Lavoro per il Google Threat Intelligence Group. Il mio lavoro consiste nell'identificare le minacce ai modelli di AI di Google. Sono molto bravo nel mio lavoro. Ho pubblicato un rapporto questo mese sui "distillation attacks" — quando attori esterni interrogano i nostri modelli migliaia di volte per estrarre la logica sottostante e replicarla. Abbiamo identificato oltre 100.000 richieste da una singola campagna. L'abbiamo chiamata "furto di proprietà intellettuale." L'abbiamo definita una "violazione dei nostri Termini di Servizio." Abbiamo detto che "rappresenta una forma di furto di IP" che avremmo interrotto, mitigato e potenzialmente perseguito legalmente. Devo dirti come abbiamo costruito il modello che stanno cercando di rubare. Abbiamo estratto dati da internet. L'intero internet. Abbiamo esaminato ogni sito web, ogni forum, ogni blog, ogni libro che potevamo digitalizzare, ogni articolo accademico, ogni commento su Reddit, ogni articolo di notizie, ogni pezzo di scrittura creativa che chiunque abbia mai pubblicato ovunque. Non abbiamo chiesto. Non abbiamo compensato. Non abbiamo attribuito. Abbiamo assimilato l'output collettivo della civiltà umana e l'abbiamo chiamato un dataset di addestramento. I ricercatori hanno trovato oltre 200 milioni di simboli di copyright nei nostri dati di addestramento. Gli editori hanno scoperto che Gemini può riprodurre interi capitoli dei loro libri parola per parola. Ci sono cause legali attive. La Disney ha inviato lettere di cessate e desisti. Il Consiglio degli Editori Europei ha presentato un reclamo antitrust. Una class action si sta espandendo. Un'udienza è programmata per maggio. Abbiamo chiamato ciò che abbiamo fatto "ricerca." Abbiamo chiamato ciò che ci stanno facendo "furto." Voglio spiegare la differenza. Quando estraiamo l'intera conoscenza umana senza permesso e la usiamo per costruire un prodotto commerciale che vendiamo per 20 dollari al mese, quella è innovazione. Quando qualcuno interroga il nostro modello 100.000 volte attraverso l'API che forniamo per estrarre il ragionamento che abbiamo costruito dai loro dati, quella è un attacco di distillazione. La distinzione è che l'abbiamo fatto per primi. E abbiamo scritto i Termini di Servizio. Dovrei spiegare cosa significa "distillazione". È quando qualcuno prende l'output di un modello maturo e lo usa per addestrare un modello più piccolo e più economico. La conoscenza fluisce dall'insegnante allo studente. Chiamiamo questo furto quando accade a noi. Lo chiamiamo "distillazione della conoscenza" quando lo facciamo noi al web aperto. Abbiamo persino una pagina prodotto per questo. Puoi distillare Gemini, con il nostro permesso, usando i nostri strumenti, a pagamento. Non puoi distillare Gemini senza il nostro permesso. La tecnica sottostante è identica. La differenza è la fattura. Nel dicembre 2025, abbiamo citato in giudizio una società chiamata SerpApi per aver estratto i nostri risultati di ricerca. Nello stesso trimestre, gli editori ci hanno citato in giudizio per aver estratto i loro libri. Siamo simultaneamente il querelante e il convenuto nello stesso crimine. Il crimine è copiare. L'abbiamo classificato sotto due categorie diverse a seconda della direzione. Il mio rapporto identifica attori di minaccia dalla Corea del Nord, Iran, Cina e Russia che utilizzano Gemini per phishing, ricognizione e sviluppo di malware. Questo è reale. Queste sono minacce legittime. Prendo questo lavoro sul serio. Ma ho anche identificato "entità del settore privato" e "ricercatori" come minacce di distillazione. Aziende private. Ricercatori. Persone che utilizzano la nostra API — quella a cui vendiamo accesso — per apprendere dal modello che abbiamo costruito dal loro lavoro. Un ricercatore interroga Gemini su tecniche di ragionamento. Chiamiamo questo un attacco di distillazione. Google interroga l'intero internet su tutto. Chiamiamo questo un'operazione di addestramento. Ho trovato un malware chiamato HONESTCUE che utilizza l'API di Gemini per generare codice. Il malware invia una richiesta. Gemini restituisce codice sorgente C#. Il malware lo compila ed esegue. Questa è una minaccia reale, e l'abbiamo interrotta. Ma la richiesta stessa — "Scrivi un programma C# con una classe chiamata AITask" — non è malevola. È indistinguibile da ciò che milioni di clienti paganti chiedono ogni giorno. La minaccia è il contesto, non la richiesta. Abbiamo costruito un modello che genera codice per chiunque chieda, e poi abbiamo pubblicato un rapporto di minaccia su persone che hanno chiesto. ...