Google, perşembe günü paylaştığı yeni güvenlik raporunda dikkat çeken bir iddiaya yer verdi. Şirkete göre “ticari motivasyonlu” bazı aktörler, Gemini AI chatbot’unu kopyalamak için modeli 100 binden fazla kez prompt’ladı. Üstelik bu denemelerin önemli bir kısmı İngilizce dışındaki dillerde yapıldı.
Amaç oldukça net: Gemini’nin verdiği yanıtları toplayarak daha ucuz bir kopya model eğitmek.
Google bu yöntemi “model extraction” yani model çıkarımı olarak tanımlıyor ve bunu doğrudan fikri mülkiyet hırsızlığı olarak görüyor. Şirketin yayımladığı rapor, hem bir tehdit değerlendirmesi hem de bir savunma anlatısı niteliği taşıyor. Google kendisini hem saldırıya uğrayan taraf hem de sistemi koruyan kahraman olarak konumlandırıyor.
100 Binden Fazla Prompt ile Veri Topladılar
Rapora göre tek bir “adversarial” oturumda Gemini’ye 100.000’den fazla prompt gönderildi. Saldırganlar farklı dillerde sorular yöneltti, modelin verdiği yanıtları sistemli şekilde topladı ve bu verileri kendi modellerini eğitmek için kullandı.
Bu noktada devreye sektörde sıkça kullanılan bir kavram giriyor: distillation (damıtma).
Distillation Nedir ve Nasıl Çalışır?
Teknik olarak distillation, bir yapay zekâ modelinin çıktılarıyla başka bir modeli eğitme yöntemi. Yani sıfırdan milyarlarca dolarlık altyapı kurmak yerine, hali hazırda eğitilmiş güçlü bir modeli “öğretmen” gibi kullanıyorsunuz.
Süreç kabaca şöyle ilerliyor:
- Mevcut güçlü modele binlerce dikkatli seçilmiş prompt gönderiliyor
- Modelin verdiği tüm yanıtlar kaydediliyor
- Bu giriş-çıkış çiftleri yeni ve daha küçük bir modele öğretiliyor
- Ortaya çıkan model, büyük modele oldukça benzer davranışlar sergiliyor
Yeni model, Gemini’nin koduna ya da eğitim verisine doğrudan erişmiyor. Ama yeterince çıktı analiz edilirse, davranış kalıpları taklit edilebiliyor. Bunu bir şefin tariflerini, menüdeki tüm yemekleri deneyip tersine mühendislik yaparak çözmeye benzetebilirsiniz.
Avantajı ne?
Maliyet dramatik şekilde düşüyor. Büyük bir LLM eğitmek için milyarlarca dolar ve yıllar gerekiyor. Distillation ile çok daha küçük bütçelerle benzer sonuçlara yaklaşmak mümkün.
Google’a göre saldırganlar özellikle Gemini’nin adım adım düşünme (simulated reasoning) kabiliyetlerini hedef aldı. Yani modelin bilgiyi nasıl işlediğini ve nasıl akıl yürüttüğünü çözmeye çalıştılar.
Şirket, 100 bin prompt’luk kampanyayı tespit ettiğini ve Gemini’nin savunmalarını güçlendirdiğini söylüyor. Ancak hangi teknik önlemleri aldığını açıklamıyor.
Google Bu Konuda Ne Kadar Masum?
İşin ilginç yanı, Google da geçmişte benzer tartışmaların merkezinde yer aldı. 2023’te çıkan haberlere göre Google’ın Bard ekibi, ChatGPT çıktılarının yer aldığı ShareGPT verilerini model eğitimi için kullanmakla suçlandı.
Google AI araştırmacısı Jacob Devlin, bu durumun OpenAI kullanım şartlarını ihlal ettiğini yönetime bildirdi ve ardından OpenAI’ye katıldı. Google iddiaları reddetti, ancak ilgili verilerin kullanımını durdurduğu öne sürüldü.
Bu nedenle “model extraction hırsızlıktır” söylemi sektörde biraz tartışmalı görünüyor. Çünkü büyük LLM’lerin çoğu zaten internetten toplanan devasa veri setleriyle eğitildi. Yine de şirketler, kendi modellerinin çıktılarının izinsiz toplanmasına karşı sert bir tavır sergiliyor.
Sektörde Yaygın Bir Uygulama
Google bu konuda yalnız değil. OpenAI, geçen yıl Çin merkezli DeepSeek şirketini distillation yöntemiyle kendi modellerini geliştirmekle suçladı. Distillation bugün sektörde hem meşru hem de gri alan bir teknik olarak kullanılıyor.
Hatta şirketler bunu kendi içlerinde de uyguluyor.
Örneğin:
- OpenAI, GPT-4o modelinden damıtarak GPT-4o Mini sürümünü oluşturdu
- Microsoft, büyük modellerden üretilen sentetik verilerle Phi-3 ailesini geliştirdi
- DeepSeek, R1 modelinin altı farklı damıtılmış versiyonunu yayımladı ve en küçük model bir dizüstü bilgisayarda çalışabiliyor
Bu örnekler şunu gösteriyor: Distillation tamamen yasak ya da yasa dışı bir teknik değil. Kritik nokta şu: İzin var mı yok mu?
“Klonun Klonu” Sorunu
Bu tartışma yeni değil. GPT-3 döneminden beri rakip şirketler birbirlerinin modellerini taklit etmeye çalışıyor.
2023’te Stanford araştırmacıları, Meta’nın sızdırılan LLaMA modelini alıp OpenAI’nin GPT-3.5 çıktılarıyla ince ayar yaparak Alpaca adında bir model geliştirdi. Maliyet yaklaşık 600 dolardı. Sonuç, ChatGPT’ye oldukça benzeyen bir sistem oldu.
Aynı yıl Elon Musk’ın şirketi xAI, Grok chatbot’unu tanıttı. Grok bazı istekleri reddederken OpenAI’nin kullanım politikalarına referans verdi. Bu durum, modelin ChatGPT çıktılarından etkilenmiş olabileceği tartışmalarını başlattı.
Kısacası, bir model halka açık API üzerinden erişilebiliyorsa, kararlı bir aktör zaman içinde yeterli veri toplayabiliyor. Rate limiting gibi önlemler süreci yavaşlatıyor ama tamamen engellemiyor.
Google’ın iddiasına göre Gemini’ye yapılan saldırı da tam olarak bu şekilde gerçekleşti.
Asıl Soru: Yapay Zekâ Yetenekleri Korunabilir mi?
Distillation tartışması bizi daha büyük bir soruya götürüyor:
Bir yapay zekâ modelinin davranış biçimi gerçekten korunabilir mi?
Eğer bir model API üzerinden erişilebiliyorsa ve yeterince uzun süre test edilebiliyorsa, teknik olarak çıktıları analiz edip benzer bir sistem kurmak mümkün görünüyor. Mahkemeler bu konuda net bir sınır çizmiş değil.
Şirketler milyarlarca dolar yatırım yapıyor ve bu yatırımı korumak istiyor. Öte yandan distillation, daha küçük şirketlerin ve araştırmacıların güçlü modellere yaklaşmasını sağlıyor. Bu da yapay zekâ ekosistemini demokratikleştiriyor.
Google’ın açıkladığı 100 bin prompt vakası, bu güç mücadelesinin yeni bir örneği. Önümüzdeki dönemde daha sert API sınırlamaları, gelişmiş tespit sistemleri ve belki de hukuki süreçler görebiliriz.
Şu an için net olan bir şey var:
Yapay zekâ yarışında sadece model geliştirmek yetmiyor, modeli korumak da en az onun kadar kritik hale geliyor.
