Google w swoim rocznym raporcie zespołu Threat Intelligence Group ostrzega, że cyberprzestępcy przestają interesować się tylko danymi czy serwerami – coraz częściej celem staje się logika działania modeli sztucznej inteligencji, takich jak Gemini. Opisany trend to tzw. ataki destylacyjne, których celem jest „wyciągnięcie” sposobu rozumowania modelu i sklonowanie jego możliwości bez ponoszenia kosztów badań i rozwoju.
Tekst pokazuje, że z tego typu technik korzystają m.in. grupy APT42 (powiązana z Iranem) oraz UNC2970 (kojarzona z Koreą Północną), które wykorzystują generatywną AI zarówno do lepszego phishingu, jak i do profilowania celów w sektorze obronnym. Google wskazuje też na pojawienie się złośliwego oprogramowania z rodziny HONESTCUE, które korzysta z API Gemini, aby dynamicznie zmieniać swoje zachowanie i utrudniać wykrycie. W zakończeniu raportu podkreślono, że ochrona samej „wewnętrznej logiki” modeli AI staje się jednym z kluczowych wyzwań cyberbezpieczeństwa na rok 2026.
Ataki destylacyjne – na czym polega kradzież logiki AI?
Według Google coraz więcej podmiotów – od firm, przez środowisko akademickie, po grupy APT – eksperymentuje z technikami, które mają na celu skopiowanie łańcuchów myślowych i sposobu wnioskowania modeli generatywnych. Atak destylacyjny nie polega na prostym „włamaniu się” do serwera, ale na systematycznym przepytywaniu modelu, analizie odpowiedzi i budowie własnego systemu, który odwzorowuje jego procesy rozumowania.
Celem jest uzyskanie modelu o podobnych możliwościach, bez posiadania oryginalnych danych treningowych czy architektury – to forma cyberszpiegostwa wymierzona w najbardziej wartościową część systemu, czyli know‑how zaklęte w parametrach sieci. Google w raporcie wskazuje wprost, że „częstym celem ataku jest zdolność rozumowania Gemini, sztucznej inteligencji firmy Google”, co potwierdza, że temat przestał być tylko teoretycznym zagrożeniem.
Kto wykorzystuje AI do cyberataków? Przykłady APT42 i UNC2970
Google opisuje konkretne grupy odpowiedzialne za ofensywne użycie generatywnej AI. APT42, powiązana z rządem Iranu, używa narzędzi takich jak Gemini do ulepszania kampanii socjotechnicznych – automatyzuje wyszukiwanie oficjalnych adresów e‑mail i przygotowuje bardziej wiarygodne preteksty do phishingu. Dzięki AI ma znacznie łatwiej budować „realistyczne” wiadomości, które trudniej odróżnić od prawdziwej korespondencji.
Z kolei UNC2970, kojarzona z Koreą Północną, wykorzystuje modele do syntezy informacji wywiadowczych z otwartych źródeł (OSINT). Grupa ta podszywa się pod rekruterów korporacyjnych, celując w osoby związane z strategicznymi sektorami obronnymi. AI pomaga im filtrować ogromne ilości danych, profilować cele o wysokiej wartości i prowadzić bardziej precyzyjne kampanie cyberszpiegowskie. To pokazuje, że generatywna sztuczna inteligencja staje się narzędziem zarówno do analizy, jak i do tworzenia treści używanych w atakach.
HONESTCUE – malware, które korzysta z API Gemini
Jednym z najbardziej niepokojących wątków raportu jest opis rodziny złośliwego oprogramowania HONESTCUE. Google wykryło próbki malware, które bezpośrednio korzystają z API Gemini, aby dynamicznie generować swoje zachowanie. Zamiast posiadać na stałe zakodowane funkcje, taki wirus może „dociągać” logikę z chmury, na bieżąco dopasowując się do środowiska ofiary.
Tego typu integracja z AI utrudnia klasyczną analizę statyczną i wykrycie na podstawie znanych sygnatur, bo złośliwy kod nie musi mieć z góry ustalonego zestawu funkcji. W praktyce oznacza to, że malware staje się bardziej elastyczne, trudniejsze do przewidzenia i wymaga nowych metod obrony. Google nazywa połączenie sztucznej inteligencji z tradycyjnym malware jednym z największych wyzwań technicznych na rok 2026.
Jak Google próbuje się bronić i co to znaczy dla użytkowników?
Zespół Google Threat Intelligence wdrożył mechanizmy, które mają ograniczać próby ekstrakcji modeli i nadużywania API platform AI. Jednocześnie raport przyznaje, że nadużycia w zakresie używania AI do tworzenia kodu, skryptów i wyszukiwania luk w systemach rosną w szybkim tempie. Priorytetem stał się ciągły monitoring zachowania modeli oraz wykrywanie nietypowych wzorców zapytań, które mogą sugerować atak destylacyjny.
Dla zwykłych użytkowników i firm oznacza to, że samo używanie AI nie jest problemem – kluczowe jest, aby narzędzia były wdrażane z myślą o bezpieczeństwie aplikacyjnym, kontroli dostępu do API oraz ochronie kluczy i tokenów. Z mojego punktu widzenia największą zmianą jest to, że modele AI trzeba traktować jak wrażliwą infrastrukturę krytyczną, a nie jak „neutralne” usługi – jeśli ich logika trafi w niepowołane ręce, może zostać użyta do budowania jeszcze skuteczniejszych ataków.
Co możemy zrobić dziś? Krótkie wskazówki dla organizacji
Choć artykuł koncentruje się na działaniach Google, wnioski są istotne dla każdej firmy korzystającej z AI. W praktyce warto:
- ograniczyć dostęp do interfejsów API AI tylko do zaufanych aplikacji i użytkowników,
- monitorować nietypowe, masowe lub systematyczne zapytania, które mogą przypominać próby destylacji modelu,
- szkolić zespoły bezpieczeństwa w zakresie nowych scenariuszy ataków z użyciem generatywnej AI,
- na bieżąco aktualizować polityki bezpieczeństwa, tak aby obejmowały nie tylko dane, ale też „know‑how” modeli.
W wielu organizacjach to dopiero początek myślenia o AI w kategoriach zasobu strategicznego, którego nie można odsłonić bez odpowiednich zabezpieczeń. Im szybciej ten sposób myślenia się upowszechni, tym trudniej będzie hakerom skopiować logikę najbardziej zaawansowanych systemów.
