Anthropic、大規模な「産業規模」のAI蒸留キャンペーンを暴露
アメリカと中国の人工知能(AI)研究所間における知的財産を巡る紛争が重大な局面を迎える中、Anthropicは中国の主要企業3社(DeepSeek、Moonshot AI、MiniMax)に対し、同社のフラッグシップモデルであるClaudeから能力を吸収するための大規模かつ組織的なキャンペーンを主導したとして公開提訴しました。サンフランシスコを拠点とするAI安全性のスタートアップである同社は、この活動を「産業規模の窃盗(Industrial-scale theft)」と表現しており、巧妙な不正アカウントネットワークを通じて生成された1,600万件以上の無許可のやり取りが含まれているとしています。
この暴露は、これまでのAIデータ窃盗の申し立ての中で、最も具体的かつ定量化されたものの一つとなります。Anthropic によれば、この活動は単なる投機的なスクレイピングではなく、Claudeの高度な推論やコーディングの出力を利用して競合モデルを訓練するために設計された、意図的な「蒸留攻撃(Distillation attack)」でした。この事件は、競争力のある研究と不法な抽出の境界線がますます不安定になっている、世界的なAI軍拡競争における緊張の高まりを浮き彫りにしています。
攻撃の解剖:1,600万件のやり取り
Anthropicのセキュリティチームは、同社の利用規約や地域的なアクセス制限を回避するために使用された、約24,000件の 不正アカウント からなる広大なインフラを特定しました。Claudeは中国国内で商業的に利用可能ではないため、被告企業らは商業用プロキシサービスを利用して発信元を隠蔽し、Anthropicのエンジニアが「ヒドラ・クラスター(Hydra clusters)」と呼ぶ、検知を逃れるためにサードパーティAPI間でトラフィックを分散させるアカウントネットワークを構築したとされています。
この活動の規模は、上海を拠点とするユニコーン企業であるMiniMaxに大きく偏っており、Anthropicは不正トラフィックの大部分が同社によるものであると主張しています。近年、効率的なオープンソースモデルで大きな注目を集めている DeepSeek ですが、今回の事例で最も攻撃的な抽出キャンペーンを行ったのはMiniMaxであったとされています。
申し立てられた蒸留活動の内訳
| 被疑企業 | 推定やり取り件数 | 主要なターゲット能力 | 操作規模 |
|---|---|---|---|
| MiniMax | > 13,000,000 | エージェント的推論、ツール利用 | 大規模 / 産業的 |
| Moonshot AI | > 3,400,000 | 長文コンテキスト処理、コーディング | 重大 |
| DeepSeek | > 150,000 | 思考の連鎖(Chain-of-thought)推論 | 標的型 / 戦略的 |
2026年2月に公開されたAnthropicの脅威インテリジェンスレポートに基づくデータ。
このボリュームの格差は、各社の戦略的目標の違いを示唆しています。MiniMaxの膨大なボリュームは、特にモデルが自律的に動作する「エージェント的(Agentic)」なタスクにおいて、Claude の汎用的な能力を再現しようとする広範な試みを示しています。対照的に、DeepSeekの比較的小規模な活動は、既存のアーキテクチャを微調整するために、特定の高価値な推論チェーンに焦点を当てた非常に外科的なものであったようです。
「AI蒸留」を読み解く:イノベーションか窃盗か?
この論争の中心にあるのは「知識蒸留(Knowledge distillation)」という慣行です。正当な文脈では、開発者は大規模な「教師」モデルを使用して、より小さく効率的な「生徒」モデルを訓練します。このプロセスは、大規模なシステムの知識をより高速で安価なバージョンに圧縮するものであり、社内の製品開発における標準的な慣行です。
しかしAnthropicは、これが競合他社によって許可なく行われた場合、規約違反および独自の知能の窃盗に当たると主張しています。中国の研究所は、Claudeに数百万件の複雑なプロンプトを与え、その回答を収穫することで、フロンティアモデルをゼロから訓練するために必要な莫大な計算コストとデータキュレーションコストを事実上回避しました。
Anthropicの広報担当者は、「これらの研究所は単に我々から学んでいるのではなく、数十億ドルの研究開発(R&D)の結果を事実上フォトコピーしているのです」と述べています。レポートでは、これらのクエリが典型的なユーザーの対話ではなかったことを強調しています。代わりに、それらは構造的に独特であり、訓練データ(Fine-Tuning Data)として理想的な、複雑なコーディングの課題やステップバイステップの推論を求めるリクエストが含まれていました。
国家安全保障と「セーフティ・ギャップ」
Anthropicはこの事件を単なる商業紛争としてではなく、国家安全保障(National security) 上の急務として位置づけています。同社は、不法な蒸留が特有の危険をもたらすと主張しています。それは、元のモデルに組み込まれた安全性のガードレールを剥ぎ取ってしまうことです。
Claudeのようなモデルが蒸留される際、「生徒」モデルは、Anthropicが数ヶ月かけて強化した安全性の拒否や倫理的なアライメントを必ずしも学習することなく、能力(マルウェアの書き方、化学物質の合成方法など)を学習します。その結果、ソースモデルのような組み込みの制限なしに、権威主義体制や悪意のあるアクターによって展開される可能性のある「保護されていない能力」が生まれることになります。
不法な蒸留の影響
- 輸出管理の形骸化: 高度な能力がデジタルで転送され、物理的なチップ制限を回避する。
- 安全性の切り離し: 蒸留されたモデルは、教師モデルの「拒否」行動を保持できないことが多い。
- 市場の歪み: 窃盗に関与する企業は、訓練コストを回避することで価格を不当に引き下げることができる。
- 拡散リスク: 検閲されていないバージョンのフロンティアモデルが、攻撃的なサイバー操作に容易に転用される可能性がある。
技術的な対抗策
このキャンペーンの検知は、高度な行動分析に依拠していました。Anthropicの「トラスト&セーフティ」チームは、アイドル時間のない24時間体制の独特なクエリ実行や、モデルの限界をテストするために設計された高密度の「脱獄スタイル(Jailbreak-style)」プロンプトなど、人間のユーザーがほとんど示さないトラフィックパターンの異常に気づきました。
プロキシサービスに関連付けられたIPアドレスと支払い方法を照合することで、Anthropicは24,000件のアカウントを、これら3社に起因する個別のクラスターに分類することができました。同社はその後、これらのアカウントを停止し、APIアクセスのためのより厳格な「顧客確認(KYC)」プロトコルを導入しましたが、プロキシネットワークの「いたちごっこ」のような性質から、恒久的な防止は困難であることも認めています。
業界の反応と今後の見通し
この告発は、OpenAIが中国の競合他社に対して同様の(ただし詳細は少ない)容疑を提起した数週間後に行われたものであり、業界全体にわたる体系的なパターンを示唆しています。「蒸留」という近道は、米国のフロンティアモデルとの格差を埋めるために、遅れをとっている競合他社にとっての主要な手法になりつつあります。
AIコミュニティにとって、この事件はグローバルなデジタル経済における利用規約の強制力について重大な疑問を投げかけています。モデルがより強力になるにつれて、その出力の価値は高まり、抽出の格好の標的となります。これにより立法措置への動きが加速し、モデルの重みやモデルの出力を、現在中国への輸出が制限されているハイエンドGPUと同じ厳格な監視対象となる規制品として扱う、米国の新しい規制につながる可能性があります。
事態が沈静化する中、焦点はDeepSeek、Moonshot、MiniMaxがどのように反応するかに移っています。彼らは歴史的にこうした告発に対して沈黙を守ってきましたが、Anthropicが提示したデータの具体性は、攻撃の起源に関する曖昧さの余地をほとんど残していません。
