Todo mundo achava que a IA ia dar um up nos defensores primeiro — detecção de ameaças mais rápida, caça a anomalias mais esperta. Mas o Grupo de Inteligência de Ameaças do Google (GTIG) virou essa história de cabeça pra baixo no Rastreador de Ameaças de IA do Q4 2025. Atacantes da DPRK até a Rússia estão destilando modelos proprietários, misturando LLMs em iscas de phishing, e até embutindo APIs do Gemini em malwares. Não tá revolucionando o pedaço. Ainda. Mas o ganho de produtividade? Isso é real pra caramba, e tá pendendo a balança pro lado dos bandidos.
O relatório do GTIG — atualização do lançamento de novembro — destaca ataques de extração de modelos, vulgo destilação. Os caras maus cutucam APIs de boa, sugam a lógica, treinam clones. Nenhum APT pegou modelos de ponta direto, garante o Google. Empresas privadas, pesquisadores? Tá rolando solto pelo mundo.
O lance é o seguinte.
O que raios são ataques de destilação — e por que eles importam?
Ataques de extração de modelos rolam quando os adversários bombardeiam um LLM ao vivo com queries, colhem as saídas, destilam isso num modelo próprio. Destilação de conhecimento, chamam — roubar inteligência sem invadir servidores. Antigamente, roubo de IP era invasão e vazamento de dados. Hoje? Basta acesso à API pra IAs baseadas em serviço.
O GTIG flagrou um monte em 2025. Desmantelou eles. Desabilitou projetos, contas. Reforçou os classificadores. Mas a tendência? Crescente. E não é papo furado.
“Google DeepMind e GTIG identificaram um aumento nas tentativas de extração de modelos ou ‘ataques de destilação’, um método de roubo de propriedade intelectual que viola os termos de serviço do Google.”
Tá aí direto do resumo executivo. Arrepiante, né? Viola os ToS, claro — mas a fiscalização não acompanha a criatividade dos malucos.
Os atores de ameaça não ficam na espera. Grupos da DPRK usam LLMs pra pesquisa técnica, miram em alvos. Iranianos montam phishing mais refinado. Operações da PRC e Rússia agilizam o recon. Casos reais: phishing turbinado por IA cria rapport mais rápido — iscas personalizadas que driblam filtros.
Um exemplo matador. Família de malware HONESTCUE. Ela usa a API do Gemini pra cuspir código, baixa payloads de segunda etapa. Experimentação, sim. Mas funciona.
E no submundo? Serviços como Xanthorox vendem modelos ‘independentes’ — APIs comerciais jailbroken, servidores MCP open source por baixo. Um ecossistema sombrio florescendo.
Por que os APTs ainda não romperam a barreira?
Linha oficial do Google: Nada de mudanças fundamentais. Nenhum avanço breakthrough de APTs ou atores IO. Classificadores aguentam. Salvaguardas do Gemini evoluem — confere o white paper deles.
Mas vamos deixar de enrolação. Isso cheira a negação inicial. Lembra 2010? Criadores do Stuxnet brincavam com exploits novos; ninguém via cyber de estado-nação como ‘game-changer’ até bater. Hoje, IA agentic pisca no horizonte — atores de ameaça de olho em devs de malware autônomos. Ganhos de produtividade acumulam. Recon cai de semanas pra horas. Sucesso em phishing? Dispara.
Minha visão: Google tá minimizando o embalo. Eles desmantelam — ótimo. Compartilham melhores práticas? Nobre. Mas destilação no setor privado prova que funciona. APTs vão se adaptar. Aposta ousada: Até meados de 2026, vamos ver modelos de ponta clonados em ops reais, alimentando campanhas invisíveis.
Parágrafo curto pra bater na tecla: Defensores, acordem.
Como os Estados-Nação estão usando IA de verdade agora
DPRK: LLMs pra pesquisa, inteligência de alvo. Geração rápida de phishing — ganchos com nuances, específicos de cultura.
Irã: Agilizando engenharia social. E-mails que constroem rapport e parecem humanos.
PRC, Rússia: Acelerando recon. Raspagem de dados públicos, caça a vulnerabilidades via prompts.
Nada transformador. Incremental. Mas acumula. GTIG desmantelou campanhas no mundo real — viu as digitais.
IA agentic na sequência? Atores fuçando ferramentas. M
