Google Gemini sotto attacco: 100mila prompt per clonare l’AI
Google ha fermato oltre 100mila richieste coordinate contro Gemini. Nel mirino la “model extraction” e la sicurezza dei modelli AI.
Google ha bloccato una campagna coordinata che ha inviato oltre 100.000 richieste al suo sistema di intelligenza artificiale Google Gemini con l’obiettivo di studiarne il funzionamento interno e replicarne le capacità. L’episodio, ricostruito nell’ultimo report del Google Threat Intelligence Group, riporta al centro il tema della sicurezza dei modelli linguistici e del loro valore industriale.
Secondo quanto comunicato dall’azienda, l’attività rientra nella categoria delle cosiddette model extraction o distillation attacks. Non si tratta di intrusioni tradizionali, ma di un utilizzo sistematico e ripetuto dell’API del modello per analizzare le risposte generate e tentare di ricostruirne la logica proprietaria.
Cos’è la “model extraction” e perché preoccupa Google?
Nel caso individuato, Gemini è stato bersagliato con più di 100.000 prompt, formulati per metterne alla prova le capacità di ragionamento anche in lingue diverse dall’inglese. L’obiettivo non era ottenere semplicemente una risposta, ma raccogliere indizi sui processi decisionali del modello, spingendosi oltre l’output finale.
Google considera questo tipo di attività una violazione della proprietà intellettuale e dei termini di servizio. I grandi modelli linguistici sono il risultato di investimenti miliardari e la loro architettura costituisce un vantaggio competitivo. Ricostruirne il comportamento attraverso un’analisi massiva delle risposte equivale, nella lettura dell’azienda, a tentare di appropriarsi di una tecnologia proprietaria.
Il report attribuisce la maggior parte di questi tentativi a entità del settore privato e a ricercatori distribuiti a livello globale, senza indicare nomi specifici. John Hultquist, analista capo del Threat Intelligence Group, ha spiegato che Google potrebbe essere soltanto il primo caso visibile di una tendenza destinata a coinvolgere anche modelli più piccoli e personalizzati sviluppati da altre organizzazioni.
Non solo clonazione: l’uso di Gemini nelle operazioni cyber
Il documento pubblicato da Google descrive anche un impiego crescente di Gemini da parte di gruppi legati a stati nazionali. Tra questi figura UNC2970, associato alla Corea del Nord, che avrebbe utilizzato il modello per raccogliere informazioni pubbliche e profilare obiettivi nel settore della difesa e della cybersecurity.
Secondo il report, attori collegati a Iran e Cina hanno sfruttato strumenti generativi per attività di ricognizione, traduzione e creazione di contenuti destinati a campagne di phishing. In altri casi l’intelligenza artificiale è stata impiegata per scrivere o correggere codice, analizzare vulnerabilità note e accelerare alcune fasi degli attacchi informatici.
Google precisa di non aver osservato violazioni dirette dei propri modelli di frontiera da parte di gruppi APT. Le attività di estrazione su larga scala sarebbero invece riconducibili principalmente a soggetti privati interessati a replicare logiche proprietarie.
Le contromisure e la sicurezza delle API
L’azienda afferma di aver individuato in tempo reale il traffico anomalo e di aver rafforzato i meccanismi di protezione per limitare l’esposizione degli elementi legati al ragionamento del modello. Gli account associati agli abusi sono stati disabilitati.
Il problema, tuttavia, resta strutturale. I modelli accessibili via API devono, per definizione, rispondere a richieste esterne. Ogni interazione produce una coppia domanda-risposta che può, almeno in teoria, essere riutilizzata come materiale di addestramento per un sistema concorrente. Come osserva il report, mantenere riservati i pesi del modello non è sufficiente se il comportamento resta osservabile attraverso le sue risposte.
