Gli hacker inondano di domande Gemini di Google in una massiccia operazione di furto di intelligenza artificiale

Il chatbot di intelligenza artificiale Gemini di Google è diventato il bersaglio di un furto di informazioni su larga scala, con aggressori che hanno bombardato il sistema di domande per copiarne il funzionamento. Una sola operazione ha inviato più di 100.000 query al chatbot, cercando di carpire i pattern segreti che lo rendono intelligente.

Giovedì l'azienda ha riferito che questi cosiddetti "attacchi di distillazione" stanno peggiorando. I malintenzionati inviano ondate di domande per comprendere la logica dietro le risposte di Gemini. Il loro obiettivo è semplice: rubare la tecnologia di Google per costruire o migliorare i propri sistemi di intelligenza artificiale senza spendere miliardi nello sviluppo.

Google ritiene che la maggior parte degli aggressori siano aziende private o ricercatori che cercano di ottenere vantaggi senza impegnarsi a fondo. Gli attacchi provengono da tutto il mondo, secondo il rapporto. John Hultquist, a capo del Threat Intelligence Group di Google, ha affermato che le aziende più piccole che utilizzano strumenti di intelligenza artificiale personalizzati probabilmente dovranno presto affrontare attacchi simili.

Le aziende tecnologiche hanno investito miliardi di dollari nello sviluppo dei loro chatbot basati sull'intelligenza artificiale. Il funzionamento interno di questi sistemi è considerato un gioiello. Anche con difese in grado di intercettare questi attacchi, i principali sistemi di intelligenza artificiale rimangono bersagli facili perché chiunque abbia accesso a Internet può comunicare con loro.

L'anno scorso, OpenAI ha puntato il dito contro l'azienda cinese DeepSeek, sostenendo che utilizzasse la distillazione per migliorare i suoi modelli. Cryptopolitan ha riportato il 30 gennaio che Italia e Irlanda hanno vietato DeepSeek dopo che OpenAI ha accusato l'azienda cinese di utilizzare la distillazione per rubare i suoi modelli di intelligenza artificiale. La tecnica consente alle aziende di copiare tecnologie costose a una frazione del costo.

Perché gli aggressori si comportano in questo modo?

L'aspetto economico è brutale. Costruire un modello di intelligenza artificiale all'avanguardia costa centinaia di milioni o addirittura miliardi di dollari. DeepSeek avrebbe costruito il suo modello R1 per circa sei milioni di dollari utilizzando la distillazione, mentre lo sviluppo di ChatGPT-5 ha superato i due miliardi di dollari, secondo i report del settore. Rubare la logica di un modello riduce questo enorme investimento a quasi zero.

Molti degli attacchi a Gemini hanno preso di mira gli algoritmi che lo aiutano a "ragionare" o elaborare le informazioni, ha affermato Google. Le aziende che addestrano i propri sistemi di intelligenza artificiale su dati sensibili – come 100 anni di strategie di trading o informazioni sui clienti – ora affrontano la stessa minaccia.

"Supponiamo che il tuo LLM sia stato formato su 100 anni di ragionamenti segreti sul modo in cui fai trading. In teoria, potresti distillarne una parte", ha spiegato Hultquist.

Gli hacker degli stati nazionali si uniscono alla caccia

Il problema non riguarda solo le aziende assetate di denaro. APT31, un gruppo di hacker del governo cinese colpito dalle sanzioni statunitensi nel marzo 2024, ha utilizzato Gemini alla fine dell'anno scorso per pianificare veri e propri attacchi informatici contro organizzazioni americane.

Il gruppo ha abbinato Gemini a Hexstrike, uno strumento di hacking open source in grado di eseguire oltre 150 programmi di sicurezza. Hanno analizzato falle nell'esecuzione di codice remoto, metodi per aggirare la sicurezza web e attacchi di SQL injection, tutti mirati a specifici obiettivi statunitensi, secondo il rapporto di Google.

Cryptopolitan aveva già affrontato in precedenza simili problemi di sicurezza legati all'intelligenza artificiale, avvertendo che gli hacker stavano sfruttando le vulnerabilità dell'IA. Il caso APT31 dimostra che tali avvertimenti erano fondati.

Hultquist ha evidenziato due principali preoccupazioni: gli avversari che operano su intere intrusioni con un intervento umano minimo e l'automazione dello sviluppo di strumenti di attacco. "Questi sono due modi in cui gli avversari possono ottenere notevoli vantaggi e superare il ciclo di intrusione con un intervento umano minimo", ha affermato.

La finestra temporale tra la scoperta di una vulnerabilità software e l'implementazione di una soluzione, chiamata patch gap, potrebbe ampliarsimatic. Le organizzazioni impiegano spesso settimane per implementare le difese. Con gli agenti di intelligenza artificiale che individuano e testanomaticle vulnerabilità, gli aggressori potrebbero agire molto più rapidamente.

"Dovremo sfruttare i vantaggi dell'intelligenza artificiale e rimuovere sempre più gli esseri umani dal ciclo, in modo da poter rispondere alla velocità delle macchine", ha detto Hultquist al The Register.

La posta in gioco finanziaria è enorme. Il rapporto IBM del 2024 sulle violazioni dei dati ha rilevato che il furto di proprietà intellettuale costa ora alle organizzazioni 173 dollari per record, con le violazioni incentrate sulla proprietà intellettuale in aumento del 27% su base annua. I pesi dei modelli di intelligenza artificiale rappresentano gli obiettivi di maggior valore in questa economia sommersa: un singolo modello di frontiera rubato potrebbe fruttare centinaia di milioni sul mercato nero.

Google ha chiuso gli account collegati a queste campagne, ma gli attacchi continuano a provenire "da tutto il mondo", ha affermato Hultquist. Con l'aumento della potenza dell'intelligenza artificiale e il crescente ricorso a questa tecnologia da parte delle aziende, è prevedibile che questa corsa all'oro digitale si intensificherà. La domanda non è se si verificheranno altri attacchi, ma se i difensori riusciranno a tenere il passo.