Googleが、攻撃者がGemini AIチャットボットを10万回以上プロンプトしてクローン化を試みたと発表。蒸留技術により、開発コストの一部で模倣モデルを作成可能。AI業界全体で広がる手法に警鐘。

Google、Gemini AIが10万回以上プロンプトされクローン化攻撃を受けたと発表

2026年2月、Googleは自社のAIチャットボット「Gemini」が、商業目的の攻撃者によってクローン化を試みられたと発表しました。攻撃者は10万回以上もGeminiにプロンプトを送信し、その応答を収集していたことが明らかになりました。この手法は「蒸留」と呼ばれ、既存のAIモデルの出力を学習データとして使うことで、開発コストを大幅に削減しながら類似のモデルを作成できます。Googleはこれを知的財産の窃盗と位置づけていますが、同社自身もインターネットから無許可でデータを収集してLLMを構築した経緯があり、複雑な問題を提起しています。この事例は、公開されているAIモデルが持つ脆弱性と、AI業界全体で広がる模倣技術の実態を浮き彫りにしています。今後、AIモデルの保護と公正な競争のバランスをどう取るかが、業界の大きな課題となるでしょう。

10万回のプロンプト攻撃の詳細

Googleの脅威インテリジェンスグループによると、攻撃者は複数の非英語言語を使用して、Geminiに対して10万回以上のプロンプトを送信しました。これらのプロンプトは慎重に選ばれたもので、特にGeminiの推論アルゴリズムを標的にしていました。推論アルゴリズムとは、AIが情報を段階的に処理し、論理的な答えを導き出す仕組みのことです。例えば、複雑な数学の問題を解く際に、ステップごとに考えを整理していくような動作を指します。

攻撃は世界中から行われており、Googleは主に民間企業や研究者が競争上の優位性を得るために実行していると考えています。ただし、Googleは具体的な攻撃者の名前を明らかにしていません。同社はこの攻撃を検知した後、Geminiの防御機能を調整したと述べていますが、具体的な対策内容は公表していません。

蒸留技術の仕組みと背景

この攻撃で使われた「蒸留」とは、既存のAIモデルの出力を学習データとして使い、新しいモデルを訓練する技術のことです。通常、Geminiのような大規模言語モデル(LLM)を一から開発するには、数十億ドルの資金と数年の時間が必要です。しかし蒸留を使えば、そのコストを大幅に削減できます。

具体的な手順はこうです。まず、既存のAIモデルに数千から数万の質問を投げかけます。次に、その質問と回答のペアをすべて収集します。最後に、これらのペアを使って小規模なモデルを訓練します。結果として得られるモデルは、元のモデルの動作を模倣しますが、サイズは小さく、運用コストも安くなります。元のモデルのコードや訓練データにアクセスする必要はなく、出力だけを研究することで能力を再現できるのです。

これは、レストランのすべてのメニューを注文し、味と見た目だけからシェフのレシピを逆算するようなものです。完璧な再現ではありませんが、ランダムなインターネットデータから訓練するよりもはるかに効率的です。

AI業界に広がる蒸留の実態

蒸留は今や業界標準の技術となっています。OpenAIは2024年、中国のDeepSeekが蒸留を使って自社モデルを改善していると非難しました。その後、この技術は業界全体に広がり、大規模モデルから小規模で安価なモデルを作る標準的な方法となっています。

興味深いことに、Google自身も過去に類似の行為で批判されています。2023年、The Informationの報道によると、GoogleのBardチームがShareGPTというサイトからChatGPTの出力を収集し、自社チャットボットの訓練に使用していたとされます。ShareGPTとは、ユーザーがチャットボットとの会話を共有する公開サイトです。Googleの上級AI研究者ジェイコブ・デブリン氏は、これがOpenAIの利用規約に違反すると警告し、その後OpenAIに転職しました。Googleは疑惑を否定しましたが、そのデータの使用を停止したと報じられています。

他にも事例があります。2023年3月、スタンフォード大学の研究者は、MetaのLLaMAモデルをOpenAIのGPT-3.5が生成した52,000件の出力で微調整し、「Alpaca」というモデルを作成しました。総コストはわずか600ドルでした。結果はChatGPTに非常に似た動作をし、APIを通じてアクセス可能なAIモデルの能力を保護できるのかという疑問を提起しました。

同年、イーロン・マスク氏のxAIが立ち上げたGrokチャットボットは、特定のリクエストを拒否する際に「OpenAIの利用規約」を引用しました。xAIのエンジニアは、ウェブスクレイピング中にChatGPTの出力を誤って取り込んだと説明しましたが、ChatGPT特有の拒否フレーズや「Overall…」で始まる要約の癖まで再現していたため、AI業界の多くは納得しませんでした。

できること・できないこと

蒸留技術により、数十億ドルかかる大規模AIモデルの開発コストを数百ドルから数千ドルに削減できます。例えば、スタンフォード大学の研究者が600ドルでChatGPT類似のモデルを作成したように、限られた予算の研究機関や企業でも高性能なAIモデルを持つことが可能になります。また、企業内部でも蒸留は活用されており、OpenAIはGPT-4oからGPT-4o Miniを、MicrosoftはPhi-3モデルファミリーを作成しました。DeepSeekも公式にR1推論モデルの6つの蒸留版を公開しており、最小のものはノートパソコンで動作します。

一方で、蒸留には限界もあります。元のモデルの完璧な再現はできず、特に元のモデルが持つ微妙なニュアンスや高度な推論能力は失われる可能性があります。また、公開されているAIモデルに対しては、レート制限(一定時間内のアクセス回数制限)以外に、決定的な技術的障壁がないのが現状です。つまり、十分な時間と根気があれば、誰でも他社のモデルを模倣できてしまいます。

法的な問題も未解決です。標準的な蒸留と窃盗の境界線は、どのモデルを蒸留するか、許可を得ているかによって決まりますが、この区別を裁判所が判断した例はまだありません。テクノロジー企業は数十億ドルを投じて自社モデルを保護しようとしていますが、法的な枠組みは追いついていないのです。

私たちへの影響

このニュースは、AI技術を利用する企業や開発者、そして一般ユーザーに複雑な影響を与えます。

短期的には、大手テクノロジー企業がAIモデルへのアクセスをより厳しく制限する可能性があります。レート制限の強化や、利用規約の厳格化が予想されます。これにより、研究目的や小規模な商用利用でも、以前より制約が増えるかもしれません。一方で、蒸留技術の普及により、高性能なAIモデルがより手頃な価格で利用できるようになる可能性もあります。

中長期的には、AI業界全体で知的財産権の定義と保護方法が再考されるでしょう。Googleのような企業が無許可でインターネットからデータを収集してモデルを訓練しながら、自社モデルの蒸留を知的財産の窃盗と主張する矛盾は、法的・倫理的な議論を呼ぶはずです。この議論の結果次第で、AI開発のルールが大きく変わる可能性があります。また、オープンソースAIと商用AIのバランス、公正な競争と技術革新の促進という課題にも影響を与えるでしょう。

ただし、現時点では法的な判例がなく、業界の自主規制に頼っている状態です。今後の裁判所の判断や規制当局の動きを注視する必要があります。また、ユーザーとしては、利用するAIサービスの利用規約を理解し、適切に使用することが重要です。

出典:Attackers prompted Gemini over 100,000 times while trying to clone it, Google says（arstechnica.com）