Anthropic deckt massive KI-Distillationskampagne im „industriellen Maßstab“ auf

In einer erheblichen Eskalation des Konflikts um geistiges Eigentum zwischen amerikanischen und chinesischen Laboren für Künstliche Intelligenz (Artificial Intelligence) hat Anthropic drei führende chinesische Firmen – DeepSeek, Moonshot AI und MiniMax – öffentlich beschuldigt, eine massive, koordinierte Kampagne orchestriert zu haben, um Fähigkeiten von seinem Flaggschiffmodell Claude abzuzweigen. Das in San Francisco ansässige KI-Sicherheits-Startup bezeichnet die Operation als „Diebstahl im industriellen Maßstab“ (Industrial-Scale Theft), der über 16 Millionen unbefugte Interaktionen umfasst, die über ein ausgeklügeltes Netzwerk betrügerischer Konten generiert wurden.

Diese Enthüllung markiert eine der bisher spezifischsten und quantifiziertesten Anschuldigungen wegen KI-Datendiebstahls. Laut Anthropic war die Operation nicht bloß opportunistisches Scraping, sondern ein vorsätzlicher „Distillationsangriff“ (Distillation Attack), der darauf ausgelegt war, Konkurrenzmodelle mithilfe von Claudes fortgeschrittenen Schlussfolgerungen und Coding-Ausgaben zu trainieren. Der Vorfall unterstreicht die wachsenden Spannungen im globalen KI-Wettrüsten, bei dem die Grenze zwischen kompetitiver Forschung und illegaler Extraktion zunehmend instabil wird.

Die Anatomie des Angriffs: 16 Millionen Interaktionen

Das Sicherheitsteam von Anthropic identifizierte eine weitverzweigte Infrastruktur von etwa 24.000 betrügerischen Konten, die verwendet wurden, um die Nutzungsbedingungen des Unternehmens und regionale Zugangsbeschränkungen zu umgehen. Da Claude in China kommerziell nicht verfügbar ist, nutzten die beschuldigten Firmen angeblich kommerzielle Proxy-Dienste, um ihre Herkunft zu verschleiern, und schufen so das, was Anthropic-Ingenieure als „Hydra-Cluster“ bezeichnen – Netzwerke von Konten, die den Datenverkehr über APIs von Drittanbietern verteilen, um der Entdeckung zu entgehen.

Der Umfang der Operation war stark auf MiniMax ausgerichtet, ein in Shanghai ansässiges Unicorn, das laut Anthropic für den Löwenanteil des illegalen Datenverkehrs verantwortlich war. Während DeepSeek in letzter Zeit viel Medienaufmerksamkeit für seine effizienten Open-Source-Modelle erhalten hat, war es MiniMax, das in diesem Fall angeblich die aggressivste Extraktionskampagne durchführte.

Aufschlüsselung der angeblichen Distillationsaktivitäten

Daten basierend auf dem Threat Intelligence Report von Anthropic, veröffentlicht im Februar 2026.

Das unterschiedliche Volumen deutet auf verschiedene strategische Ziele der einzelnen Firmen hin. Das massive Volumen von MiniMax deutet auf einen breiten Versuch hin, die Allzweckfähigkeiten von Claude zu replizieren, insbesondere bei „agentischen“ Aufgaben, bei denen das Modell autonom agiert. Im Gegensatz dazu scheint der kleinere Fußabdruck von DeepSeek hochgradig chirurgisch gewesen zu sein und konzentrierte sich auf spezifische, hochwertige Schlussfolgerungsketten, um deren bestehende Architekturen feinabzustimmen (Fine-Tuning).

Entschlüsselung der „KI-Distillation“: Innovation oder Diebstahl?

Im Zentrum dieser Kontroverse steht die Praxis der „Wissensdestillation“ (Knowledge Distillation). In einem legitimen Kontext verwenden Entwickler ein großes „Lehrer“-Modell (Teacher Model), um ein kleineres, effizienteres „Schüler“-Modell (Student Model) zu trainieren. Dieser Prozess komprimiert das Wissen eines massiven Systems in eine schnellere, kostengünstigere Version, was Standardpraxis für die interne Produktentwicklung ist.

Anthropic behauptet jedoch, dass dies, wenn es von einem Konkurrenten ohne Erlaubnis durchgeführt wird, eine Verletzung der Bedingungen und einen Diebstahl proprietärer Intelligenz darstellt. Indem sie Claude Millionen von komplexen Prompts fütterten und dessen Antworten ernteten, umgingen die chinesischen Labore effektiv die immensen Kosten für Rechenleistung (Compute) und Datenkuratierung, die erforderlich sind, um ein Frontier-Modell von Grund auf neu zu trainieren.

„Diese Labore lernen nicht nur von uns; sie fotokopieren effektiv die Ergebnisse von R&D in Milliardenhöhe“, erklärte ein Sprecher von Anthropic. Der Bericht hebt hervor, dass die Abfragen keine typischen Benutzerinteraktionen waren. Stattdessen waren sie strukturell verschieden – oft beinhalteten sie komplexe Coding-Herausforderungen oder Anfragen für schrittweise Schlussfolgerungen, die ideal für Trainingsdatensätze (Fine-Tuning Data) sind.

Nationale Sicherheit und die „Sicherheitslücke“

Anthropic hat diesen Vorfall nicht nur als kommerziellen Streit, sondern als Notwendigkeit für die nationale Sicherheit (National Security) eingestuft. Das Unternehmen argumentiert, dass illegale Distillation eine einzigartige Gefahr darstellt: Sie entfernt die Sicherheitsvorkehrungen (Safety Guardrails), die in das ursprüngliche Modell eingebettet sind.

Wenn ein Modell wie Claude distilliert wird, lernt das „Schüler“-Modell die Fähigkeiten (wie man Malware schreibt, wie man Chemikalien synthetisiert), ohne notwendigerweise die Sicherheitsverweigerungen oder moralischen Ausrichtungen zu lernen, für deren Verstärkung Anthropic Monate aufwendet. Dies führt zu „ungeschützten Fähigkeiten“, die von autoritären Regimen oder böswilligen Akteuren ohne die eingebauten Einschränkungen des Quellmodells eingesetzt werden können.

Auswirkungen illegaler Distillation

• Erosion von Exportkontrollen: Hochentwickelte Fähigkeiten werden digital übertragen und umgehen physische Chip-Beschränkungen.
• Entkopplung der Sicherheit: Distillierte Modelle behalten oft nicht das „Verweigerungsverhalten“ (Refusal Behavior) des Lehrer-Modells bei.
• Marktverzerrung: Unternehmen, die Diebstahl begehen, können Preise unterbieten, indem sie Trainingskosten vermeiden.
• Proliferationsrisiko: Unzensierte Versionen von Frontier-Modellen können leicht für offensive Cyber-Operationen angepasst werden.

Die technischen Gegenmaßnahmen

Die Entdeckung dieser Kampagne stützte sich auf fortschrittliche Verhaltensanalysen. Das „Trust and Safety“-Team von Anthropic bemerkte Anomalien in den Verkehrsmustern, die menschliche Benutzer selten zeigen, wie zum Beispiel eindeutige Abfragen rund um die Uhr ohne Leerlaufzeit und eine hohe Dichte an Prompts im „Jailbreak-Stil“, die darauf ausgelegt sind, die Grenzen des Modells zu testen.

Durch die Korrelation von IP-Adressen und Zahlungsmethoden, die mit den Proxy-Diensten verbunden sind, war Anthropic in der Lage, die 24.000 Konten in verschiedene Cluster zu gruppieren, die den drei spezifischen Firmen zugeordnet wurden. Das Unternehmen hat diese Konten seither gesperrt und strengere „Know Your Customer“ (KYC)-Protokolle für den API-Zugang eingeführt, räumt jedoch ein, dass der „Whack-a-Mole“-Charakter von Proxy-Netzwerken eine dauerhafte Verhinderung erschwert.

Branchenreaktion und Zukunftsausblick

Diese Anschuldigung erfolgt Wochen nachdem OpenAI ähnliche, wenn auch weniger detaillierte Vorwürfe gegen chinesische Konkurrenten erhoben hat, was auf ein systemisches Muster in der gesamten Branche hindeutet. Die Abkürzung über „Distillation“ wird zur primären Methode für hinterherhinkende Wettbewerber, um die Lücke zu US-Frontier-Modellen zu schließen.

Für die KI-Community wirft dieser Vorfall kritische Fragen zur Durchsetzbarkeit von Nutzungsbedingungen in einer globalen digitalen Wirtschaft auf. Da Modelle leistungsfähiger werden, steigt der Wert ihrer Ausgaben, was sie zu lukrativen Zielen für die Extraktion macht. Wir können erwarten, dass dies den Druck auf gesetzgeberische Maßnahmen beschleunigt, was potenziell zu neuen US-Vorschriften führt, die Modellgewichte und Modellausgaben als kontrollierte Güter behandeln, die derselben strengen Prüfung unterliegen wie die High-End-GPUs, deren Export nach China derzeit beschränkt ist.

Während sich der Staub legt, richtet sich der Fokus darauf, wie DeepSeek, Moonshot und MiniMax reagieren werden. Während sie in der Vergangenheit zu solchen Anschuldigungen geschwiegen haben, lässt die Spezifität der Daten von Anthropic wenig Raum für Unklarheiten hinsichtlich des Ursprungs der Angriffe.