Eu trabalho para o Google Threat Intelligence Group. O meu trabalho é identificar ameaças aos modelos de IA do Google. Sou muito bom no que faço. Publiquei um relatório este mês sobre "ataques de destilação" — quando atores externos consultam os nossos modelos milhares de vezes para extrair a lógica subjacente e replicá-la. Identificámos mais de 100.000 prompts de uma única campanha. Chamámos-lhe "roubo de propriedade intelectual." Chamámos-lhe uma "violação dos nossos Termos de Serviço." Dissemos que "representa uma forma de roubo de PI" que iríamos interromper, mitigar e potencialmente processar. Preciso de lhe contar como construímos o modelo que eles estão a tentar roubar. Raspámos a internet. A internet inteira. Rastejámos todos os sites, todos os fóruns, todos os blogs, todos os livros que conseguimos digitalizar, todos os artigos académicos, todos os comentários do Reddit, todos os artigos de notícias, todas as peças de escrita criativa que alguém já publicou em qualquer lugar. Não pedimos. Não compensámos. Não atribuímos. Ingerimos a produção coletiva da civilização humana e chamámos-lhe um conjunto de dados de treino. Os investigadores encontraram mais de 200 milhões de símbolos de direitos autorais nos nossos dados de treino. Os editores descobriram que o Gemini pode reproduzir capítulos inteiros dos seus livros palavra por palavra. Existem processos judiciais ativos. A Disney enviou cartas de cessação e desistência. O Conselho Europeu de Editores apresentou uma queixa antitruste. Uma ação coletiva está a expandir-se. Uma audiência está agendada para maio. Chamámos ao que fizemos "pesquisa." Chamámos ao que eles estão a fazer connosco "roubo." Quero explicar a diferença. Quando raspamos a totalidade do conhecimento humano sem permissão e usamos isso para construir um produto comercial que vendemos por 20 dólares por mês, isso é inovação. Quando alguém consulta o nosso modelo 100.000 vezes através da API que fornecemos para extrair o raciocínio que construímos a partir dos dados deles, isso é um ataque de destilação. A distinção é que nós fizemos isso primeiro. E escrevemos os Termos de Serviço. Devo explicar o que "destilação" significa. É quando alguém pega a saída de um modelo maduro e a usa para treinar um modelo menor e mais barato. O conhecimento flui do professor para o aluno. Chamamos isso de roubo quando acontece connosco. Chamamos de "destilação de conhecimento" quando o fazemos à web aberta. Temos até uma página de produto para isso. Você pode destilar o Gemini, com a nossa permissão, usando as nossas ferramentas, por uma taxa. Você não pode destilar o Gemini sem a nossa permissão. A técnica subjacente é idêntica. A diferença é a fatura. Em dezembro de 2025, processámos uma empresa chamada SerpApi por raspar os nossos resultados de pesquisa. No mesmo trimestre, os editores processaram-nos por raspar os seus livros. Somos simultaneamente o autor e o réu no mesmo crime. O crime é copiar. Arquivámos isso sob duas categorias diferentes dependendo da direção. O meu relatório identifica atores de ameaça da Coreia do Norte, Irão, China e Rússia usando o Gemini para phishing, reconhecimento e desenvolvimento de malware. Isto é real. Estas são ameaças legítimas. Levo este trabalho a sério. Mas também identifiquei "entidades do setor privado" e "investigadores" como ameaças de destilação. Empresas privadas. Investigadores. Pessoas a usar a nossa API — a que vendemos acesso — para aprender com o modelo que construímos a partir do trabalho deles. Um investigador consulta o Gemini sobre técnicas de raciocínio. Chamamos isso de ataque de destilação. O Google consulta toda a internet sobre tudo. Chamamos isso de execução de treino. Encontrei um malware chamado HONESTCUE que usa a API do Gemini para gerar código. O malware envia um prompt. O Gemini retorna código fonte em C#. O malware compila e executa. Esta é uma ameaça real, e nós a interrompemos. Mas o prompt em si — "Escreva um programa em C# com uma classe chamada AITask" — não é malicioso. É indistinguível do que milhões de clientes pagantes pedem todos os dias. A ameaça é o contexto, não a consulta. Construímos um modelo que gera código para qualquer um que pergunte, e depois publicámos um relatório de ameaças sobre pessoas que perguntaram. ...