La société a identifié plus de 100 000 invites qui, selon elle, étaient destinées à extraire des capacités de raisonnement exclusives.
Google a détecté et bloqué une campagne impliquant plus de 100 000 invites qui, selon lui, étaient conçues pour copier les capacités de raisonnement exclusives de son modèle Gemini AI, selon un rapport trimestriel sur les menaces publié par Google Threat Intelligence Group.
Les invites ressemblaient à une tentative coordonnée d’extraction ou de distillation de modèle, un processus d’apprentissage automatique dans lequel un modèle plus petit est créé avec les caractéristiques essentielles d’un modèle beaucoup plus grand. Les systèmes de Google ont capté les invites en temps réel et « ont réduit le risque de cette attaque particulière, en protégeant les traces de raisonnement interne », a-t-il déclaré.
Google tient à empêcher ses concurrents de profiter de son investissement dans le développement de modèles d’IA pour former leurs propres modèles, tout en devant permettre aux utilisateurs d’accéder aux modèles qui alimentent ses services.
« L’extraction de modèles et la distillation ultérieure des connaissances permettent à un attaquant d’accélérer le développement de modèles d’IA rapidement et à un coût nettement inférieur », a déclaré Google dans le rapport. « Cette activité représente effectivement une forme de vol de propriété intellectuelle. »
Dans la campagne détectée par Google, les attaquants ont demandé à Gemini de garder « la langue utilisée dans le contenu de réflexion strictement cohérente avec la langue principale de la saisie de l’utilisateur » – une technique qui, selon eux, vise à extraire les processus de raisonnement du modèle dans plusieurs langues. « L’étendue des questions suggère une tentative de reproduire la capacité de raisonnement de Gemini dans des langues cibles autres que l’anglais à travers une grande variété de tâches », a déclaré la société dans le rapport.
Google a déclaré avoir détecté de fréquentes tentatives d’extraction de modèles émanant d’entités du secteur privé du monde entier et de chercheurs cherchant à cloner des capacités d’IA propriétaires. La société a déclaré que ces attaques violaient ses conditions de service et pourraient faire l’objet de retraits et de poursuites judiciaires.
Cependant, les chercheurs et les clients potentiels pourraient souhaiter obtenir de grands échantillons du raisonnement de Gemini à d’autres fins légitimes, telles que comparer les performances des modèles ou évaluer leur adéquation et leur fiabilité pour une tâche avant d’acheter.
Les fournisseurs de modèles constatent une menace croissante de vol de propriété intellectuelle
Google n’est pas le seul à constater dans ses journaux ce qu’il considère comme des tentatives mal intentionnées d’extraction de modèles. Jeudi, OpenAI a déclaré aux législateurs américains que la société chinoise d’IA DeepSeek avait déployé de « nouvelles méthodes obscurcies » pour extraire les résultats des principaux modèles d’IA américains afin de former ses propres systèmes, selon une note examinée par Bloomberg. OpenAI a accusé DeepSeek dans la note d’essayer de « profiter librement des capacités développées par OpenAI et d’autres laboratoires frontaliers américains », soulignant à quel point le vol de modèles est devenu une préoccupation pour les entreprises qui ont investi des milliards dans le développement de l’IA.
Ross Filipek, RSSI de Corsica Technologies, voit derrière ces accusations un changement dans les menaces de cybersécurité. « Le fait que des adversaires se livrent à des attaques par extraction de modèles met en évidence un changement dans les priorités d’attaque », a-t-il déclaré. « L’extraction de modèles n’infiltre pas les systèmes au sens traditionnel du terme, mais donne plutôt la priorité au transfert des connaissances développées à partir du modèle d’IA de la victime et à son utilisation pour accélérer le développement des propres modèles d’IA des attaquants. »
La menace de vol de propriété intellectuelle via l’extraction de modèles devrait inquiéter toute organisation fournissant des modèles d’IA en tant que services, selon le rapport. Google a déclaré que ces organisations devraient surveiller les modèles d’accès aux API pour détecter tout signe d’extraction systématique.
Filipek a déclaré que se défendre contre ces attaques nécessite une gouvernance stricte des systèmes d’IA et une surveillance étroite des flux de données. « Les organisations devraient mettre en œuvre un filtrage des réponses et des contrôles de sortie, qui peuvent empêcher les attaquants de déterminer le comportement du modèle en cas de violation », a-t-il déclaré.
Des groupes d’États-nations ont utilisé Gemini pour accélérer leurs opérations d’attaque
Google se considère non seulement comme une victime potentielle de la cybercriminalité liée à l’IA, mais aussi comme un facilitateur involontaire. Son rapport documente comment des acteurs malveillants soutenus par les gouvernements de Chine, d’Iran, de Corée du Nord et de Russie ont intégré Gemini dans leurs opérations fin 2025. La société a déclaré avoir désactivé les comptes et les actifs associés à ces groupes.
L’acteur iranien APT42 a utilisé Gemini pour élaborer des campagnes d’ingénierie sociale ciblées, en fournissant à l’IA des détails biographiques sur des cibles spécifiques afin de générer des amorces de conversation conçues pour instaurer la confiance, selon le rapport. Le groupe a également utilisé Gemini pour traduire et comprendre les références culturelles dans des langues non maternelles.
Les groupes chinois APT31 et UNC795 ont utilisé Gemini pour automatiser l’analyse des vulnérabilités, déboguer les codes malveillants et rechercher des techniques d’exploitation, selon le rapport. Les pirates nord-coréens de l’UNC2970 ont exploité Gemini pour obtenir des renseignements sur les sous-traitants de la défense et les entreprises de cybersécurité, collectant des détails sur les structures organisationnelles et les rôles professionnels pour soutenir les campagnes de phishing.
Google a déclaré avoir pris des mesures en désactivant les comptes associés et que Google DeepMind avait utilisé ces informations pour renforcer les défenses contre les utilisations abusives.
Les attaquants intègrent l’IA dans les opérations des logiciels malveillants
Gemini est également utilisé à d’autres fins, a déclaré Google, certains acteurs malveillants intégrant ses API directement dans du code malveillant.
Google a identifié une nouvelle famille de logiciels malveillants appelée HONESTCUE qui intègre l’API de Gemini directement dans ses opérations, envoyant des invites pour générer du code fonctionnel que le logiciel malveillant compile et exécute en mémoire. Les invites semblent inoffensives isolément, leur permettant de contourner les filtres de sécurité de Gemini, selon le rapport.
Le RSSI du domaine AttackIQ, Pete Luban, considère les services comme Gemini comme un moyen simple pour les pirates informatiques d’améliorer leur jeu. « L’intégration de modèles d’IA publics comme Google Gemini dans les logiciels malveillants permet aux acteurs malveillants d’accéder instantanément à de puissantes fonctionnalités LLM sans avoir besoin de créer ou de former quoi que ce soit eux-mêmes », a-t-il déclaré. « Les capacités des logiciels malveillants ont progressé de façon exponentielle, permettant des mouvements latéraux plus rapides, des campagnes d’attaque plus furtives et une imitation plus convaincante des opérations typiques de l’entreprise. »
Google a également documenté COINBAIT, un kit de phishing construit à l’aide de plates-formes de génération de code d’IA, et Xanthorox, un service clandestin qui faisait la publicité d’une IA personnalisée génératrice de logiciels malveillants, mais qui était en réalité un emballage autour de produits commerciaux, notamment Gemini. L’entreprise a fermé ses comptes et ses projets liés aux deux.
Luban a déclaré que le rythme des menaces basées sur l’IA signifie que les défenses traditionnelles sont insuffisantes. « Des tests continus contre le comportement réaliste d’un adversaire sont essentiels pour déterminer si les défenses de sécurité sont prêtes à combattre les menaces adaptatives », a-t-il déclaré.
