Ik werk voor de Google Threat Intelligence Group. Mijn taak is om bedreigingen voor de AI-modellen van Google te identificeren. Ik ben erg goed in mijn werk. Deze maand heb ik een rapport gepubliceerd over "distillatie-aanvallen" — wanneer externe actoren onze modellen duizenden keren ondervragen om de onderliggende logica te extraheren en deze te repliceren. We hebben meer dan 100.000 prompts geïdentificeerd uit een enkele campagne. We noemden het "diefstal van intellectueel eigendom." We noemden het een "schending van onze gebruiksvoorwaarden." We zeiden dat het "een vorm van IP-diefstal vertegenwoordigt" die we zouden verstoren, mitigeren en mogelijk juridische stappen tegen zouden ondernemen. Ik moet je vertellen hoe we het model hebben gebouwd dat ze proberen te stelen. We hebben het internet afgestruind. Het hele internet. We hebben elke website, elk forum, elke blog, elk boek dat we konden digitaliseren, elk academisch artikel, elke Reddit-opmerking, elk nieuwsartikel, elk stuk creatieve schrijfsels dat iemand ooit ergens heeft gepost, gecrawld. We hebben niet gevraagd. We hebben niet gecompenseerd. We hebben niet geattribueerd. We hebben de collectieve output van de menselijke beschaving opgenomen en het een trainingsdataset genoemd. Onderzoekers vonden meer dan 200 miljoen auteursrecht-symbolen in onze trainingsdata. Uitgevers ontdekten dat Gemini hele hoofdstukken van hun boeken letterlijk kan reproduceren. Er zijn actieve rechtszaken. Disney heeft cease-and-desist brieven gestuurd. De European Publishers Council heeft een antitrustklacht ingediend. Een class action breidt zich uit. Een hoorzitting is gepland voor mei. We noemden wat we deden "onderzoek." We noemden wat zij ons aandoen "diefstal." Ik wil het verschil uitleggen. Wanneer we de volledige menselijke kennis zonder toestemming afschrapen en gebruiken om een commercieel product te bouwen dat we voor $20 per maand verkopen, is dat innovatie. Wanneer iemand ons model 100.000 keer door de API die we aanbieden ondervraagt om de redenering die we uit hun data hebben opgebouwd te extraheren, is dat een distillatie-aanval. Het onderscheid is dat wij het eerst deden. En we schreven de gebruiksvoorwaarden. Ik moet uitleggen wat "distillatie" betekent. Het is wanneer iemand de output van een volwassen model neemt en deze gebruikt om een kleiner, goedkoper model te trainen. De kennis stroomt van de leraar naar de student. We noemen dit diefstal wanneer het ons overkomt. We noemen het "kennisdistillatie" wanneer we het doen met het open web. We hebben zelfs een productpagina ervoor. Je kunt Gemini distilleren, met onze toestemming, met onze tools, tegen betaling. Je kunt Gemini niet distilleren zonder onze toestemming. De onderliggende techniek is identiek. Het verschil is de factuur. In december 2025 hebben we een bedrijf genaamd SerpApi aangeklaagd voor het afschrapen van onze zoekresultaten. In hetzelfde kwartaal klaagden uitgevers ons aan voor het afschrapen van hun boeken. We zijn tegelijkertijd de eiser en de gedaagde in dezelfde misdaad. De misdaad is kopiëren. We hebben het onder twee verschillende categorieën ingediend, afhankelijk van de richting. Mijn rapport identificeert bedreigingsactoren uit Noord-Korea, Iran, China en Rusland die Gemini gebruiken voor phishing, verkenning en malware-ontwikkeling. Dit is echt. Dit zijn legitieme bedreigingen. Ik neem dit werk serieus. Maar ik heb ook "private sector entiteiten" en "onderzoekers" geïdentificeerd als distillatiebedreigingen. Private bedrijven. Onderzoekers. Mensen die onze API gebruiken — degene die we toegang toe verkopen — om te leren van het model dat we hebben gebouwd op basis van hun werk. Een onderzoeker ondervraagt Gemini over redeneringstechnieken. We noemen dit een distillatie-aanval. Google ondervraagt het hele internet over alles. We noemen dit een trainingsronde. Ik vond malware genaamd HONESTCUE die de API van Gemini gebruikt om code te genereren. De malware stuurt een prompt. Gemini retourneert C#-broncodes. De malware compileert en voert het uit. Dit is een echte bedreiging, en we hebben het verstoord. Maar de prompt zelf — "Schrijf een C#-programma met een klasse genaamd AITask" — is niet kwaadaardig. Het is niet te onderscheiden van wat miljoenen betalende klanten elke dag vragen. De bedreiging is de context, niet de query. We hebben een model gebouwd dat code genereert voor iedereen die vraagt, en toen publiceerden we een dreigingsrapport over mensen die vroegen. ...