Más de 100.000 prompts para “robar” Gemini: así intentaron replicar el modelo de Google
La gran G detectó rápido el ataque
Entrenar a un modelo de IA no es precisamente barato. Y parece que un grupo de amantes de lo ajeno han intentado clonar a Gemini de Google con un recurso muy curioso: nada más y nada menos que 100.000 prompts, para preguntarle sin descanso.
O esto es lo que se desprende de un informe reciente del equipo de Threat Intelligence Group de la compañía y que revela que un actor lanzó más de 100.000 prompts contra Gemini en lo que Google describe como un intento de “extracción de modelo” a gran escala.
Cómo funciona este sistema para clonar a Gemini
Google asegura que detectó la actividad en tiempo real, bloqueó las cuentas implicadas y reforzó sus protecciones para evitar que se expongan detalles internos del razonamiento del sistema. No ha señalado a ningún sospechoso concreto, aunque apunta a que la mayoría de estos intentos provienen de empresas privadas y grupos de investigación que buscan ventaja competitiva.
¿Y cómo lo han intentado? La idea de los atacantes no era mala en absoluto: hacer suficientes preguntas, analizar las respuestas y utilizar esos datos para entrenar un sistema competidor que imite su comportamiento. Este tipo de prácticas se conoce como “distillation attack”. No implica hackear servidores ni vulnerar sistemas internos.
De hecho, los atacantes utilizaron acceso legítimo a la API. El problema, según Google, es que el objetivo no era utilizar la herramienta como usuario final, sino estudiar sus patrones de razonamiento, su forma de estructurar respuestas y su capacidad para resolver tareas en distintos idiomas.
Uno de los focos principales habría sido precisamente la capacidad de razonamiento. Gemini no muestra de forma abierta toda su cadena interna de pensamiento, pero los atacantes habrían intentado forzar respuestas más detalladas para inferir cómo llega a determinadas conclusiones. Si consigues suficiente información, puedes intentar reproducir ese comportamiento en otro modelo.
El informe también menciona otros usos indebidos, desde campañas de phishing asistidas por IA hasta malware capaz de llamar a la API de Gemini para generar código sobre la marcha. En todos los casos, Google afirma haber actuado desactivando cuentas y ajustando salvaguardas.
La gran pregunta es si este tipo de intentos se volverán habituales. Todo apunta a que sí. Cuanto más dependan las empresas de modelos entrenados con datos sensibles y personalizados, mayor será el incentivo para intentar copiarlos o, al menos, aproximarse a su rendimiento. La inteligencia artificial no se puede desmontar fácilmente, pero sí se puede interrogar hasta el límite. Y ahí es donde empieza una nueva batalla tecnológica que van a tener que lidiar los pesos pesados del sector.