أفاد باحثون في Google Threat Intelligence Group (GTIG)، في تقرير نشر قبيل مؤتمر ميونخ للأمن، بأن جهات تهديد مدعومة من دول بدأت توظيف نموذج Gemini ضمن مهام عملية تدعم مراحل مختلفة من دورة الهجوم السيبراني، من جمع المعلومات وحتى ما بعد الاختراق. ورصد التقرير محاولات منظمة لاستخراج قدرات النموذج عبر استنزاف الأسئلة بهدف تقليد منطق النموذج وإعادة إنتاجه بتكلفة أقل.
وبحسب ما نقلته مصادر تقنية عن التقرير، فإن الاستخدامات التي رصدتها Google تميل إلى تسريع العمل القائم أكثر من ابتكار هجمات غير مسبوقة. يضع هذا التفصيل الخبر في حجمه المهني، ويحد من التهويل المعتاد المصاحب للحديث عن الذكاء الاصطناعي في الهجمات.
مجموعات توظف Gemini في الدعم اللوجستي
يشير التقرير إلى أن مجموعات مرتبطة بكل من الصين وإيران وكوريا الشمالية وروسيا استعانت بـGemini في أعمال مساندة شملت الاستطلاع وجمع المعلومات مفتوحة المصدر (OSINT)، وهو أسلوب يعتمد على معلومات متاحة علناً لبناء صورة عن الهدف وتجميع تفاصيل تساعد لاحقاً في الاستهداف.
ورصد التقرير أيضاً استخدام Gemini لصياغة طعوم التصيد وتحسين الرسائل، عبر إعادة الصياغة والترجمة والتكييف اللغوي. وتزداد خطورة هذا الاستخدام عندما يدعم إنتاج رسائل مقنعة بلغات متعددة، ويقلل أخطاء اللغة التي كانت سابقاً مؤشراً يساعد على كشف التصيد.
وفي جانب تقني، تحدث التقرير عن المساعدة البرمجية عبر إصلاح أكواد، وتطوير أدوات، ودعم اختبارات ثغرات وخطط فحص موجهة ضمن سيناريوهات مُفبركة تهدف إلى تجاوز الضوابط. كما أشار إلى دعم جوانب من التطوير الهجومي مثل عناصر مرتبطة ببناء قنوات التحكم C2، وهي القنوات التي يستخدمها المهاجم للتواصل مع برمجياته داخل الشبكة المخترقة، إضافة إلى تحضير مهام ما بعد الاختراق، أي الخطوات التي تأتي بعد الدخول الأولي مثل توسيع الصلاحيات والتنقل داخل الشبكة.
وفي زاوية لافتة تمس الشركات مباشرة، وثق التقرير محاولات لاستخراج النموذج وتقطير المعرفة Knowledge Distillation عبر أكثر من 100 ألف مُدخل أو طلب، بهدف تقليد منطق النموذج. يثير هذا النمط مخاطر تتعلق بالملكية الفكرية ونموذج الأعمال، وقد يتحول إلى ضغط تشغيلي وأمني إذا توسع، لأنه قد يقترن بمحاولات إساءة استخدام أو تحايل على سياسات المنصات.
