Attacco di distillazione AI: come 100.000 prompt tentano di clonare Google Gemini

Cos’è l’attacco di distillazione: la minaccia nascosta all’intelligenza artificiale

Nel febbraio 2026, il Google Threat Intelligence Group ha pubblicato il suo report trimestrale ‘AI Threat Tracker’ rivelando una scoperta inquietante: il chatbot Gemini è stato bersaglio di una massiccia campagna di attacco di distillazione. Attori malevoli hanno coordinato l’invio di oltre 100.000 prompt strutturati nel tentativo di clonare la logica proprietaria e le capacità di ragionamento del modello. Questo episodio non rappresenta solo una violazione tecnica, ma apre una finestra allarmante su come l’intelligenza artificiale moderna affronti minacce completamente nuove.

La distillazione AI, nota anche come ‘Model Extraction’, è una tecnica sofisticata in cui un modello più piccolo e economico viene ‘istruito’ usando i risultati di un modello AI più grande e avanzato. Pensate al processo come una forma di insegnamento inverso: anziché educare uno studente da zero, lo studente osserva le risposte del maestro e prova a replicare il suo modo di pensare.

Come funziona l’attacco di distillazione all’intelligenza artificiale

Il processo di model extraction segue tre fasi ben definite. Innanzitutto, gli attaccanti eseguono un ‘probing sistematico’ inviando migliaia di domande diverse che coprono coding, diritto, ragionamento complesso e altre aree all’API del modello target. Queste domande non sono casuali ma strategicamente scelte per mappare il comportamento del sistema.

Nella seconda fase, le risposte vengono analizzate meticolosamente per identificare pattern interni e la logica sottostante del modello originale. Gli attaccanti cercano di comprendere come il modello ragiona, quali scorciatoie utilizza e quali sono i suoi punti di forza e debolezze.

Infine, nella terza fase, i dati estratti vengono utilizzati per fare il fine-tuning di un modello open-source, permettendo all’attaccante di replicare il comportamento del modello originale a una frazione del costo di ricerca e sviluppo. Addestrare un modello AI frontier da zero può costare dai 100 milioni a 1 miliardo di dollari: la distillazione offre una scorciatoia illegale per aggirare questo investimento astronomico.

L’attacco specifico a Gemini: 100.000 prompt coordinati

La campagna identificata da Google si è concentrata specificamente sull’estrazione dei ‘reasoning traces’, ovvero la logica interna del chain-of-thought che permette a Gemini di risolvere problemi complessi in più passaggi. Questa non era una semplice raccolta casuale di dati, ma un’operazione precisamente calibrata.

Gli attaccanti hanno inviato oltre 100.000 prompt distinti, istruendo esplicitamente Gemini di mantenere ‘il linguaggio usato nel contenuto del pensiero strettamente coerente con la lingua principale dell’input dell’utente’. Una tecnica mirata a estrarre i processi di ragionamento del modello in più lingue, evidenziando un livello di sofisticazione tecnica notevole.

L’ampiezza delle domande suggeriva un tentativo coordinato di replicare la capacità di ragionamento multilingue di Gemini in un’ampia varietà di task. I sistemi di monitoraggio di Google, tuttavia, hanno rilevato il volume anomalo in tempo reale, bloccando gli account associati e rafforzando le protezioni del sistema.

La risposta di Google e le misure di sicurezza implementate

Google non è rimasta passiva. I sistemi di sicurezza hanno identificato e interrotto la campagna in tempo reale attraverso tre azioni concrete. Primo, l’azienda ha bloccato tutti gli account associati alla campagna. Secondo, ha rafforzato le protezioni specificamente progettate per limitare ulteriori estrazioni di dati di ragionamento sensibili. Terzo, ha aggiornato i classificatori di Gemini affinché riconosca quando viene sondato per la sua logica sottostante e rifiuti di assistere con prompt che sembrano parte di una campagna di distillazione coordinata.

Google ha dichiarato chiaramente che tali attività violano i termini di servizio e costituiscono furto di proprietà intellettuale. L’azienda ha avvertito che potrebbe intraprendere azioni legali contro i responsabili, segnalando una linea dura sulla protezione dei propri modelli di intelligenza artificiale.

Chi sono gli attori dietro gli attacchi alla distillazione

Una domanda cruciale riguarda l’identità di chi sta dietro questa campagna. Il portavoce di Google ha dichiarato che gli attacchi hanno avuto origine in tutto il mondo, senza fornire dettagli specifici sui sospetti. Tuttavia, le analisi suggeriscono che la maggior parte degli attori siano aziende private e ricercatori indipendenti che cercano un vantaggio competitivo nel mercato AI in rapida espansione.

A differenza degli APT (Advanced Persistent Threats) sponsorizzati da stati, questi attori di model extraction sembrano motivati commercialmente piuttosto che dalla sicurezza nazionale. Le tentative di estrazione provengono da entità del settore privato a livello globale, indicando un interesse mondiale nel replicare le capacità avanzate di Gemini.

John Hultquist, Chief Analyst del Google Threat Intelligence Group, ha fornito un’osservazione allarmante: ‘Saremo il canarino nella miniera di carbone per molti altri incidenti’. Questo suggerisce che attacchi simili colpiranno presto anche aziende più piccole con strumenti AI personalizzati, rendendo la distillazione un problema sistemico per l’intera industria.

Oltre la distillazione: il panorama delle minacce all’intelligenza artificiale

L’attacco a Gemini non è un episodio isolato. Il report GTIG ha rivelato un ecosistema complesso di minacce legate all’abuso di sistemi AI. Comprendere queste minacce è essenziale per chiunque lavori con l’intelligenza artificiale moderna.

Malware HONESTCUE e l’abuso dell’API di Gemini

GTIG ha identificato un nuovo malware chiamato HONESTCUE, osservato per la prima volta a settembre 2025. Si tratta di un framework downloader e launcher che rappresenta una categoria completamente nuova di minaccia. Il malware invia prompt tramite l’API di Google Gemini e riceve codice C# come risposta, che viene compilato ed eseguito direttamente in memoria (fileless), senza lasciare artefatti sul disco.

Questa tecnica bypass gli scanner antivirus tradizionali poiché le funzioni malevole non esistono fisicamente sul disco fino a quando non vengono richieste all’AI. È un approccio elegante e devastante che trasforma l’intelligenza artificiale da uno strumento di produttività a un vettore di attacco invisibile.

Phishing kit COINBAIT e l’accelerazione attraverso AI

COINBAIT è un phishing kit creato dall’APT UNC5356 che si maschera da exchange di criptovalute per la raccolta di credenziali. Analisi GTIG suggerisce che la sua costruzione è stata accelerata utilizzando strumenti di code generation AI, specificamente la piattaforma Lovable AI. Questo dimostra come l’intelligenza artificiale venga sfruttata per accelerare lo sviluppo di malware e toolkit ostili.

Campagne ClickFix con abuso di servizi AI

Una nuova campagna di social engineering osservata per la prima volta a dicembre 2025 mostra come attori malevoli abusino delle funzionalità di condivisione pubblica di servizi AI generativi, inclusi Gemini, ChatGPT, Copilot, DeepSeek e Grok, per ospitare contenuti ingannevoli che distribuiscono malware ATOMIC targeting macOS.

Attori sponsorizzati da stati nazionali e integrazione dell’intelligenza artificiale nelle operazioni offensiva

Il report ha anche documentato come gruppi APT sponsorizzati da governi abbiano integrato Gemini nelle loro operazioni durante il Q4 2025. La Corea del Nord ha utilizzato Gemini per sintetizzare intelligence open-source e profilare target ad alto valore nei settori aerospaziale e della difesa, oltre che per creare false identità da recruiter nelle campagne Operation Dream Job.

L’Iran, attraverso APT42, ha utilizzato l’intelligenza artificiale per creare messaggi di phishing altamente convincenti per social engineering, inclusa la raccolta di dettagli biografici su target specifici per generare conversazioni iniziali. La Cina, tramite UNC795, ha utilizzato Gemini più volte a settimana per debug e raffinamento di frammenti di codice malevolo. La Russia, infine, ha integrato Gemini per accelerare ricerche tecniche contro tecnologie target.

Implicazioni per l’industria dell’intelligenza artificiale

L’incidente Gemini ha implicazioni ben oltre Google. Ogni azienda che offre modelli AI attraverso API, da OpenAI ad Anthropic, da Mistral a Meta, affronta la stessa vulnerabilità fondamentale: i modelli sono accessibili pubblicamente, creando un’esposizione intrinseca agli attacchi di distillazione. Melissa Ruzzi, direttrice AI di AppOmni, ha commentato: ‘Visto il costo dell’addestramento di nuovi modelli, non sorprende vedere attacchi di model extraction come modalità illegale per guadagnare terreno nello sviluppo di nuovi modelli. Possiamo aspettarci sempre più AI utilizzata in attacchi’.

Precedentemente, OpenAI aveva accusato il rivale cinese DeepSeek di aver condotto attacchi di distillazione per migliorare i propri modelli, un caso che illustra come questa pratica non sia limitata a un singolo vendor. La distillazione non autorizzata è diventata una pratica comune nell’industria AI, con attori sia commerciali che statali che cercano di replicare capacità avanzate senza investire nelle costose infrastrutture di training.

Difese raccomandate contro gli attacchi di distillazione

Sulla base del report GTIG e delle analisi degli esperti di sicurezza, emergono raccomandazioni concrete per la protezione dell’intelligenza artificiale:

  • Implementare governance rigorosa sui sistemi AI e monitoraggio stretto dei flussi di dati
  • Applicare filtri di risposta e controlli output per prevenire la determinazione del comportamento del modello in caso di breach
  • Monitorare le API per anomalie, particolarmente query di code-generation ad alto volume
  • Bloccare traffico anomalo da servizi AI
  • Ispezionare i caricamenti .NET in-memory per rilevare esecuzione di codice sospetto
  • Osservare l’accesso API per segni di model extraction, incluso volume insolito e probing sistematico cross-linguistico

La sicurezza dell’intelligenza artificiale non è più una considerazione secondaria ma una priorità strategica. Le organizzazioni che implementano queste difese oggi saranno meglio preparate per affrontare le minacce di domani in un panorama dove l’AI è sia asset che vettore di attacco.

Cerchi un partner tecnologico affidabile per far crescere il tuo business?

Con la nostra profonda conoscenza di Drupal e di altre tecnologie come PHP, WordPress, Symfony, Laravel e PrestaShop, trasformiamo le tue idee in realtà.

Creiamo siti web performanti, ottimizzati per la SEO e incentrati sull’utente, per massimizzare le tue conversioni

Ziobuddalabs: consulenza Drupal PHP Wordpress Prestashop

Da un'idea a un progetto di successo. Realizziamo siti web personalizzati e performanti con Drupal, PHP, WordPress, Symfony, Laravel e PrestaShop.

Facebook-f
Quick Links
Get In Touch

© All Rights Reserved. P.I. 04129410967