Anthropic dénonce une campagne massive de « distillation d'IA » à l'échelle industrielle

Dans une escalade significative du conflit de propriété intellectuelle entre les laboratoires d'intelligence artificielle américains et chinois, Anthropic a publiquement accusé trois entreprises chinoises de premier plan — DeepSeek, Moonshot AI et MiniMax — d'avoir orchestré une campagne massive et coordonnée pour siphonner les capacités de son modèle phare, Claude. La startup de San Francisco, spécialisée dans la sécurité de l'IA (AI safety), qualifie l'opération de « vol à l'échelle industrielle », impliquant plus de 16 millions d'échanges non autorisés générés par un réseau sophistiqué de comptes frauduleux.

Cette révélation marque l'une des allégations de vol de données d'IA les plus spécifiques et quantifiées à ce jour. Selon Anthropic, l'opération n'était pas simplement du scraping opportuniste, mais une « attaque par distillation » (Distillation Attack) délibérée conçue pour entraîner des modèles concurrents en utilisant les sorties de raisonnement avancé et de codage de Claude. L'incident souligne la tension croissante dans la course mondiale aux armements de l'IA, où la frontière entre la recherche compétitive et l'extraction illicite devient de plus en plus instable.

L'anatomie de l'attaque : 16 millions d'échanges

L'équipe de sécurité d'Anthropic a identifié une infrastructure tentaculaire d'environ 24 000 comptes frauduleux utilisés pour contourner les conditions d'utilisation de l'entreprise et les restrictions d'accès régionales. Étant donné que Claude n'est pas commercialement disponible en Chine, les entreprises accusées auraient utilisé des services de proxy commerciaux pour masquer leurs origines, créant ce que les ingénieurs d'Anthropic ont appelé des « clusters Hydra » — des réseaux de comptes qui distribuent le trafic via des API tierces pour échapper à la détection.

L'ampleur de l'opération était fortement orientée vers MiniMax, une licorne basée à Shanghai, qu'Anthropic prétend être responsable de la part du lion du trafic illicite. Alors que DeepSeek a attiré une attention médiatique considérable récemment pour ses modèles open-source efficaces, c'est MiniMax qui aurait mené la campagne d'extraction la plus agressive dans ce cas précis.

Répartition de l'activité de distillation présumée

Données basées sur le rapport de renseignement sur les menaces d'Anthropic publié en février 2026.

La disparité des volumes suggère des objectifs stratégiques différents pour chaque entreprise. Le volume massif de MiniMax indique une tentative large de reproduire les capacités polyvalentes de Claude, particulièrement dans les tâches « agentiques » où le modèle agit de manière autonome. En revanche, l'empreinte plus réduite de DeepSeek semble avoir été hautement chirurgicale, se concentrant sur des chaînes de raisonnement spécifiques à haute valeur pour affiner leurs architectures existantes.

Décoder la « distillation d'IA » : Innovation ou vol ?

Au cœur de cette controverse se trouve la pratique de la « distillation de connaissances » (Knowledge Distillation). Dans un contexte légitime, les développeurs utilisent un grand modèle « enseignant » pour entraîner un modèle « élève » plus petit et plus efficace. Ce processus compresse les connaissances d'un système massif en une version plus rapide et moins coûteuse, ce qui est une pratique courante pour le développement de produits internes.

Cependant, Anthropic soutient que lorsque cela est fait par un concurrent sans autorisation, cela constitue une violation des conditions et un vol d'intelligence propriétaire. En soumettant à Claude des millions de requêtes (prompts) complexes et en récoltant ses réponses, les laboratoires chinois ont effectivement contourné les coûts immenses de calcul et de conservation des données nécessaires pour entraîner un modèle de pointe (frontier model) à partir de zéro.

« Ces laboratoires ne se contentent pas d'apprendre de nous ; ils photocopient effectivement les résultats de milliards de dollars en R&D », a déclaré un porte-parole d'Anthropic. Le rapport souligne que les requêtes n'étaient pas des interactions utilisateur typiques. Au lieu de cela, elles étaient structurellement distinctes — impliquant souvent des défis de codage complexes ou des demandes de raisonnement étape par étape qui sont idéales pour les ensembles de données d'entraînement (Fine-Tuning Data).

Sécurité nationale et « écart de sécurité »

Anthropic a présenté cet incident non seulement comme un différend commercial, mais comme un impératif de sécurité nationale (National Security). L'entreprise soutient que la distillation illicite pose un danger unique : elle supprime les garde-fous de sécurité intégrés dans le modèle original.

Lorsqu'un modèle comme Claude est distillé, le modèle « élève » apprend les capacités (comment écrire un malware, comment synthétiser des produits chimiques) sans nécessairement apprendre les refus de sécurité ou les alignements moraux qu'Anthropic passe des mois à renforcer. Cela se traduit par des « capacités non protégées » qui peuvent être déployées par des régimes autoritaires ou des acteurs malveillants sans les restrictions intégrées du modèle source.

Implications de la distillation illicite

• Érosion des contrôles à l'exportation : Les capacités sophistiquées sont transférées numériquement, contournant les restrictions physiques sur les puces.
• Découplage de la sécurité : Les modèles distillés échouent souvent à conserver les comportements de « refus » du modèle enseignant.
• Distorsion du marché : Les entreprises se livrant au vol peuvent casser les prix en évitant les coûts de formation.
• Risque de prolifération : Des versions non censurées de modèles de pointe peuvent être facilement adaptées pour des opérations cyberoffensives.

Les contre-mesures techniques

La détection de cette campagne a reposé sur une analyse comportementale avancée. L'équipe « Trust and Safety » d'Anthropic a remarqué des anomalies dans les modèles de trafic que les utilisateurs humains présentent rarement, telles que des requêtes distinctes 24h/24 et 7j/7 sans temps d'arrêt, et une forte densité de requêtes de type « jailbreak » conçues pour tester les limites du modèle.

En corrélant les adresses IP et les méthodes de paiement associées aux services de proxy, Anthropic a pu regrouper les 24 000 comptes en clusters distincts attribués aux trois entreprises spécifiques. La société a depuis suspendu ces comptes et mis en œuvre des protocoles « Know Your Customer » (KYC) plus stricts pour l'accès à l'API, bien qu'ils reconnaissent que la nature de « jeu de la taupe » des réseaux de proxy rend toute prévention permanente difficile.

Réaction de l'industrie et perspectives d'avenir

Cette accusation survient quelques semaines après qu'OpenAI a porté des accusations similaires, bien que moins détaillées, contre des concurrents chinois, suggérant un modèle systémique à travers l'industrie. Le raccourci de la « distillation » devient la méthode principale pour les concurrents à la traîne afin de combler l'écart avec les modèles de pointe américains.

Pour la communauté de l'IA, cet incident soulève des questions critiques sur l'applicabilité des conditions d'utilisation dans une économie numérique mondiale. À mesure que les modèles deviennent plus puissants, la valeur de leur sortie augmente, ce qui en fait des cibles lucratives pour l'extraction. Nous pouvons nous attendre à ce que cela accélère la pression pour une action législative, menant potentiellement à de nouvelles réglementations américaines qui traiteraient les poids des modèles (model weights) et les sorties des modèles comme des produits contrôlés, soumis au même examen strict que les GPU haut de gamme actuellement restreints à l'exportation vers la Chine.

Alors que la poussière retombe, l'attention se tourne vers la manière dont DeepSeek, Moonshot et MiniMax vont répondre. Bien qu'ils soient historiquement restés silencieux sur de telles accusations, la précision des données d'Anthropic laisse peu de place à l'ambiguïté concernant l'origine des attaques.