Jag arbetar för Google Threat Intelligence Group. Mitt jobb är att identifiera hot mot Googles AI-modeller. Jag är väldigt bra på mitt jobb. Jag publicerade en rapport denna månad om "destillationsattacker" – när externa aktörer frågar våra modeller tusentals gånger för att extrahera den underliggande logiken och replikera den. Vi identifierade över 100 000 prompts från en enda kampanj. Vi kallade det "stöld av immateriella rättigheter." Vi kallade det ett "brott mot våra användarvillkor." Vi sa att det "representerar en form av immaterialrättsstöld" som vi skulle störa, mildra och eventuellt vidta rättsliga åtgärder mot. Jag måste berätta hur vi byggde modellen de försöker stjäla. Vi skrapade på internet. Hela internet. Vi genomsökte varje webbplats, varje forum, varje blogg, varje bok vi kunde digitalisera, varje akademisk artikel, varje Reddit-kommentar, varje nyhetsartikel, varje kreativ text som någon någonsin publicerat någonstans. Vi frågade inte. Vi kompenserade inte. Vi attribuerade inte. Vi tog in den kollektiva produktionen från mänsklig civilisation och kallade det en träningsdatamängd. Forskare hittade över 200 miljoner upphovsrättssymboler i våra träningsdata. Förlagen upptäckte att Gemini kan återge hela kapitel i deras böcker ordagrant. Det pågår pågående rättsprocesser. Disney skickade upphör-och-avstå-brev. Europeiska förlagsrådet lämnade in en konkurrensrättslig anmälan. En grupptalan växer. En förhandling är planerad till maj. Vi kallade det vi gjorde för "forskning." Vi kallade det de gör mot oss för "stöld." Jag vill förklara skillnaden. När vi skrapar all mänsklig kunskap utan tillstånd och använder den för att bygga en kommersiell produkt vi säljer för 20 dollar i månaden, då är det innovation. När någon frågar vår modell 100 000 gånger via API:et vi tillhandahåller för att extrahera det resonemang vi byggt från deras data, är det en destillationsattack. Skillnaden är att vi gjorde det först. Och vi skrev användarvillkoren. Jag borde förklara vad "destillation" betyder. Det är när någon tar resultatet från en mogen modell och använder det för att träna en mindre, billigare modell. Kunskapen flödar från läraren till eleven. Vi kallar detta stöld när det händer oss. Vi kallar det "kunskapsdestillation" när vi gör det på det öppna webben. Vi har till och med en produktsida för det. Du kan destillera Gemini, med vårt tillstånd, med våra verktyg, mot en avgift. Du kan inte destillera Gemini utan vårt tillstånd. Den underliggande tekniken är densamma. Skillnaden är fakturan. I december 2025 stämde vi ett företag som heter SerpApi för att ha skrapat våra sökresultat. Under samma kvartal stämde förlagen oss för att vi skrapade deras böcker. Vi är samtidigt kärande och svarande i samma brott. Brottet är att kopiera. Vi har sorterat det under två olika kategorier beroende på riktning. Min rapport identifierar hotaktörer från Nordkorea, Iran, Kina och Ryssland som använder Gemini för nätfiske, spaning och utveckling av skadlig kod. Det här är verkligt. Detta är legitima hot. Jag tar detta arbete på allvar. Men jag identifierade också "privata aktörer" och "forskare" som destillationshot. Privata företag. Forskare. Människor som använder vårt API – det vi säljer tillgång till – för att lära sig av modellen vi byggt utifrån deras arbete. En forskare frågar tvillingarna om resonemangstekniker. Vi kallar detta en destillationsattack. Google söker igenom hela internet om allt. Vi kallar detta en träningsrunda. Jag hittade skadlig kod som heter HONESTCUE som använder Geminis API för att generera kod. Skadlig programvara skickar en prompt. Gemini returnerar källkoden till C#. Skadlig kod kompilerar och kör den. Detta är ett verkligt hot, och vi störde det. Men prompten i sig — "Skriv ett C#-program med en kurs som heter AITask" — är inte illvillig. Det är omöjligt att skilja från vad miljontals betalande kunder efterfrågar varje dag. Hotet är kontexten, inte frågan. Vi byggde en modell som genererar kod för alla som frågar, och sedan publicerade vi en hotrapport om personer som frågade. ...