Jak AI kradnie własne sekrety: nowa metoda klonowania modeli

Prowadzisz restaurację z tajnym przepisem na najlepszą pizzę w mieście. Konkurencja przychodzi, zamawia kilka pizz, analizuje składniki i – bum – otwiera własną knajpę z identyczną recepturą. To przypomina kradzież? W świecie AI to właśnie stało się rzeczywistością.

Badacze z University of California w San Diego pokazali, że można sklonować komercyjny model AI, zadając mu zaledwie kilka tysięcy pytań. Nie potrzebujesz dostępu do kodu źródłowego, danych treningowych ani milionów dolarów na obliczenia. Wystarczy zwykłe API – interfejs, przez który normalnie korzystasz z modelu.

Problem? To zagraża całemu biznesowi AI.

Destylacja – czyli jak ukraść inteligencję

Technika nazywa się "model distillation" – destylacja modelu. Działa jak przepisywanie eseju od kolegi z klasy: patrzysz na gotowe odpowiedzi i uczysz się ich naśladować, nie rozumiejąc, jak powstały.

Tak to wygląda w praktyce. Masz dostęp do ChatGPT, Claude'a czy innego płatnego modelu przez API. Zaczynasz bombardować go pytaniami – tysiącami różnych zapytań. Model odpowiada. Zapisujesz każdą parę: pytanie i odpowiedź. Teraz masz zbiór danych treningowych. Bierzesz mniejszy, tańszy model (np. open-source'owy LLaMA) i uczysz go na tych odpowiedziach. Po kilku dniach masz kopię, która działa niemal identycznie jak oryginał.

Koszt? Ułamek tego, co wydano na stworzenie oryginału. OpenAI wydało setki milionów dolarów na trening GPT-4. Ty możesz go sklonować za kilkaset dolarów w chmurze obliczeniowej.

Badacze z UC San Diego przetestowali to na kilku komercyjnych modelach. Wyniki? Klon osiągał 90-95% dokładności oryginału w standardowych testach. Dla użytkownika różnica była praktycznie niezauważalna.

Dlaczego to działa tak dobrze?

Cała magia tkwi w tym, że modele AI są jak nauczyciele – świetnie tłumaczą, ale nieświetnie chronią swoją wiedzę. Kiedy zadajesz pytanie GPT-5, on nie tylko odpowiada, ale pokazuje swój "styl myślenia" – sposób formułowania zdań, strukturę argumentacji, nawet błędy, które popełnia.

To jak podpatrywanie szachowego mistrza. Nie musisz znać jego strategii od środka – wystarczy zaobserwować sto partii, żeby zacząć grać podobnie. Twój mniejszy model uczy się wzorców, nie mechanizmów.

Problem pogłębia fakt, że API nie ma mechanizmów obronnych. Gdy odpytujesz model przez oficjalny interfejs, wygląda to jak normalne użytkowanie. Firma widzi tylko, że ktoś intensywnie korzysta z usługi – i płaci za to. Nie ma sposobu, by odróżnić uczciwego użytkownika od kogoś, kto kradnie model.

Badacze sprawdzili też, ile pytań potrzeba. Okazuje się, że 10-50 tysięcy zapytań wystarcza do stworzenia przyzwoitej kopii. To brzmi dużo, ale w skali API to kilka dni automatycznych requestów. Koszt? Około 500-2000 dolarów, zależnie od modelu.

Kto na tym traci?

Przede wszystkim firmy, które zainwestowały miliardy w rozwój modeli. OpenAI, Anthropic, Google – wszyscy stoją przed problemem: jak chronić coś, co z definicji musi być dostępne, żeby przynosić zysk?

Jesteś OpenAI. Wydałeś 100 milionów dolarów na trening GPT-4. Sprzedajesz dostęp przez API za kilka centów za tysiąc tokenów (czyli mniej więcej 750 słów). Przychodzi konkurent, płaci ci 1000 dolarów, zadaje 50 tysięcy pytań i ma własną kopię. Teraz może sprzedawać ją taniej, bo nie poniósł kosztów rozwoju.

To nie science fiction. Badacze z UC San Diego pokazali, że już się to dzieje. Wykryli przypadki, gdzie mniejsze firmy AI oferowały modele "podejrzanie podobne" do liderów rynku – w cenie o 70% niższej.

Tracą też użytkownicy. Jeśli klonowanie stanie się powszechne, firmy przestaną inwestować w rozwój. Po co wydawać miliardy, skoro ktoś ukradnie Twój model za ułamek ceny? To klasyczny problem ekonomiczny: brak ochrony własności intelektualnej zabija innowacje.

Czy da się to zatrzymać?

Firmy próbują różnych metod obrony. Pierwsza to rate limiting – ograniczanie liczby zapytań na użytkownika. Problem? Atakujący może użyć wielu kont lub rozłożyć zapytania w czasie.

Druga metoda to dodawanie "watermarków" do odpowiedzi – subtelnych wzorców, które pozwalają wykryć, czy ktoś używa sklonowanego modelu. Badacze testowali to i... nie działa zbyt dobrze. Watermarki można usunąć przez dodatkowy trening lub lekką modyfikację odpowiedzi.

Trzecia opcja to prawna. Można by argumentować, że destylacja narusza prawa autorskie lub umowy licencyjne. Ale prawo jest tutaj mgliste. Czy odpowiedzi AI są chronione prawem autorskim? Czy zadawanie pytań i uczenie się na odpowiedziach to kradzież, czy uczenie się?

analogię: idziesz na wykład uniwersytecki, robisz notatki i później uczysz innych na ich podstawie. To legalne. Ale jeśli skopiujesz slajdy profesora i sprzedajesz jako swoje? To już kradzież. Gdzie przebiega granica w przypadku AI.

Niektórzy badacze proponują rozwiązanie techniczne: modele, które świadomie "zapominają" części swojej wiedzy podczas odpowiadania. Problem? Taki model byłby mniej użyteczny dla uczciwych klientów.

Co to znaczy dla przyszłości AI?

Sytuacja zmusza branżę do przemyślenia modelu biznesowego. Może przyszłość to nie sprzedaż dostępu do modelu, ale sprzedaż całych rozwiązań? Zamiast API do GPT-5, dostajesz gotową aplikację do analizy dokumentów, której nie da się łatwo sklonować.

Inny scenariusz: modele staną się towarem masowym, jak elektryczność. Nie płacisz za "unikalny prąd" – płacisz za wygodę, niezawodność i integrację. OpenAI przestaje być firmą AI, a staje się firmą usługową, która oferuje ekosystem narzędzi.

Albo – co bardziej prawdopodobne – zobaczymy wyścig zbrojeń. Firmy będą rozwijać coraz bardziej wyrafinowane metody ochrony, a atakujący będą je łamać.

Dla Ciebie, jako użytkownika, to oznacza kilka rzeczy. Po pierwsze, możesz spodziewać się tańszych alternatyw dla drogich modeli – sklonowanych lub "inspirowanych" liderami rynku. Po drugie, możesz zobaczyć wzrost cen lub ograniczenia w dostępie do najlepszych modeli, gdy firmy będą próbować się bronić. Po trzecie, jakość może się pogorszyć, jeśli innowacje zwolnią przez brak ochrony inwestycji.

Czy to koniec ery otwartych API?

Niekoniecznie. Firmy mają jeszcze jedną przewagę: ciągły rozwój. Jeśli wydajesz nowy, lepszy model co kilka miesięcy, klony zawsze będą o krok z tyłu.

OpenAI robi dokładnie to. GPT-4 → GPT-4 Turbo → GPT-4o → GPT-5 (w przygotowaniu). Zanim konkurencja sklonuje jeden model, na rynku jest już następny. Użytkownicy płacą za dostęp do najnowszej wersji, nie za model sprzed pół roku.

Inny pomysł to modele hybrydowe. Część obliczeń dzieje się lokalnie (można sklonować), ale kluczowe elementy pozostają w chmurze (nie do skopiowania).

Badacze z UC San Diego sugerują też coś kontrowersyjnego: może destylacja nie jest problemem, ale rozwiązaniem? Jeśli każdy może sklonować model, presja rynkowa wymusi ciągłe innowacje. Firmy nie będą mogły polegać na jednym przełomie – będą musiały stale się rozwijać.

iPhone można "sklonować" (patrz: Android), ale Apple wciąż zarabia miliardy, bo oferuje ekosystem, design i doświadczenie użytkownika. Może AI pójdzie tą samą drogą.

Co możesz zrobić z tą wiedzą?

Jeśli prowadzisz firmę i używasz AI, przemyśl, na czym polegasz. Czy Twoja przewaga konkurencyjna to dostęp do najlepszego modelu? Jeśli tak, to przewaga może zniknąć w ciągu miesięcy. Lepiej budować wartość na danych, procesach i doświadczeniu klienta – rzeczach, których nie da się sklonować przez API.

Jeśli rozwijasz własny model AI, pomyśl o ochronie od pierwszego dnia. Może warto ograniczyć dostęp przez API? Albo oferować tylko specjalistyczne wersje, które trudniej sklonować.

A jeśli jesteś zwykłym użytkownikiem? Obserwuj rynek. Sklonowane modele mogą być tańsze, ale nie zawsze lepsze. Czasem warto zapłacić więcej za oryginał, który ma wsparcie, aktualizacje i nie zniknie z dnia na dzień, bo twórca dostał pozew.

Destylacja modeli AI to nie tylko techniczny problem – to pytanie o przyszłość całej branży. Jak chronić inwestycje, nie zabijając innowacji? Jak być otwartym, nie będąc naiwnym? Odpowiedzi nie są proste, ale jedno jest pewne: wyścig już się zaczął.

Źródła

• The Register AI – How AI could eat itself: Competitors can probe models to steal their secrets and clone them