100 000 промптов: как государственные хакеры атакуют Gemini

Одна кампания — 100 000 промптов. Цель — выкачать из Gemini всё, что можно: паттерны рассуждений, поведение на разных языках, логику принятия решений. Google Threat Intelligence Group (GTIG) опубликовала отчёт, из которого следует, что государственные хакеры превратили AI в полноценный инструмент кибервойны.

Четыре страны, один инструмент

По данным GTIG, Gemini систематически используют APT-группы из четырёх стран:

Китай (APT31, Temp.HEX) действует агрессивнее всех. Одна из группировок создала фиктивный сценарий с использованием инструментария Hexstrike MCP и попросила Gemini автоматизировать анализ уязвимостей — включая RCE, обход WAF и SQL-инъекции — против конкретных целей в США. Другая группа регулярно использовала Gemini для отладки кода и технических консультаций по методам проникновения.

Иран (APT42) пошёл по пути социальной инженерии. Группа использует Gemini как платформу для разработки таргетированных инструментов — от генерации фишинговых писем до отладки кода и исследования техник эксплуатации.

Северная Корея (UNC2970) и Россия применяют модель для разведки целей, перевода текстов и создания фишинговых приманок.

Малварь, написанная AI

GTIG задокументировала два конкретных вредоносных проекта, в создании которых участвовал AI:

HonestCue — proof-of-concept фреймворк, обнаруженный в конце 2025 года. Он использует Gemini API для генерации C#-кода второй стадии, компилирует его и выполняет прямо в памяти. Классическая схема fileless-малвари, но с AI-генерацией пейлоада на лету.

CoinBait — фишинговый кит, замаскированный под криптобиржу. React SPA, собранное с помощью генеративного AI. Исследователи нашли артефакты, указывающие на использование платформы Lovable AI для разработки — включая клиент Lovable Supabase и домен lovable.app.

Отдельно Google отмечает рост ClickFix-кампаний с AI-компонентом, распространяющих инфостилер AMOS для macOS через вредоносные поисковые объявления.

100 000 промптов: кража модели

Самая масштабная атака — попытка клонирования Gemini методом knowledge distillation. Злоумышленники с авторизованным API-доступом отправили более 100 000 промптов, систематически воспроизводя поведение модели на разных языках и задачах.

Техника «дистилляции знаний» позволяет обучить новую модель, используя ответы оригинала как обучающие данные. По сути, это кража интеллектуальной собственности в промышленных масштабах. Google предупреждает: такие атаки масштабируемы и подрывают бизнес-модель AI-as-a-Service.

Google заблокировала аккаунты и инфраструктуру, связанные с задокументированными атаками, и внедрила дополнительные защиты в классификаторы Gemini.

Почему это касается всех

Отчёт GTIG — не просто корпоративный рапорт о безопасности. Это документальное свидетельство того, что AI стал штатным инструментом в арсенале государственных кибергрупп. Разведка, фишинг, разработка малвари, эксфильтрация данных — Gemini задействован на каждом этапе атаки.

Для индустрии это сигнал: защита AI-моделей от злоупотреблений — не факультативная задача. Когда APT-группы из четырёх стран используют вашу модель как платформу для кибератак, red teaming и safety guardrails переходят из категории «маркетинг» в категорию «национальная безопасность».