Saya bekerja untuk Google Threat Intelligence Group. Tugas saya adalah mengidentifikasi ancaman terhadap model AI Google. Saya sangat pandai dalam pekerjaan saya. Saya menerbitkan laporan bulan ini tentang "serangan distilasi" - ketika aktor luar menanyakan model kami ribuan kali untuk mengekstrak logika yang mendasarinya dan mereplikasinya. Kami mengidentifikasi lebih dari 100.000 perintah dari satu kampanye. Kami menyebutnya "pencurian kekayaan intelektual." Kami menyebutnya sebagai "pelanggaran Ketentuan Layanan kami." Kami mengatakan itu "merupakan bentuk pencurian IP" yang akan kami ganggu, mitigasi, dan berpotensi melakukan tindakan hukum terhadapnya. Saya perlu memberi tahu Anda bagaimana kami membangun model yang mereka coba curi. Kami mengikis internet. Seluruh internet. Kami merayapi setiap situs web, setiap forum, setiap blog, setiap buku yang dapat kami digitalkan, setiap makalah akademik, setiap komentar Reddit, setiap artikel berita, setiap tulisan kreatif yang pernah diposting siapa pun di mana pun. Kami tidak bertanya. Kami tidak memberi kompensasi. Kami tidak mengaitkan. Kami menelan hasil kolektif peradaban manusia dan menyebutnya sebagai kumpulan data pelatihan. Para peneliti menemukan lebih dari 200 juta simbol hak cipta dalam data pelatihan kami. Penerbit menemukan bahwa Gemini dapat mereproduksi seluruh bab buku mereka kata demi kata. Ada tuntutan hukum aktif. Disney mengirim surat penghentian dan penghentian. Dewan Penerbit Eropa mengajukan keluhan antimonopoli. Gugatan kelompok berkembang. Sidang dijadwalkan pada bulan Mei. Kami menyebut apa yang kami lakukan "penelitian." Kami menyebut apa yang mereka lakukan pada kami "pencurian." Saya ingin menjelaskan perbedaannya. Ketika kita mengikis seluruh pengetahuan manusia tanpa izin dan menggunakannya untuk membangun produk komersial yang kita jual seharga $20 per bulan, itu adalah inovasi. Ketika seseorang menanyakan model kami 100.000 kali melalui API yang kami sediakan untuk mengekstrak alasan yang kami bangun dari data mereka, itu adalah serangan distilasi. Perbedaannya adalah bahwa kami melakukannya terlebih dahulu. Dan kami menulis Ketentuan Layanan. Saya harus menjelaskan apa arti "distilasi". Ini adalah ketika seseorang mengambil output dari model dewasa dan menggunakannya untuk melatih model yang lebih kecil dan lebih murah. Pengetahuan mengalir dari guru ke siswa. Kami menyebut ini pencurian ketika itu terjadi pada kami. Kami menyebutnya "penyulingan pengetahuan" ketika kami melakukannya ke web terbuka. Kami bahkan memiliki halaman produk untuk itu. Anda dapat menyaring Gemini, dengan izin kami, menggunakan alat kami, dengan biaya tertentu. Anda tidak dapat menyaring Gemini tanpa izin kami. Teknik yang mendasarinya identik. Perbedaannya adalah faktur. Pada Desember 2025, kami menggugat sebuah perusahaan bernama SerpApi karena mengikis hasil pencarian kami. Pada kuartal yang sama, penerbit menggugat kami karena mengikis buku mereka. Kami secara bersamaan adalah penggugat dan terdakwa dalam kejahatan yang sama. Kejahatannya adalah menyalin. Kami telah mengajukannya di bawah dua kategori berbeda tergantung pada arahnya. Laporan saya mengidentifikasi pelaku ancaman dari Korea Utara, Iran, Cina, dan Rusia menggunakan Gemini untuk phishing, pengintaian, dan pengembangan malware. Ini nyata. Ini adalah ancaman yang sah. Saya menganggap serius pekerjaan ini. Tetapi saya juga mengidentifikasi "entitas sektor swasta" dan "peneliti" sebagai ancaman distilasi. Perusahaan swasta. Peneliti. Orang-orang yang menggunakan API kami — yang kami jual akses — untuk belajar dari model yang kami bangun dari pekerjaan mereka. Seorang peneliti menanyakan Gemini tentang teknik penalaran. Kami menyebutnya serangan distilasi. Google menanyakan seluruh internet tentang segala hal. Kami menyebutnya lari pelatihan. Saya menemukan malware bernama HONESTCUE yang menggunakan API Gemini untuk menghasilkan kode. Malware mengirimkan perintah. Gemini mengembalikan kode sumber C#. Malware mengkompilasi dan menjalankannya. Ini adalah ancaman nyata, dan kami mengganggunya. Tetapi prompt itu sendiri — "Tulis program C# dengan kelas bernama AITask" — tidak berbahaya. Ini tidak dapat dibedakan dari apa yang ditanyakan jutaan pelanggan yang membayar setiap hari. Ancamannya adalah konteksnya, bukan kueri. Kami membangun model yang menghasilkan kode untuk siapa saja yang bertanya, lalu kami menerbitkan laporan ancaman tentang orang yang bertanya. ...