Google zufolge ist sein KI-Chatbot Gemini groß angelegten „Destillationsangriffen“ ausgesetzt

Googles KI-Chatbot Gemini ist Ziel eines groß angelegten Datendiebstahls geworden. Angreifer bombardierten das System mit Fragen, um seine Funktionsweise zu kopieren. Allein bei einer Operation wurden über 100.000 Anfragen an den Chatbot gesendet, um die geheimen Muster zu entschlüsseln, die ihn intelligent machen.

Das Unternehmen berichtete am Donnerstag, dass diese sogenannten „Destillationsangriffe“ zunehmen. Angreifer senden eine Flut von Fragen, um die Logik hinter den Antworten von Gemini zu entschlüsseln. Ihr Ziel ist einfach: Googles Technologie zu stehlen, um eigene KI-Systeme zu entwickeln oder zu verbessern, ohne Milliarden in die Entwicklung investieren zu müssen.

Google geht davon aus, dass die meisten Angreifer private Unternehmen oder Forscher sind, die sich ohne großen Aufwand einen Vorteil verschaffen wollen. Laut dem Bericht . John Hultquist, Leiter der Threat Intelligence Group von Google, sagte, dass kleinere Unternehmen, die eigene KI-Tools einsetzen, wahrscheinlich bald mit ähnlichen Angriffen konfrontiert sein werden.

Technologieunternehmen haben Milliarden von Dollar in die Entwicklung ihrer KI-Chatbots investiert. Die Funktionsweise dieser Systeme wird wie ein Kronjuwel gehütet. Selbst mit vorhandenen Schutzmechanismen gegen solche Angriffe bleiben große KI-Systeme leichte Ziele, da jeder mit Internetzugang mit ihnen kommunizieren kann.

Letztes Jahr beschuldigte OpenAI das chinesische Unternehmen DeepSeek, seine Modelle mithilfe von Destillation zu verbessern. Cryptopolitan berichtete am 30. Januar, dass Italien und Irland DeepSeek verboten haben, nachdem OpenAI dem chinesischen Unternehmen vorgeworfen hatte, Destillation zum Diebstahl seiner KI-Modelle zu nutzen. Mit dieser Technik können Unternehmen teure Technologien zu einem Bruchteil der Kosten kopieren.

Warum tun Angreifer das?

Die Kosten sind enorm. Die Entwicklung eines hochmodernen KI-Modells kostet Hunderte von Millionen oder sogar Milliarden von Dollar. DeepSeek soll sein R1-Modell mithilfe von Destillation für rund sechs Millionen Dollar entwickelt haben, während die Entwicklung von ChatGPT-5 laut Branchenberichten über zwei Milliarden Dollar kostete. Durch das Kopieren der Modelllogik lässt sich diese enorme Investition auf nahezu null reduzieren.

Viele der Angriffe auf Gemini zielten laut Google auf die Algorithmen ab, die dem System helfen, Informationen zu verarbeiten und daraus Schlüsse zu ziehen. Unternehmen, die ihre eigenen KI-Systeme mit sensiblen Daten trainieren – wie beispielsweise 100 Jahre an Handelsstrategien oder Kundendaten –, sehen sich nun derselben Bedrohung ausgesetzt.

„Nehmen wir an, Ihr LLM-Absolvent wurde in 100 Jahren geheimer Denkweisen über Ihre Handelsstrategien ausgebildet. Theoretisch könnten Sie einiges davon herausfiltern“, erklärte Hultquist.

Staatlich gesteuerte Hacker beteiligen sich an der Jagd

Das Problem beschränkt sich nicht nur auf profitorientierte Unternehmen. APT31, eine chinesische Regierungshackergruppe, die im März 2024 mit US-Sanktionen belegt wurde, nutzte Gemini Ende letzten Jahres, um konkrete Cyberangriffe gegen amerikanische Organisationen zu planen.

Die Gruppe kombinierte Gemini mit Hexstrike, einem Open-Source-Hacking-Tool, das über 150 Sicherheitsprogramme ausführen kann. Laut Googles Bericht analysierten sie Schwachstellen zur Remotecodeausführung, Methoden zur Umgehung der Websicherheit und SQL-Injection-Angriffe – allesamt mit dem Ziel, bestimmte Ziele in den USA anzugreifen.

Cryptopolitan berichtete bereits zuvor über ähnliche Sicherheitsbedenken im Bereich KI und warnte davor , dass Hacker Schwachstellen in KI-Systemen ausnutzen. Der Fall APT31 zeigt, dass diese Warnungen berechtigt waren.

Hultquist wies auf zwei Hauptsorgen hin: Angreifer können Angriffe weitgehend selbstständig und mit minimaler menschlicher Unterstützung durchführen, und die Entwicklung von Angriffswerkzeugen wird automatisiert. „Auf diese beiden Arten können Angreifer sich entscheidende Vorteile verschaffen und den Angriffszyklus mit minimalem menschlichen Eingreifen durchlaufen“, sagte er.

Das Zeitfenster zwischen der Entdeckung einer Softwareschwachstelle und deren Behebung, die sogenannte Patch-Lücke, könnte sichmaticvergrößern. Unternehmen benötigen oft Wochen, um Schutzmaßnahmen zu implementieren. Da KI-Systeme Schwachstellenmaticfinden und testen, könnten Angreifer deutlich schneller agieren.

„Wir werden die Vorteile der KI nutzen und den Menschen zunehmend aus dem Prozess herausnehmen müssen, damit wir in Maschinengeschwindigkeit reagieren können“, sagte Hultquist gegenüber The Register.

Die finanziellen Einsätze sind enorm. Laut dem IBM-Bericht zu Datenschutzverletzungen aus dem Jahr 2024 kostet der Diebstahl geistigen Eigentums Unternehmen mittlerweile 173 US-Dollar pro Datensatz, wobei die Zahl der IP-bezogenen Verstöße im Vergleich zum Vorjahr um 27 % gestiegen ist. KI-Modellgewichte stellen die wertvollsten Ziele in diesem Schattenmarkt dar – ein einzelnes gestohlenes Spitzenmodell kann auf dem Schwarzmarkt Hunderte von Millionen einbringen.

Google hat zwar Konten im Zusammenhang mit diesen Kampagnen gesperrt, doch die Angriffe gehen weiter – und zwar „aus aller Welt“, so Hultquist. Da KI immer leistungsfähiger wird und immer mehr Unternehmen darauf setzen, dürfte sich dieser digitale Wettlauf noch verstärken. Die Frage ist nicht, ob es weitere Angriffe geben wird, sondern ob die Verteidiger mithalten können.

Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden .