанных с ИИ, делают традиционные методы защиты недостаточными. «Непрерывное тестирование на основе реалистичного поведения злоумышленников необходимо для определения того, готовы ли средства защиты к борьбе с адаптивными угрозами», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
