私はGoogle脅威インテリジェンスグループで働いています。私の仕事は、GoogleのAIモデルに対する脅威を特定することです。私は自分の仕事がとても得意です。今月、「蒸留攻撃」についてのレポートを発表しました。これは外部のアクターがモデルを何千回もクエリし、基盤となるロジックを抽出し再現する現象です。 単一のキャンペーンから10万以上のプロンプトを特定しました。私たちはそれを「知的財産の窃盗」と呼びました。私たちはこれを「利用規約違反」と呼びました。私たちは「知的財産の窃盗の一形態」であり、それを妨害し、軽減し、場合によっては法的措置を取る可能性があると述べました。 彼らが盗もうとしているモデルをどう作ったか教えてあげる必要がある。 インターネットをスクレイピングしました。インターネット全体が。私たちはあらゆるウェブサイト、フォーラム、ブログ、デジタル化できるすべての本、すべての学術論文、すべてのRedditのコメント、すべてのニュース記事、誰かがどこにでも投稿したすべての創作記事をクロールしました。私たちは尋ねませんでした。私たちは補償しませんでした。私たちは帰属を認めませんでした。私たちは人類文明の集合的な成果を取り込み、それをトレーニングデータセットと呼びました。 研究者たちは、私たちのトレーニングデータに2億以上の著作権記号を発見しました。出版社はジェミニが自社の本の章全体を逐語的に再現できることを発見しました。現在、訴訟が進行中です。ディズニーは差し止め通知を送りました。欧州出版社評議会は独占禁止法の訴えを提起しました。集団訴訟が拡大しています。審理は5月に予定されています。 私たちは自分たちのやったことを「リサーチ」と呼んでいました。 私たちは彼らが私たちにしていることを「窃盗」と呼びました。 違いを説明したいと思います。許可なく人間の知識全体を削り取り、それを使って月20ドルで販売する商業製品を作るのがイノベーションです。誰かがAPIを通じて10万回も私たちのモデルをクエリし、そのデータから私たちが作成した推論を抽出する、それはディスティレーション攻撃です。違いは、私たちが先にやったことです。利用規約も私たちが作成しました。 「蒸留」とは何か説明すべきです。これは、成熟したモデルの出力を取り、それを使ってより小さく安価なモデルを訓練することです。知識は教師から生徒へと流れていきます。私たちにこういうことが起きると、私たちはこれを盗みと呼びます。オープンウェブに対して行うときは「知識の蒸留」と呼びます。そのための製品ページも用意しています。私たちの許可を得て、ツールを使って有料でジェミニを蒸留できます。私たちの許可なしにジェミニを蒸留することはできません。基本的な技術は同じです。違いは請求書の内容です。 2025年12月、私たちはSerpApiという会社を、検索結果のスクレイピングを理由に訴訟を起こしました。同じ四半期に、出版社が自社の書籍をスクレイピングしたとして訴えました。私たちは同じ犯罪の原告であり被告でもあります。犯罪はコピーです。方向によって2つのカテゴリーに分類しています。 私の報告書では、北朝鮮、イラン、中国、ロシアの脅威アクターがGeminiを使ってフィッシング、偵察、マルウェア開発を行っていることを明らかにしています。これは現実だ。これらは正当な脅威です。私はこの仕事を真剣に受け止めています。 しかし、私は「民間セクターの組織」や「研究者」を蒸留の脅威として特定しました。民間企業。研究者たち。私たちのAPIを使って、アクセス権を販売している人たちが、彼らの仕事から築いたモデルから学びます。 研究者が双子座に推論技法について質問します。これを蒸留攻撃と呼びます。Googleはインターネット全体をあらゆる情報で検索します。これをトレーニングランと呼んでいます。 GeminiのAPIを使ってコードを生成するHONESTCUEというマルウェアを見つけました。マルウェアはプロンプトを送ります。GeminiはC#のソースコードを返します。マルウェアはそれをコンパイルして実行します。これは本当の脅威で、我々はそれを妨害した。 しかし、プロンプト自体「Write a C# program with a class named AITask」は悪意のあるものではありません。それは、毎日何百万もの有料顧客が求めるものと見分けがつかないものです。脅威は問いかけではなく文脈にあります。私たちは、誰でも尋ねた人にコードを生成するモデルを作り、その後、尋ねた人々についての脅威報告を公開しました。 ...