Anthropic 指控 DeepSeek、Moonshot 和 MiniMax 對 Claude 進行工業規模的 AI 蒸餾攻擊

Anthropic 揭露大規模「工業級」AI 蒸餾（AI Distillation）活動

在美國與中國人工智慧實驗室之間智慧財產權衝突顯著升級之際，Anthropic 公開指控三家領先的中國公司——DeepSeek、月之暗面（Moonshot AI）和 MiniMax——策劃了一場大規模且有協調的活動，從其旗艦模型 Claude 中竊取能力。這家總部位於舊金山的 AI 安全新創公司將此行動描述為「工業級竊盜」，涉及超過 1,600 萬次透過複雜的詐欺帳戶網路產生的未經授權交流。

這一揭露標誌著迄今為止最具體且量化的 AI 數據竊取指控之一。根據 Anthropic 的說法，該行動不僅僅是投機性的抓取，而是一場蓄意的「蒸餾攻擊」（Distillation attack），旨在利用 Claude 先進的推理和程式碼輸出來訓練競爭對手的模型。此事件凸顯了全球 AI 軍備競賽中日益緊張的局勢，在競爭性研究與非法提取之間的界線正變得越來越不穩定。

攻擊解構：1,600 萬次交流

Anthropic 的安全團隊識別出一個龐大的基礎設施，包含約 24,000 個用於繞過公司服務條款和地區訪問限制的詐欺帳戶。由於 Claude 在中國並未提供商業服務，被指控的公司據稱利用商業代理服務來掩飾其來源，創建了 Anthropic 工程師所稱的「海德拉集群（Hydra clusters）」——即將流量分配到第三方 API 以規避偵測的帳戶網路。

該行動的規模嚴重向總部位於上海的獨角獸公司 MiniMax 傾斜，Anthropic 聲稱該公司應對大部分非法流量負責。雖然 DeepSeek 最近因其高效的開源模型而獲得了顯著的媒體關注，但在此次事件中，據稱是 MiniMax 進行了最具侵略性的提取活動。

被指控蒸餾活動細目

被指控公司	預估交流次數	主要目標能力	行動規模
MiniMax	> 13,000,000	代理推理、工具使用	大規模 / 工業級
Moonshot AI	> 3,400,000	長文本處理、程式編碼	顯著
DeepSeek	> 150,000	思維鏈推理	針對性 / 戰略性

數據源自 Anthropic 於 2026 年 2 月發布的威脅情報報告。

交易量的差異表明每家公司有不同的戰略目標。MiniMax 龐大的交易量表明其廣泛嘗試複製 Claude 的通用能力，特別是在模型自主運行的「代理」任務中。相比之下，DeepSeek 的規模較小，似乎具有高度的手術式精確性，專注於特定的高價值推理鏈，以微調其現有架構。

解碼「AI 蒸餾」：創新還是竊盜？

這場爭議的核心是「知識蒸餾（Knowledge distillation）」的做法。在合法的背景下，開發者使用一個大型的「教師」模型來訓練一個更小、更高效的「學生」模型。這個過程將龐大系統的知識壓縮成一個更快、更便宜的版本，這是內部產品開發的標準做法。

然而，Anthropic 認為，當競爭對手在未經許可的情況下進行此操作時，即構成違反條款和竊取專有智慧財產。透過向 Claude 輸入數百萬個複雜的提示並收穫其答案，中國實驗室有效地繞過了從頭開始訓練尖端模型（Frontier model）所需的巨大算力和數據策劃成本。

「這些實驗室不僅僅是在向我們學習；他們實際上是在影印價值數十億美元的研發成果，」Anthropic 的發言人表示。該報告強調，這些查詢並非典型的用戶互動。相反，它們在結構上截然不同——通常涉及複雜的程式碼挑戰或要求逐步推理的請求，這些都是訓練數據集（Fine-Tuning Data）的理想素材。

國家安全與「安全差距」

Anthropic 將此事件框架為不僅是商業糾紛，更是國家安全的迫切問題。該公司辯稱，非法蒸餾構成了一種獨特的危險：它剝離了嵌入在原始模型中的安全護欄。

當像 Claude 這樣的模型被蒸餾時，「學生」模型學習了能力（如如何編寫惡意軟體、如何合成化學品），而不一定學習 Anthropic 花費數月強化的安全拒絕或道德對齊。這導致了「無保護的能力」，可以被威權政權或惡意行為者部署，而沒有來源模型內建的限制。

非法蒸餾的影響

出口管制受損： 先進能力透過數位方式轉移，繞過了實體晶片限制。
安全脫鉤： 蒸餾模型往往無法保留教師模型的「拒絕」行為。
市場扭曲： 從事竊盜的公司可以透過避免訓練成本來壓低價格。
擴散風險： 未經審查的尖端模型版本可以輕易地被調整用於攻擊性的網路行動。

技術對策

此次活動的偵測依賴於先進的行為分析。Anthropic 的「信任與安全」團隊注意到了人類用戶鮮少表現出的流量模式異常，例如全年無休、沒有閒置時間的獨特查詢，以及旨在測試模型極限的高密度「越獄式」提示。

透過關聯與代理服務相關的 IP 地址和支付方式，Anthropic 能夠將 24,000 個帳戶歸類為歸屬於這三家特定公司的不同集群。該公司隨後已暫停這些帳戶，並對 API 訪問實施了更嚴格的「了解您的客戶」（KYC）協議，儘管他們承認代理網路的「打地鼠」性質使得永久防範變得困難。

行業反應與未來展望

這次指控發生在 OpenAI 對中國競爭對手提出類似（儘管不那麼詳細）指控的幾週後，這表明了整個行業中存在的一種系統性模式。「蒸餾」捷徑正成為落後的競爭對手縮小與美國尖端模型差距的主要方法。

對於 AI 社群而言，此事件引發了關於在全球數位經濟中服務條款可執行性的關鍵問題。隨著模型變得越來越強大，其輸出的價值也隨之增加，使它們成為有利可圖的提取目標。我們可以預見這將加速立法行動的推動，可能導致美國的新法規將模型權重（Model weights）和模型輸出視為受控商品，受到與目前限制出口到中國的高端 GPU 相同的嚴格審查。

隨著塵埃落定，焦點轉向 DeepSeek、月之暗面和 MiniMax 將如何回應。雖然他們歷來對此類指控保持沉默，但 Anthropic 數據的具體性，使得關於攻擊來源的模糊空間微乎其微。