Google 表示其 AI 聊天機器人 Gemini 正面臨大規模「蒸餾攻擊」

Google 的 AI 聊天機器人 Gemini 已成為大規模資訊竊取的目標,攻擊者不斷向系統發送問題以複製其運作方式。僅一次行動就向該聊天機器人發送了超過 100,000 次查詢,試圖提取使其智能化的秘密模式。

該公司週四報告稱,這些所謂的「蒸餾攻擊」正在惡化。惡意行為者一波接一波地發送問題,以找出 Gemini 回應背後的邏輯。他們的目標很簡單:竊取 Google 的技術來建構或改進自己的 AI 系統,而無需花費數十億美元進行開發。

Google 認為大多數攻擊者是私人企業或研究人員,他們希望在不付出艱苦努力的情況下取得領先。根據該公司的報告,這些攻擊來自世界各地。領導 Google 威脅情報小組的 John Hultquist 表示,使用客製化 AI 工具的小型公司可能很快就會面臨類似的攻擊。

科技公司已投入數十億美元建構其 AI 聊天機器人。這些系統的內部運作被視為皇冠上的寶石。即使已設置防禦措施來捕捉這些攻擊,主要的 AI 系統仍然是容易攻擊的目標,因為任何能夠連接網路的人都可以與它們對話。

去年,OpenAI 指責中國公司 DeepSeek,聲稱其使用蒸餾技術來改進其模型。Cryptopolitan 於 1 月 30 日報導稱,在 OpenAI 指控這家中國公司使用蒸餾技術竊取其 AI 模型後,義大利和愛爾蘭禁止了 DeepSeek。這項技術讓公司能夠以極低的成本複製昂貴的技術。

攻擊者為何這樣做?

經濟效益是殘酷的。建構一個最先進的 AI 模型需要花費數億甚至數十億美元。據報導,DeepSeek 使用蒸餾技術以約 600 萬美元建構了其 R1 模型,而根據產業報告,ChatGPT-5 的開發成本超過了 20 億美元。竊取模型的邏輯將這筆巨額投資削減到幾乎為零。

Google 表示,針對 Gemini 的許多攻擊都針對幫助其「推理」或處理資訊的演算法。那些在敏感資料上訓練自己 AI 系統的公司——例如 100 年的交易策略或客戶資訊——現在面臨同樣的威脅。

「假設你的 LLM 已經在 100 年的交易方式秘密思維上進行了訓練。理論上,你可以蒸餾其中的一些內容,」Hultquist 解釋道。

國家級駭客加入狩獵

這個問題超越了追逐金錢的公司。APT31,一個在 2024 年 3 月受到美國制裁的中國政府駭客組織,去年底使用 Gemini 策劃了針對美國組織的實際網路攻擊。

根據 Google 的報告,該組織將 Gemini 與 Hexstrike 配對使用,這是一個可以運行超過 150 個安全程式的開源駭客工具。他們分析了遠端程式碼執行漏洞、繞過網路安全的方法以及 SQL 注入攻擊——所有這些都針對特定的美國目標。

Cryptopolitan 此前報導了類似的 AI 安全問題,警告駭客正在利用 AI 漏洞。APT31 案例顯示這些警告是完全正確的。

Hultquist 指出了兩個主要擔憂。對手在最少人工協助下進行整個入侵行動,以及自動化攻擊工具的開發。「這是對手可以獲得重大優勢並在最少人工干預的情況下完成入侵週期的兩種方式,」他說。

從發現軟體弱點到部署修復程式之間的時間窗口,稱為修補程式間隙,可能會大幅擴大。組織通常需要數週時間來部署防禦措施。隨著 AI 代理自動尋找和測試漏洞,攻擊者可以移動得更快。

「我們將不得不利用 AI 的優勢,並越來越多地將人類從循環中移除,以便我們能夠以機器速度做出回應,」Hultquist 告訴 The Register。

財務風險是巨大的。IBM 的 2024 年資料洩露報告發現,智慧財產權竊取現在使組織每筆記錄損失 173 美元,專注於智慧財產權的洩露事件年增率增加了 27%。AI 模型權重代表這個地下經濟中最高價值的目標——單個被竊取的前沿模型可能在黑市上獲取數億美元。

Google 已關閉與這些活動相關的帳戶,但 Hultquist 表示,攻擊持續來自「全球各地」。隨著 AI 變得更加強大,更多公司依賴它,預計這場數位淘金熱將會加劇。問題不在於是否會有更多攻擊到來,而在於防禦者是否能夠跟上。

透過指導和每日策略提升您的策略 - 30 天免費存取我們的交易計劃