Anthropic指控DeepSeek等中国三家AI大模型公司通过AI蒸馏窃取Claude模型能力

文章摘要:Anthropic公开指控DeepSeek、Moonshot AI和MiniMax通过2.4万个虚假账户进行1600万次交互,系统性窃取Claude模型能力,将AI蒸馏技术从学术工具演变为地缘政治焦点。

引言:硅谷AI巨头的重磅指控

2026年2月,人工智能行业迎来一场震撼性的风暴。总部位于旧金山的Anthropic公司周一公开指控三家知名中国AI公司------DeepSeek、Moonshot AI(月之暗面)和MiniMax------策划了协同的工业规模行动,通过数以万计的欺诈性账户系统性地窃取其Claude模型的核心能力。

这起指控并非简单的商业纠纷。该公司披露,这三家公司通过约2.4万个虚假账户,累计与Claude模型进行了超过1600万次交互,全部违反了Anthropic的服务条款和区域访问限制。Anthropic表示,这些行动是迄今为止最具体、最详细的公开证据,证明外国竞争对手正在系统性地使用一种称为"蒸馏"(distillation)的技术,试图跨越多年研究和数十亿美元投资的成果。

"这些行动的强度和复杂度正在不断增加,"Anthropic在周一发布的技术博客文章中写道,"采取行动的窗口期很窄,这一威胁超越了任何单一公司或地区。应对它需要行业参与者、政策制定者和全球AI社区之间快速、协同的行动。"

AI蒸馏技术的演变

什么是AI蒸馏?

要理解Anthropic的指控,首先需要理解什么是"蒸馏"技术,以及它如何从一个学术概念演变为全球AI竞赛中最具争议性的问题。

蒸馏的核心是一个从更大、更强大的AI模型(称为"教师"模型)中提取知识,以创建更小、更高效的模型(称为"学生"模型)的过程。学生模型不是从原始数据中学习,而是从教师的输出中学习:它的答案、推理模式和行为。如果操作得当,学生模型可以达到与教师模型非常接近的性能,同时只需要一小部分的计算资源来训练。

正如Anthropic自己承认的,蒸馏是"一种广泛使用且合法的训练方法"。包括Anthropic在内的前沿AI实验室经常蒸馏自己的模型,为客户创建更小、更便宜的版本。但同样的技术也可能被武器化。竞争对手可以伪装成合法客户,用精心设计的提示轰炸前沿模型,收集输出,并使用这些输出来训练竞争系统------从而获取需要多年时间和数亿美元才能开发出的能力。

DeepSeek引爆的蒸馏技术风波

这项技术在2025年1月突然进入公众视野,当时DeepSeek发布了其R1推理模型,该模型似乎以显著更低的成本达到或接近领先美国模型的性能。Databricks首席执行官Ali Ghodsi当时向CNBC表达了行业的焦虑:"这种蒸馏技术非常强大、非常便宜,而且任何人都可以使用。"他预测这项技术将开启大型语言模型的激烈竞争时代。

这一预测迅速成为现实。在DeepSeek发布后的几周内,加州大学伯克利分校的研究人员表示,他们仅用450美元在19小时内重现了OpenAI的推理模型。斯坦福大学和华盛顿大学的研究人员紧随其后,用不到50美元的计算资源在26分钟内构建了自己的版本。初创公司Hugging Face将OpenAI的Deep Research功能作为24小时编码挑战进行了复制。DeepSeek本身在Hugging Face上公开发布了一系列蒸馏模型------包括基于Qwen和Llama架构构建的版本------采用宽松的MIT许可证,模型卡明确说明DeepSeek-R1系列支持商业使用并允许任何修改和衍生作品,"包括但不限于用于训练其他大型语言模型的蒸馏"。

但Anthropic周一描述的情况远远超出了学术复制或开源实验。该公司详细描述了其所称的由资源充足的商业实验室进行的蓄意、隐蔽和大规模知识产权提取行为,这些实验室在中国政府管辖之下运作。

三大中国AI公司的详细指控

归因方法:高置信度追踪

Anthropic表示,它通过IP地址关联、请求元数据、基础设施指标以及未具名行业合作伙伴的佐证,"高置信度"地将每次行动归因于具体实验室,这些合作伙伴在自己的平台上也观察到了相同的行为者。每次行动都特别针对Anthropic所描述的Claude最具差异化的能力:智能体推理、工具使用和编码。

DeepSeek:最技术复杂的操作

DeepSeek,这家引发蒸馏辩论的公司,进行了Anthropic所描述的三次操作中技术最复杂的一次,产生了超过15万次与Claude的交互。Anthropic表示,DeepSeek的提示针对推理能力、基于标准的评分任务(旨在使Claude充当强化学习的奖励模型),以及------这一细节可能会引起特别的政治关注------创建"对政策敏感查询的审查安全替代方案"。

Anthropic指控DeepSeek"在账户之间产生同步流量",具有"相同的模式、共享的支付方法和协调的时间安排",表明通过负载均衡来最大化吞吐量同时逃避检测。在一个特别值得注意的技术中,Anthropic表示DeepSeek的提示"要求Claude想象并阐明已完成响应背后的内部推理,并逐步写出来------有效地大规模生成思维链训练数据"。

该公司还指控观察到Claude被用来为关于"异见人士、党派领导人或威权主义"的政治敏感查询生成替代方案的任务,可能是为了训练DeepSeek自己的模型,使对话远离受审查的话题。Anthropic表示,它能够将这些账户追溯到该实验室的特定研究人员。

Moonshot AI(月之暗面):第二大规模操作

Moonshot AI,总部位于北京的Kimi模型创建者,运营了按交互量计算第二大的操作,超过340万次交互。Anthropic表示,Moonshot针对智能体推理和工具使用、编码和数据分析、计算机使用智能体开发以及计算机视觉。该公司使用了"数百个欺诈性账户,跨越多个访问路径",使得该行动更难被检测为协同操作。Anthropic通过请求元数据归因该行动,这些元数据"与Moonshot高级员工的公开资料相匹配"。

在后期阶段,Anthropic表示,Moonshot采用了更有针对性的方法,"试图提取和重建Claude的推理轨迹"。

MiniMax:最高产的行动者

MiniMax,三家中公众知名度最低但交互量最高的,产生了超过1300万次交互------占总数的四分之三以上。Anthropic表示,MiniMax的行动集中在智能体编码、工具使用和编排上。

该公司表示,它在MiniMax的行动仍在进行时就检测到了它,"在MiniMax发布其正在训练的模型之前",这使Anthropic"对蒸馏攻击的生命周期有了前所未有的可见性,从数据生成到模型发布"。在一个强调Anthropic所指控的紧迫性和机会主义的细节中,该公司表示,当它在MiniMax活跃行动期间发布新模型时,MiniMax"在24小时内调整方向,将近一半的流量重定向以捕获我们最新系统的能力"。

超越知识产权纠纷

从商业违规到安全威胁

Anthropic并未将此视为单纯的服务条款违规。该公司将其技术披露嵌入明确的国家安全论述中,警告"非法蒸馏的模型缺乏必要的保障措施,造成重大国家安全风险"。

该公司认为,通过非法蒸馏构建的模型"不太可能保留"美国公司在其系统中构建的安全防护措施------这些保护措施旨在防止AI被用于开发生物武器、进行网络攻击或实现大规模监控。"蒸馏美国模型的外国实验室随后可以将这些不受保护的能力输入军事、情报和监控系统,"Anthropic写道,"使威权政府能够部署前沿AI进行进攻性网络操作、虚假信息宣传和大规模监控"。

与芯片出口管制的关联

这一框架直接关联到Anthropic首席执行官Dario Amodei一直倡导的芯片出口管制辩论。在2025年1月发表的一篇详细文章中,Amodei认为出口管制是"决定我们最终处于单极还是两极世界的最重要因素"------一个只有美国及其盟友拥有最强大AI的世界,还是中国实现平等的世界。他当时特别指出,他"不对西方模型蒸馏的报道采取任何立场",并将"相信DeepSeek的说法,即他们按照论文中所说的方式训练了它"。

周一的披露与之前的克制形成鲜明对比。Anthropic现在认为,蒸馏攻击"削弱"了出口管制, 通过其他手段缩小出口管制旨在维护的竞争优势"。该公司进一步断言,"如果没有对这些攻击的可见性,这些公司明显的快速进步被错误地视为出口管制无效的证据"。换句话说,Anthropic认为,一些观察者将其解释为中国实验室可以围绕芯片限制进行创新的证据,实际上在很大程度上是窃取美国能力的结果。

法律困境:为何选择政治而非诉讼

AI蒸馏的法律灰色地带

Anthropic将此框定为国家安全问题而非法律纠纷的决定,可能反映了知识产权法对蒸馏提供有限追索权的困难现实。

正如Winston & Strawn律师事务所在2025年3月的分析中指出的,"围绕AI蒸馏的法律环境不明确且不断演变"。该事务所的律师观察到,在这种情况下证明版权主张将具有挑战性,因为AI模型的输出是否符合可版权的创意表达仍不清楚。美国版权局在2025年1月确认,版权保护需要人类作者身份,"仅提供提示并不使输出可受版权保护"。

法律图景因前沿实验室构建输出所有权的方式而进一步复杂化。例如,OpenAI的使用条款将模型输出的所有权分配给用户------这意味着即使公司可以证明发生了提取,它也可能不持有被提取数据的版权。Winston & Strawn指出,这种动态意味着"即使OpenAI可以提供足够的证据表明DeepSeek从其模型中提取了数据,OpenAI也可能没有数据的版权"。同样的逻辑几乎肯定适用于Anthropic的输出。

合同法可能提供更有希望的途径。Anthropic的服务条款禁止该公司所描述的系统性提取,违反这些条款是比版权侵权更直接的法律主张。但是,针对通过代理服务和外国司法管辖区的欺诈性账户运营的实体执行合同条款提出了自己的艰巨挑战。

这可能解释了为什么Anthropic选择国家安全框架而不是纯粹的法律框架。通过将蒸馏攻击定位为对出口管制制度和民主安全的威胁,而不是知识产权纠纷,Anthropic向政策制定者和监管机构呼吁,他们拥有的工具------制裁、实体名单指定、增强的出口限制------远远超出了民事诉讼所能实现的。

防御响应与行业协作呼吁

Anthropic的多管齐下防御策略

Anthropic概述了多管齐下的防御响应。该公司表示,它已经构建了分类器和行为指纹系统,旨在识别API流量中的蒸馏攻击模式,包括检测用于构建推理训练数据的思维链激发。它正在与其他AI实验室、云提供商和相关机构共享技术指标,以构建对蒸馏环境更全面的了解。该公司还加强了教育账户、安全研究项目和初创组织的验证------这些是最常被利用来建立欺诈性账户的途径------并正在开发模型级保障措施,旨在降低输出对非法蒸馏的有用性,而不降低合法客户的体验。

但该公司承认,"没有公司能够单独解决这个问题",呼吁行业、云提供商和政策制定者之间的协同行动。

政策影响与未来展望

这一披露可能会在多个正在进行的政策辩论中产生反响。在美国国会,两党提出的"政府设备禁用DeepSeek法案"已经被提出。包括NASA在内的联邦机构已经禁止员工设备使用DeepSeek。

结语:AI时代的新冷战

Anthropic的这次公开指控标志着美中AI竞争进入了一个新的、更加紧张的阶段。从技术角度看,蒸馏技术本身是中性的;从地缘政治角度看,它已成为大国博弈的新战场。对于全球AI行业而言,这一事件提出了深刻的问题:如何在开放创新与知识产权保护之间取得平衡?如何在技术竞争中维护安全和伦理边界?

随着这一事件的发酵,我们可能会看到更严格的AI模型访问控制、更复杂的检测技术,以及可能更严厉的国际政策措施。无论最终结果如何,AI蒸馏已经从一个技术术语演变为地缘政治词汇表中的关键概念。