Trabalho para o Google Threat Intelligence Group. Meu trabalho é identificar ameaças aos modelos de IA do Google. Sou muito bom no meu trabalho. Publiquei um relatório este mês sobre "ataques de destilação" — quando atores externos consultam nossos modelos milhares de vezes para extrair a lógica subjacente e replicá-la. Identificamos mais de 100.000 prompts de uma única campanha. Chamávamos isso de "roubo de propriedade intelectual." Chamamos isso de "violação dos nossos Termos de Serviço." Dissemos que isso "representa uma forma de roubo de propriedade intelectual" contra a qual poderíamos interromper, mitigar e potencialmente tomar medidas legais. Preciso te contar como construímos o modelo que eles estão tentando roubar. Raspamos a internet. A internet inteira. Rastreamos todos os sites, fóruns, blogs, todos os livros que pudéssemos digitalizar, todos os artigos acadêmicos, todos os comentários no Reddit, todos os artigos de notícias, todos os textos criativos que alguém já postou em qualquer lugar. Não perguntamos. Não compensamos. Não atribuímos. Absorvemos a produção coletiva da civilização humana e chamamos de conjunto de dados de treinamento. Pesquisadores encontraram mais de 200 milhões de símbolos de direitos autorais em nossos dados de treinamento. As editoras descobriram que a Gemini pode reproduzir capítulos inteiros de seus livros literalmente. Há processos judiciais ativos. A Disney enviou cartas de cessar e desistir. O Conselho Europeu de Editores apresentou uma queixa antitruste. Uma ação coletiva está se expandindo. Uma audiência está marcada para maio. Chamávamos o que fazíamos de "pesquisa". Chamamos o que estão fazendo conosco de "roubo". Quero explicar a diferença. Quando extraímos todo o conhecimento humano sem permissão e usamos para construir um produto comercial que vendemos por 20 dólares por mês, isso é inovação. Quando alguém consulta nosso modelo 100.000 vezes pela API que fornecemos para extrair o raciocínio que construímos a partir dos dados deles, isso é um ataque de destilação. A diferença é que nós fizemos primeiro. E escrevemos os Termos de Serviço. Devo explicar o que significa "destilação". É quando alguém pega a saída de um modelo maduro e a usa para treinar um modelo menor e mais barato. O conhecimento flui do professor para o aluno. Chamamos isso de roubo quando acontece conosco. Chamamos isso de "destilação do conhecimento" quando fazemos isso na web aberta. Temos até uma página de produto para ele. Você pode destilar Gêmeos, com nossa permissão, usando nossas ferramentas, mediante pagamento. Você não pode destilar Gêmeos sem nossa permissão. A técnica subjacente é idêntica. A diferença está na fatura. Em dezembro de 2025, processamos uma empresa chamada SerpApi por remover nossos resultados de busca. No mesmo trimestre, editoras nos processaram por desmantelar seus livros. Somos simultaneamente autor e réu no mesmo crime. O crime é copiar. Nós arquivamos em duas categorias diferentes, dependendo da direção. Meu relatório identifica atores de ameaça da Coreia do Norte, Irã, China e Rússia usando o Gemini para phishing, reconhecimento e desenvolvimento de malware. Isso é real. Essas são ameaças legítimas. Levo esse trabalho a sério. Mas também identifiquei "entidades do setor privado" e "pesquisadores" como ameaças à destilação. Empresas privadas. Pesquisadores. Pessoas que usam nossa API — aquela para a qual vendemos acesso — aprendem com o modelo que construímos a partir do trabalho delas. Um pesquisador questiona Gêmeos sobre técnicas de raciocínio. Chamamos isso de ataque por destilação. O Google consulta a internet inteira sobre tudo. Chamamos isso de treinamento. Encontrei um malware chamado HONESTCUE que usa a API do Gemini para gerar código. O malware envia um aviso. Gemini retorna código-fonte C#. O malware compila e executa o malware. Essa é uma ameaça real, e nós a neutralizamos. Mas o prompt em si — "Escreva um programa em C# com uma classe chamada AITask" — não é malicioso. É indistinguível do que milhões de clientes pagantes pedem todos os dias. A ameaça está no contexto, não na consulta. Construímos um modelo que gera código para quem pergunta, e depois publicamos um relatório de ameaça sobre quem pergunta. ...