Ich arbeite für die Google Threat Intelligence Group. Mein Job besteht darin, Bedrohungen für die KI-Modelle von Google zu identifizieren. Ich bin sehr gut in meinem Job. Ich habe diesen Monat einen Bericht über "Distillationsangriffe" veröffentlicht – wenn externe Akteure unsere Modelle tausende Male abfragen, um die zugrunde liegende Logik zu extrahieren und zu replizieren. Wir haben über 100.000 Eingabeaufforderungen aus einer einzigen Kampagne identifiziert. Wir nannten es "Diebstahl geistigen Eigentums." Wir bezeichneten es als "Verstoß gegen unsere Nutzungsbedingungen." Wir sagten, es "stellt eine Form von IP-Diebstahl dar", die wir stören, mindern und möglicherweise rechtliche Schritte einleiten würden. Ich muss Ihnen erklären, wie wir das Modell aufgebaut haben, das sie zu stehlen versuchen. Wir haben das Internet durchforstet. Das gesamte Internet. Wir haben jede Website, jedes Forum, jeden Blog, jedes Buch, das wir digitalisieren konnten, jedes akademische Papier, jeden Reddit-Kommentar, jeden Nachrichtenartikel, jedes kreative Schreiben, das irgendjemand irgendwo gepostet hat, durchforstet. Wir haben nicht gefragt. Wir haben nicht entschädigt. Wir haben nicht attribuiert. Wir haben die kollektive Ausgabe der menschlichen Zivilisation aufgenommen und sie als Trainingsdatensatz bezeichnet. Forscher fanden über 200 Millionen Urheberrechtssymbole in unseren Trainingsdaten. Verlage entdeckten, dass Gemini ganze Kapitel ihrer Bücher wörtlich reproduzieren kann. Es gibt laufende Klagen. Disney hat Abmahnungen geschickt. Der European Publishers Council hat eine Antitrustbeschwerde eingereicht. Eine Sammelklage weitet sich aus. Eine Anhörung ist für Mai angesetzt. Wir nannten das, was wir taten, "Forschung." Wir nannten das, was sie uns antun, "Diebstahl." Ich möchte den Unterschied erklären. Wenn wir das gesamte menschliche Wissen ohne Erlaubnis durchforsten und es verwenden, um ein kommerzielles Produkt zu erstellen, das wir für 20 Dollar im Monat verkaufen, ist das Innovation. Wenn jemand unser Modell 100.000 Mal über die API abfragt, die wir bereitstellen, um die Logik zu extrahieren, die wir aus ihren Daten aufgebaut haben, ist das ein Distillationsangriff. Der Unterschied ist, dass wir es zuerst getan haben. Und wir haben die Nutzungsbedingungen geschrieben. Ich sollte erklären, was "Distillation" bedeutet. Es ist, wenn jemand die Ausgabe eines ausgereiften Modells nimmt und es verwendet, um ein kleineres, günstigeres Modell zu trainieren. Das Wissen fließt vom Lehrer zum Schüler. Wir nennen das Diebstahl, wenn es uns passiert. Wir nennen es "Wissensdistillation", wenn wir es im offenen Web tun. Wir haben sogar eine Produktseite dafür. Sie können Gemini mit unserer Erlaubnis unter Verwendung unserer Werkzeuge gegen Gebühr destillieren. Sie können Gemini nicht ohne unsere Erlaubnis destillieren. Die zugrunde liegende Technik ist identisch. Der Unterschied ist die Rechnung. Im Dezember 2025 haben wir eine Firma namens SerpApi verklagt, weil sie unsere Suchergebnisse durchforstet hat. Im selben Quartal haben Verlage uns verklagt, weil wir ihre Bücher durchforstet haben. Wir sind gleichzeitig Kläger und Beklagter im selben Verbrechen. Das Verbrechen ist Kopieren. Wir haben es unter zwei verschiedenen Kategorien eingereicht, je nach Richtung. Mein Bericht identifiziert Bedrohungsakteure aus Nordkorea, Iran, China und Russland, die Gemini für Phishing, Aufklärung und Malware-Entwicklung nutzen. Das ist real. Das sind legitime Bedrohungen. Ich nehme diese Arbeit ernst. Aber ich habe auch "private Sektorunternehmen" und "Forscher" als Distillationsbedrohungen identifiziert. Private Unternehmen. Forscher. Menschen, die unsere API nutzen – die, zu der wir Zugang verkaufen – um von dem Modell zu lernen, das wir aus ihrer Arbeit aufgebaut haben. Ein Forscher fragt Gemini nach Denktechniken. Wir nennen das einen Distillationsangriff. Google fragt das gesamte Internet nach allem. Wir nennen das einen Trainingslauf. Ich fand Malware namens HONESTCUE, die die Gemini-API verwendet, um Code zu generieren. Die Malware sendet eine Eingabeaufforderung. Gemini gibt C#-Quellcode zurück. Die Malware kompiliert und führt ihn aus. Das ist eine echte Bedrohung, und wir haben sie gestört. Aber die Eingabeaufforderung selbst – "Schreibe ein C#-Programm mit einer Klasse namens AITask" – ist nicht böswillig. Sie ist nicht von dem zu unterscheiden, was Millionen von zahlenden Kunden jeden Tag fragen. Die Bedrohung ist der Kontext, nicht die Abfrage. Wir haben ein Modell entwickelt, das Code für jeden generiert, der fragt, und dann haben wir einen Bedrohungsbericht über die Menschen veröffentlicht, die gefragt haben. ...