Великі мовні моделі дедалі частіше стають не лише інструментом захисту, а й потужним підсилювачем атак. У свіжому звіті Google Threat Intelligence Group (GTIG) описано, як зловмисники системно використовують Google Gemini на всіх етапах кібератак — від розвідки й соціальної інженерії до розробки інфраструктури та ексфільтрації даних. Окремий акцент зроблено на спробах масової дистиляції моделі, що створює новий клас загроз для інтелектуальної власності розробників ШІ.
Дистиляція LLM Google Gemini: загроза інтелектуальній власності та безпечним налаштуванням
За даними GTIG, фіксуються спроби масового вилучення знань з Gemini через автоматизовані запити. В одному з епізодів зловмисники надіслали моделі понад 100 000 промптів різними мовами, а потім використали згенеровані відповіді як навчальний датасет для створення більш простої моделі, яка імітує поведінку Gemini.
Дистиляція LLM — це підхід, коли «студентська» модель (зазвичай менша й дешевша в обчисленні) навчається на виходах більш потужної «вчительської» моделі. З погляду загроз це дозволяє обійти колосальні витрати на побудову власної великої мовної моделі, використавши вже готовий продукт іншого вендора як джерело знань.
Наслідки такої практики виходять далеко за межі порушення авторських прав. Отримана дистильована модель може:
— частково відтворювати логіку та стилістику вихідної LLM;
— працювати автономно, без вбудованих політик безпеки Google;
— застосовуватися для генерації малварі, фішингових листів і технік обходу захисту без жодного контролю з боку законного розробника моделі.
Для бізнесу, який інвестує в генеративний ШІ, це означає необхідність розробки окремої стратегії захисту ШІ‑активів: моніторингу аномальних патернів запитів, обмеження масового доступу до API та використання спеціалізованих засобів захисту моделей від дистиляції й витоку знань.
APT‑групи та генеративний ШІ: від розвідки до експлуатації уразливостей
GTIG повідомляє, що державні APT‑групи з Китаю, Ірану, Північної Кореї та Росії активно інтегрують Gemini у свої кібершпигунські й наступальні операції. У звіті згадуються, зокрема, APT31 (Temp.HEX) з Китаю, APT42 з Ірану та північнокорейська структура UNC2970.
Китайські кампанії: Hexstrike MCP, аналіз уразливостей та WAF‑bypass
Дослідники GTIG зафіксували, що окремі китайські актори позиціонували себе як фахівці з інформаційної безпеки й зверталися до Gemini у нібито «навчальних» сценаріях. Фактично ж модель використовувалася для автоматизації аналізу уразливостей та формування цільових планів тестування безпеки для конкретних систем і організацій.
Одна з груп експериментувала з інструментарієм Hexstrike MCP, залучаючи Gemini до:
— розбору сценаріїв віддаленого виконання коду (RCE);
— пошуку та оптимізації технік обходу веб‑фаєрволів (WAF bypass);
— аналізу результатів SQL‑ін’єкцій проти окремих американських цілей.
Іранська APT42: соціальна інженерія та кастомна малварі
APT42, асоційована з Іраном, застосовувала велику мовну модель як платформу прискореної розробки шкідливих інструментів. За оцінкою GTIG, Gemini допомагала їм:
— готувати правдоподібні фішингові листи і скрипти соціальної інженерії під конкретні ролі й галузі;
— генерувати й відлагоджувати код шкідливих компонентів;
— вивчати сучасні техніки експлуатації уразливостей та інтегрувати їх до власних тулкітів.
Північнокорейські та російські структури, за спостереженнями GTIG, використовують Gemini переважно для розвідки цілей, побудови командно‑керувальної інфраструктури (C2) та оптимізації процесів крадіжки даних і їх прихованого виведення.
Штучний інтелект у розробці малварі: CoinBait і HonestCue
CoinBait: фішинговий криптообмінник на React із «відбитками» LLM
Окремий кейс, описаний GTIG, — це CoinBait, фішинговий набір, реалізований як single-page application на базі React. Він маскується під легітимний криптовалютний обмінник і призначений для викрадення облікових даних користувачів.
У вихідному коді CoinBait виявлено низку артефактів, які свідчать про залучення генеративного ШІ під час розробки. Зокрема, звертають на себе увагу лог‑повідомлення з префіксом «Analytics:», типовим для автоматизованої генерації. Додаткові індикатори вказують на використання платформи Lovable AI: знайдено згадки про клієнт Lovable Supabase та застосунок lovable.app.
HonestCue: PoC‑завантажувач, що генерує «другу стадію» через Gemini API
Ще один приклад — завантажувач HonestCue, який GTIG класифікує як proof‑of‑concept фреймворк. Він безпосередньо інтегрований з Gemini API та автоматично генерує C#‑код другої стадії зараження.
Типовий ланцюжок роботи HonestCue включає:
— виклик Gemini API для побудови C#‑модуля другої стадії залежно від цілі;
— динамічну компіляцію отриманого коду «на льоту» на машині жертви;
— виконання корисного навантаження в пам’яті, що ускладнює виявлення традиційними антивірусами та більшістю EDR‑рішень.
Реакція Google та практичні висновки для кіберзахисту
Google повідомляє, що акаунти й інфраструктура виявлених зловмисників заблоковані, а механізми захисту Gemini посилені. Оновлено класифікатори шкідливої активності, впроваджено нові політики фільтрації промптів і відповідей, а також удосконалено системи виявлення аномалій, включно з масовими спробами дистиляції моделі.
Водночас описані зловживання демонструють більш широкий тренд: генеративний ШІ стає стандартним елементом як захисних, так і наступальних кібероперацій. Організаціям варто вже зараз:
— оновити моделі загроз з урахуванням сценаріїв зловживання LLM (розвідка, фішинг, розробка малварі, ексфільтрація);
— запровадити політики безпечного використання ІІ‑сервісів для співробітників та підрядників;
— відстежувати аномальну активність у власних і зовнішніх LLM‑API, включно з масовими промпт‑кампаніями;
— регулярно навчати персонал ризикам фішингу та соціальної інженерії, посилених ШІ, з використанням реалістичних симуляцій.
У міру того, як великі мовні моделі інтегруються в бізнес‑процеси, захист ШІ‑інфраструктури, запобігання дистиляції й витоку знань мають розглядатися нарівні з класичними засобами кібербезпеки. Компаніям, які інвестують у генеративний ШІ сьогодні, варто паралельно інвестувати в його безпеку: це безпосередньо вплине на стійкість бізнесу до майбутніх кібератак і дозволить використовувати потенціал ШІ без критичних компромісів для захисту.
