Google afirma que o seu chatbot de IA Gemini está a enfrentar "ataques de destilação" em larga escala

O chatbot de IA Gemini da Google tornou-se o alvo de um roubo de informações em larga escala, com atacantes a bombardear o sistema com perguntas para copiar como funciona. Apenas uma operação enviou mais de 100.000 consultas ao chatbot, tentando extrair os padrões secretos que o tornam inteligente.

A empresa informou quinta-feira que estes chamados "ataques de destilação" estão a piorar. Agentes maliciosos enviam ondas e ondas de perguntas para descobrir a lógica por trás das respostas do Gemini. O seu objetivo é simples: roubar a tecnologia da Google para construir ou melhorar os seus próprios sistemas de IA sem gastar milhares de milhões no desenvolvimento.

A Google acredita que a maioria dos atacantes são empresas privadas ou investigadores que procuram avançar sem fazer o trabalho árduo. Os ataques vieram de todo o mundo, de acordo com o relatório da empresa. John Hultquist, que lidera o Grupo de Inteligência de Ameaças da Google, disse que empresas menores que usam ferramentas de IA personalizadas provavelmente enfrentarão ataques semelhantes em breve.

As empresas tecnológicas investiram milhares de milhões de dólares na construção dos seus chatbots de IA. O funcionamento interno destes sistemas é tratado como joias da coroa. Mesmo com defesas implementadas para detetar estes ataques, os principais sistemas de IA continuam a ser alvos fáceis porque qualquer pessoa com acesso à internet pode falar com eles.

No ano passado, a OpenAI apontou o dedo à empresa chinesa DeepSeek, alegando que usou destilação para melhorar os seus modelos. O Cryptopolitan reportou em 30 de janeiro que a Itália e a Irlanda baniram a DeepSeek depois de a OpenAI ter acusado a empresa chinesa de usar destilação para roubar os seus modelos de IA. A técnica permite às empresas copiar tecnologia dispendiosa a uma fração do custo.

Por que razão os atacantes fazem isto?

A economia é brutal. Construir um modelo de IA de última geração custa centenas de milhões ou mesmo milhares de milhões de dólares. A DeepSeek alegadamente construiu o seu modelo R1 por cerca de seis milhões de dólares usando destilação, enquanto o desenvolvimento do ChatGPT-5 ultrapassou dois mil milhões de dólares, de acordo com relatórios da indústria. Roubar a lógica de um modelo reduz esse investimento massivo a quase nada.

Muitos dos ataques ao Gemini visaram os algoritmos que o ajudam a "raciocinar" ou processar informações, disse a Google. As empresas que treinam os seus próprios sistemas de IA com dados sensíveis – como 100 anos de estratégias de negociação ou informações de clientes – enfrentam agora a mesma ameaça.

"Digamos que o seu LLM foi treinado com 100 anos de pensamento secreto sobre a forma como negoceia. Teoricamente, poderia destilar parte disso", explicou Hultquist.

Hackers de estados-nação juntam-se à caça

O problema vai além de empresas ávidas por dinheiro. O APT31, um grupo de hackers do governo chinês alvo de sanções dos EUA em março de 2024, usou o Gemini no final do ano passado para planear ciberataques reais contra organizações americanas.

O grupo emparelhou o Gemini com o Hexstrike, uma ferramenta de hacking de código aberto que pode executar mais de 150 programas de segurança. Analisaram falhas de execução remota de código, formas de contornar a segurança web e ataques de injeção SQL – todos direcionados a alvos específicos dos EUA, de acordo com o relatório da Google.

O Cryptopolitan cobriu preocupações semelhantes de segurança de IA anteriormente, alertando que os hackers estavam a explorar vulnerabilidades de IA. O caso APT31 mostra que esses avisos estavam certeiros.

Hultquist apontou duas grandes preocupações. Adversários a operar através de intrusões inteiras com ajuda humana mínima, e a automatizar o desenvolvimento de ferramentas de ataque. "Estas são duas formas através das quais os adversários podem obter grandes vantagens e avançar pelo ciclo de intrusão com interferência humana mínima", disse.

A janela entre descobrir uma fraqueza de software e implementar uma correção, chamada de intervalo de patch, poderia alargar-se dramaticamente. As organizações frequentemente levam semanas a implementar defesas. Com Agentes de IA a encontrar e testar vulnerabilidades automaticamente, os atacantes poderiam mover-se muito mais rapidamente.

"Vamos ter de aproveitar as vantagens da IA e, cada vez mais, remover os humanos do processo, para que possamos responder à velocidade da máquina", disse Hultquist ao The Register.

Os riscos financeiros são enormes. O relatório de violação de dados de 2024 da IBM descobriu que o roubo de propriedade intelectual custa agora às organizações $173 por registo, com violações focadas em PI a aumentar 27% ano após ano. Os pesos dos modelos de IA representam os alvos de maior valor nesta economia subterrânea – um único modelo de fronteira roubado poderia render centenas de milhões no mercado negro.

A Google encerrou contas ligadas a estas campanhas, mas os ataques continuam a vir de "todo o globo", disse Hultquist. À medida que a IA se torna mais poderosa e mais empresas dependem dela, espere que esta corrida ao ouro digital se intensifique. A questão não é se virão mais ataques, mas se os defensores conseguirão acompanhar.

Aperfeiçoe a sua estratégia com mentoria + ideias diárias - 30 dias de acesso gratuito ao nosso programa de negociação