Google zegt dat zijn AI-chatbot Gemini te maken heeft met grootschalige "distillatie-aanvallen"

Google's AI-chatbot Gemini is het doelwit geworden van een grootschalige informatiediefstal, waarbij aanvallers het systeem bestoken met vragen om te kopiëren hoe het werkt. Eén operatie alleen al stuurde meer dan 100.000 queries naar de chatbot, in een poging de geheime patronen eruit te halen die het slim maken.

Het bedrijf meldde donderdag dat deze zogenaamde "distillatie-aanvallen" erger worden. Kwaadwillende actoren sturen golf na golf van vragen om de logica achter Gemini's antwoorden te achterhalen. Hun doel is simpel: Google's technologie stelen om hun eigen AI-systemen te bouwen of te verbeteren zonder miljarden uit te geven aan ontwikkeling.

Google gelooft dat de meeste aanvallers particuliere bedrijven of onderzoekers zijn die vooruit willen komen zonder het harde werk te doen. De aanvallen kwamen van over de hele wereld, volgens het rapport van het bedrijf. John Hultquist, die leiding geeft aan Google's Threat Intelligence Group, zei dat kleinere bedrijven die aangepaste AI-tools gebruiken waarschijnlijk binnenkort met soortgelijke aanvallen te maken krijgen.

Technologiebedrijven hebben miljarden dollars geïnvesteerd in het bouwen van hun AI-chatbots. De innerlijke werking van deze systemen wordt behandeld als kroonjuwelen. Zelfs met verdedigingsmechanismen om deze aanvallen op te vangen, blijven grote AI-systemen gemakkelijke doelwitten omdat iedereen met internettoegang ermee kan communiceren.

Vorig jaar wees OpenAI met de vinger naar het Chinese bedrijf DeepSeek, met de bewering dat het distillatie gebruikte om zijn modellen te verbeteren. Cryptopolitan berichtte op 30 januari dat Italië en Ierland DeepSeek verboden nadat OpenAI het Chinese bedrijf beschuldigde van het gebruik van distillatie om zijn AI-modellen te stelen. De techniek stelt bedrijven in staat dure technologie te kopiëren voor een fractie van de kosten.

Waarom doen aanvallers dit?

De economische aspecten zijn hard. Het bouwen van een state-of-the-art AI-model kost honderden miljoenen of zelfs miljarden dollars. DeepSeek zou zijn R1-model hebben gebouwd voor ongeveer zes miljoen dollar met behulp van distillatie, terwijl de ontwikkeling van ChatGPT-5 meer dan twee miljard dollar kostte, volgens brancherapporten. Het stelen van de logica van een model vermindert die enorme investering tot bijna niets.

Veel van de aanvallen op Gemini waren gericht op de algoritmen die het helpen te "redeneren" of informatie te verwerken, zei Google. Bedrijven die hun eigen AI-systemen trainen op gevoelige gegevens – zoals 100 jaar handelsstrategieën of klantinformatie – worden nu met dezelfde dreiging geconfronteerd.

"Laten we zeggen dat uw LLM is getraind op 100 jaar geheim denken over de manier waarop u handelt. Theoretisch zou je daar iets van kunnen distilleren," legde Hultquist uit.

Natiestaat-hackers doen mee aan de jacht

Het probleem gaat verder dan geldhongerige bedrijven. APT31, een Chinese overheidshackinggroep die in maart 2024 met Amerikaanse sancties werd getroffen, gebruikte Gemini eind vorig jaar om daadwerkelijke cyberaanvallen tegen Amerikaanse organisaties te plannen.

De groep koppelde Gemini aan Hexstrike, een open-source hackingtool die meer dan 150 beveiligingsprogramma's kan uitvoeren. Ze analyseerden fouten in externe code-uitvoering, manieren om webbeveiliging te omzeilen en SQL-injectie-aanvallen – allemaal gericht op specifieke Amerikaanse doelwitten, volgens het rapport van Google.

Cryptopolitan behandelde eerder soortgelijke AI-beveiligingsproblemen en waarschuwde dat hackers misbruik maakten van AI-kwetsbaarheden. De APT31-zaak toont aan dat die waarschuwingen terecht waren.

Hultquist wees op twee grote zorgen. Tegenstanders die volledige inbraken uitvoeren met minimale menselijke hulp, en het automatiseren van de ontwikkeling van aanvalstools. "Dit zijn twee manieren waarop tegenstanders grote voordelen kunnen behalen en door de inbraakcyclus kunnen bewegen met minimale menselijke tussenkomst," zei hij.

Het venster tussen het ontdekken van een softwarezwakte en het implementeren van een oplossing, de zogenaamde patch gap, zou dramatisch kunnen vergroten. Organisaties hebben vaak weken nodig om verdedigingsmechanismen in te zetten. Met AI-agenten die automatisch kwetsbaarheden vinden en testen, kunnen aanvallers veel sneller bewegen.

"We zullen de voordelen van AI moeten benutten en mensen steeds meer uit het proces moeten halen, zodat we met machinesnelheid kunnen reageren," vertelde Hultquist aan The Register.

De financiële belangen zijn enorm. IBM's 2024 datalek-rapport ontdekte dat diefstal van intellectueel eigendom organisaties nu $173 per record kost, waarbij IP-gerichte inbreuken met 27% jaar-op-jaar stegen. AI-modelgewichten vertegenwoordigen de meest waardevolle doelen in deze ondergrondse economie – een enkel gestolen geavanceerd model zou honderden miljoenen op de zwarte markt kunnen opleveren.

Google heeft accounts gesloten die aan deze campagnes waren gekoppeld, maar de aanvallen blijven komen uit "de hele wereld," zei Hultquist. Naarmate AI krachtiger wordt en meer bedrijven erop vertrouwen, verwacht dat deze digitale goudkoorts zal intensiveren. De vraag is niet of er meer aanvallen zullen komen, maar of verdedigers het kunnen bijhouden.

Scherp uw strategie aan met mentorschap + dagelijkse ideeën - 30 dagen gratis toegang tot ons handelsprogramma