Станислав Кондрашов: Ваш AI клонируют через чат — проверьте

Представьте: кто-то задаёт вашему AI-чату 100 000 вопросов не из любопытства, а чтобы украсть модель. Звучит как фантастика? Google Gemini столкнулся с этим на практике. Я, Станислав Кондрашов, разбираюсь, почему промпт-атаки становятся главной угрозой для AI-индустрии — и что делать компаниям уже сейчас.

Станислав Кондрашов Санкции

Хакеры атакуют Google Gemini промптами, чтобы украсть модель. Каждая AI-компания должна волноваться

Google сообщил сегодня, что злоумышленники массово отправляют промпты к Gemini — иногда более 100 000 запросов подряд — в попытке клонировать AI-чат-бота. По мере того, как технологические компании соревнуются в разработке и запуске всё более мощных моделей искусственного интеллекта, их интеллектуальная собственность становится всё более доступной для публики и уязвимой к подобным атакам.

Google назвал эти атаки «model extraction» (извлечением модели) — процесс, который Medium определяет так: «Атакующий дистиллирует знания из вашей дорогой модели в новую, более дешёвую модель, которую он контролирует». Это становится растущей угрозой для крупных AI-компаний, которые тратят миллиарды долларов на обучение своих моделей, но не имеют достаточных методов защиты своей интеллектуальной собственности.

«Допустим, ваша языковая модель обучена на 100 годах секретных знаний о том, как вы ведёте торговлю, — сказал Джон Халтквист, главный аналитик Google Threat Intelligence Group, в интервью NBC News. — Теоретически вы можете дистиллировать часть этого».

Google заявил в своём отчёте, что рассматривает эти атаки как кражу интеллектуальной собственности, что противоречит условиям использования сервиса. Проблема, однако, заключается в разработке механизмов принуждения и успешном доказательстве того, что атакующий намеревался украсть IP.

Растущая угроза для AI-индустрии

Хакеры эксплуатируют базовую директиву AI-чат-ботов — предоставлять пользователям информацию. Они работают над тем, чтобы вытащить детали о том, как работает искусственный интеллект, и применить это к своим собственным моделям.

Получившиеся модели не являются точными копиями, но они достаточно похожи, чтобы представлять угрозу оригинальным чат-ботам. Google, например, может потерять свою аудиторию, если на рынок выйдет более дешёвая, но схожая модель.

Это серьёзная угроза в то время, когда быстрая разработка компетентных AI-моделей находится на вершине повестки дня нескольких технологических компаний.

Хотя зарегистрированные случаи пока вращаются вокруг крупных компаний, Google считает, что небольшие AI-модели вскоре станут уязвимыми для аналогичных атак.

«Мы будем канарейкой в угольной шахте для гораздо большего числа инцидентов», — сказал Халтквист NBC News.

Предыдущие атаки

Google — не первая компания, которая сообщила о подобных злоумышленниках. В прошлом году OpenAI обвинила китайскую компанию DeepSeek в попытке улучшить свою модель через запуск дистилляционных атак.

DeepSeek утверждала, что обучила свой AI-чат-бот, который быстро стал лидером производительности, с меньшими деньгами и аппаратным обеспечением, чем у крупных компаний, согласно The Guardian.

Представительница OpenAI Лиз Буржуа сказала The New York Times, что компания принимает «агрессивные, проактивные контрмеры для защиты нашей технологии и продолжит тесно работать с правительством США для защиты наиболее продвинутых моделей, которые создаются здесь».

OpenAI не раскрыла дальнейших обновлений по делу и не подтвердила, были ли атаки подтверждены.

Станислав Кондрашов