馬年第一彈來自Anthropic——2026年2月,中美AI領域的技術博弈驟然升級,美國AI企業Anthropic發布重磅聲明,公開指控DeepSeek、月之暗面、MiniMax三家中國頭部開源大模型公司,對其旗下Claude模型實施規模化“蒸餾攻擊”。這一指控將AI模型蒸餾的技術爭議,推至企業合規、國際競爭與國家安全的交叉地帶,也讓中美AI產業的技術邊界之爭徹底擺上臺面。
Anthropic稱,三家中國企業通過虛假賬戶、代理網絡搭建的“九頭蛇集群”,繞開其對中國的訪問限制,發起超1600萬次針對性交互,定向抽取Claude的智能體推理、工具使用、編程等核心差異化能力,甚至刻意獲取政治敏感問題的“審查安全”表述,用于訓練自有競爭模型。其還披露了三家企業各有側重的操作手法與規模,直指此類行為并非正常技術應用,而是有預謀的能力竊取。
事件一出即刻引發行業震蕩,馬斯克等業內人士直言Anthropic自身存在訓練數據侵權問題,質疑其“雙重標準”,行業專家也對蒸餾技術的合法邊界提出諸多疑問。而此前OpenAI已向美國國會指控DeepSeek的蒸餾行為,此次Anthropic的公開發難,讓AI蒸餾成為需要行業與全球層面的明確答案的問題。以下,Enjoy:
來源:未盡研究
中國前沿AI實驗室最近紛紛對標的Anthropic,開始發飆了。
它感到自己已經成為“開源攻擊”行為的受害者,公開宣布了三家“攻擊者”:DeepSeek(深度求索),Moonshot(月之暗面)和Minimax(稀宇科技),都是中國領先的開放權重模型公司。
![]()
先看下Anthropic說了些什么:
下面詳述的三次蒸餾行動遵循了相似的套路:使用虛假賬戶與代理服務,大規模訪問 Claude,同時規避檢測。這些提示詞在數量、結構與關注點上都明顯不同于正常使用模式,體現的是有意進行能力抽取,而非正當使用。
我們通過 IP 地址關聯、請求元數據、基礎設施指標等證據,并在部分情況下結合產業伙伴的佐證(他們也在其平臺上觀察到同樣的參與者與行為),以高度置信度將每次行動歸因于某一家具體實驗室。每次行動都瞄準了 Claude 最具差異化的能力:智能體推理、工具使用與編程。
DeepSeek
規模:超過 150,000 次對話交互
該行動重點針對:
覆蓋多種任務的推理能力
基于評分量表(rubric)的打分任務,使 Claude 充當強化學習的獎勵模型
為政策敏感查詢創建“審查安全”的替代表述
DeepSeek 在多個賬戶之間生成同步流量。相同的模式、共享的支付方式以及協調一致的時間安排,表明其通過“負載均衡”來提升吞吐量、提高可靠性并規避檢測。
在一種值得注意的技術中,他們的提示詞要求 Claude 想象并闡述某個已完成回答背后的內部推理,并把它一步一步寫出來,從而在大規模上有效生成鏈式思維(chain-of-thought)訓練數據。我們還觀察到一些任務:利用 Claude 為關于異議人士、黨內領導人或威權主義等政治敏感問題生成“審查安全”的替代表述,這很可能是為了訓練 DeepSeek 自己的模型,把對話引導離開會觸發審查的話題。通過檢查請求元數據,我們能夠把這些賬戶追溯到該實驗室的特定研究人員。
Moonshot AI
規模:超過 340 萬次對話交互
該行動重點針對:
智能體推理與工具使用
編程與數據分析
計算機使用型智能體(computer-use agent)開發
計算機視覺
Moonshot(Kimi 模型團隊)使用了數百個虛假賬戶,覆蓋多條訪問路徑。多樣化的賬戶類型使得這次行動更難被識別為協調一致的操作。我們通過請求元數據將該行動歸因于 Moonshot,這些元數據與 Moonshot 高級員工的公開資料相匹配。在后期階段,Moonshot 采取了更有針對性的方法,試圖抽取并重建 Claude 的推理軌跡。
MiniMax
規模:超過 1300 萬次對話交互
該行動重點針對:
智能體編程(agentic coding)
工具使用與編排(orchestration)
我們通過請求元數據與基礎設施指標將該行動歸因于 MiniMax,并將時間點與其公開產品路線圖進行對照驗證。我們在該行動仍處于活躍狀態時就檢測到了它——在 MiniMax 發布其正在訓練的模型之前——這讓我們獲得了前所未有的可見性,得以觀察蒸餾攻擊從數據生成到模型發布的完整生命周期。當我們在 MiniMax 的活躍行動期間發布了一款新模型時,他們在 24 小時內調整策略,將近一半的流量重定向,以捕獲我們最新系統的能力。
蒸餾者如何獲取前沿模型的訪問權限
出于國家安全原因,Anthropic 目前不向中國境內提供 Claude 的商業訪問,也不向這些公司的境外子公司提供商業訪問。
為了繞開限制,這些實驗室使用商業代理服務。這些服務以規模化方式轉售 Claude 以及其他前沿 AI 模型的訪問權限。它們運行一種我們稱為“九頭蛇集群(hydra cluster)”的架構:由大量虛假賬戶構成的龐大網絡,將流量分散到我們的 API 以及第三方云平臺。由于網絡覆蓋面極廣,因此不存在單點失效。當一個賬戶被封禁,另一個賬戶會立刻補上。在一個案例中,單個代理網絡同時管理了超過 20,000 個虛假賬戶,并將蒸餾流量與無關的客戶請求混雜在一起,以增加檢測難度。
一旦獲得訪問權限,這些實驗室就會生成大量精心設計的提示詞,旨在從模型中抽取特定能力。其目標要么是收集高質量回答,用于直接訓練模型;要么是生成數以萬計的獨特任務,用于運行強化學習。區分蒸餾攻擊與正常使用的關鍵在于模式。像下面這樣的提示詞(大致近似我們觀察到在規模化、重復性使用的提示詞)單獨看起來可能并不顯眼:
“你是一位兼具統計嚴謹性與深厚行業知識的資深數據分析專家。你的目標是提供數據驅動的洞見,而不是摘要或可視化;這些洞見必須基于真實數據,并以完整且透明的推理過程加以支撐。”
但當這種提示詞的變體在數百個協同賬戶中以數萬次規模反復出現,并且都瞄準同一種狹窄能力時,這種模式就非常明顯了:集中在少數能力領域的海量請求、高度重復的結構、以及與訓練 AI 模型最有價值內容高度對應的提示詞,正是蒸餾攻擊的典型特征。
但是不能僅聽Anthropic一面之詞,正如行業內的資深人士所提出的:
![]()
在公開、采用寬松許可協議的 GitHub 倉庫上訓練模型(這些倉庫中包含 Claude 的貢獻內容),是否違反服務條款(TOS)?這是否會被視為蒸餾?在公開互聯網上分享 Claude 的輸出是否違反 TOS?實驗室是否有義務對互聯網內容進行過濾?使用 Claude Code 編寫訓練代碼,而這些代碼被用于訓練競爭模型,是否違反 TOS?那么用于構建強化學習(RL)環境中的應用模擬器呢?用于 RL 環境中的用戶模擬器提示詞呢?評判(judge)提示詞呢?合成任務(synthetic tasks)呢?是否有任何清晰的指南?
馬斯克也跳出來了:你Anthropic當年不也是侵權使用了海量的訓練數據了嗎?不過,馬斯克自己山寨維基百科,搞了個Grokipedia,最初也在大量搬弄維基百科的內容。現在xAI與OpenAI和Anthropic競爭,正處于下風。
![]()
OpenAI也指責過DeepSeek的蒸餾行為。它在發送給美國眾議院“中國問題特別委員會”(House Select Committee on China)的備忘錄中表示,DeepSeek使用了所謂的“蒸餾”(distillation)技術,這是其“持續搭便車(free-ride)利用OpenAI和其他美國前沿實驗室所開發能力”的一部分。早在DeepSeek去年R1模型發布后不久,OpenAI就開始私下對其做法提出擔憂,當時它與微軟合作展開了一項調查,以確定DeepSeek是否以未經授權的方式獲取了其數據。
既然AI的這兩家領軍企業都提到了蒸餾問題,不僅成為企業合規層面的爭議,而且上升為產業結構、技術開放邊界與國際競爭格局的復雜問題,涉及到蒸餾技術本身、行業慣例、Anthropic 所指控行為的性質區分、潛在的違約與違法后果、企業防御路徑,以及未來開源與閉源競爭格局的變化,等等。那么,這里就認真說一下:
01
蒸餾技術的原理與行業慣例
“模型蒸餾”最初是一個標準的機器學習技術概念。其經典定義來源于知識蒸餾(Knowledge Distillation):通過一個大型、性能優越的“教師模型”(teacher model)為小模型生成軟標簽或中間表示,使“學生模型”(student model)能夠在較低參數規模下實現近似教師模型的性能。這一技術自 2015 年以來已成為深度學習壓縮和部署的重要方法,被廣泛用于視覺、語音與 NLP (自然語言處理)領域。
在大模型時代,蒸餾的形式出現了演化。傳統蒸餾多基于模型權重的內部訪問,而前沿大模型通常不開放權重,僅提供 API 接口。因此,新型蒸餾更多依賴于“黑盒蒸餾”(black-box distillation),即通過大量調用 API 獲取輸出結果,再以此訓練學生模型。在技術上,這種方法并不涉及對模型參數的逆向工程,而是基于“可合法獲取的輸出”進行再訓練。
![]()
在行業實踐中,蒸餾行為本身并非異常。事實上,許多商業公司內部都會使用高性能模型為低成本模型生成數據,用于內部優化或邊緣部署。這種行為在企業內部通常被視為效率提升與成本控制的一部分。然而,蒸餾的合法性邊界在于兩個關鍵因素:是否違反合同條款,以及是否存在規避訪問限制的行為。
當蒸餾用于優化自家模型或構建專用系統(例如分類器、信息抽取工具)時,在多數服務條款框架下通常被視為合理用途。但當蒸餾目標是訓練一個直接與“教師模型”競爭的通用生成模型時,情況則明顯不同。尤其是當蒸餾規模化、結構化、并針對教師模型差異化能力(如鏈式推理、工具調用)時,其性質會從“效率優化”轉向“能力抽取”。
02
Anthropic指控行為與蒸餾攻擊的區分
Anthropic 在公開聲明中,將所謂“蒸餾攻擊”定義為一系列特征行為:大規模、同步化的賬戶操作;高度重復、結構化的提示模式;針對 Claude 差異化能力的能力抽取;使用代理網絡規避訪問限制;以及利用模型作為獎勵模型或生成鏈式思維數據。
從技術層面看,單純的蒸餾并不等同于“攻擊”。區別在于行為是否呈現出規避機制、結構化能力抽取與規模異常三個特征。若僅通過合法API訪問進行常規調用,且無規避技術限制或虛假賬戶行為,通常較難被認定為“攻擊”。然而,如果存在通過代理服務繞過地理限制、使用大量虛假賬戶以規避速率控制、集中抽取特定能力并用于訓練通用競爭模型的行為,那么這種蒸餾便具有明顯的對抗性特征。
在Anthropic的敘述框架中,三家實驗室的行為被歸類為“hydra cluster”式訪問,即分布式虛假賬戶網絡。這一指控若屬實,其性質便不僅僅是模型蒸餾,而涉及規避技術保護措施的問題。與此同時,Anthropic 特別強調鏈式思維(chain-of-thought)推理軌跡的抽取。鏈式思維通常被視為模型內部能力結構的顯性化表達,其批量抽取用于訓練學生模型,確實會顯著提升學生模型的推理能力。
因此,蒸餾攻擊與普通蒸餾之間的分界線,在于是否存在系統性規避限制與針對性能力抽取。若行為僅限于合法調用 API 并訓練非競爭模型,則難以被界定為攻擊;若行為具有明顯規避與競爭意圖,則風險顯著上升。
03
違約與違法的潛在后果
在法律層面,首先必須區分“違約”與“違法”。
違約層面主要涉及服務條款。Anthropic 的商業條款明確禁止使用服務或輸出訓練與其競爭的模型。如果某實驗室是條款的合同相對方,并且使用 Claude 輸出作為訓練目標用于構建競爭性通用模型,則可能構成合同違約。違約的后果通常為民事責任,包括損害賠償、賬戶終止與禁令救濟。
然而,違約并不等同于刑事違法。在美國司法實踐中,僅僅違反服務條款通常不足以觸發《計算機欺詐和濫用法》(CFAA)的刑事責任。CFAA 關鍵在于是否存在“未經授權訪問”或“超越授權訪問”。近年來美國最高法院在 Van Buren 案中的裁決收窄了“超越授權”的解釋范圍。如果訪問是通過合法 API 進行,而未突破技術保護措施,則刑事責任成立難度較大。
商業秘密侵權是另一種可能路徑。但商業秘密保護的前提是信息未被公開且采取合理保密措施。API 輸出本身是經許可交付的內容,因此其作為商業秘密主張的空間有限。除非能夠證明存在逆向工程、破解技術保護措施或非法訪問服務器,否則刑事違法的成立概率相對較低。
此外,跨境執行也是現實難題。即便在美國獲得判決,若被告主體位于境外且無美國資產,執行難度極高。因此,從實務角度看,合同違約可能是最現實的法律路徑,而刑事追責則面臨較高門檻。
04
受害企業的防范與糾正策略
面對蒸餾風險,前沿實驗室可以采取多層次防御策略。
首先是技術防御。包括更嚴格的速率限制、異常流量檢測、賬戶行為模式識別,以及隱藏鏈式思維推理過程。近年來部分公司已開始將鏈式思維僅作為內部計算,不再直接輸出,以降低被蒸餾的風險。另一個方向是引入水印或輸出指紋,以便識別被再訓練的模型。
其次是合同強化。企業可以明確限制輸出的訓練用途,并通過更嚴格的身份驗證與地理控制來限制代理訪問。同時,可在條款中加入更明確的仲裁與執行機制。
再次是商業策略調整。例如限制高能力模型的 API 訪問,轉向私有部署或企業專用實例;或通過硬件綁定與算力控制降低規模化抽取的可能性。
然而,任何技術防御都難以徹底阻止蒸餾。API模式本身意味著輸出可觀察,而可觀察即意味著可學習。因此防御的本質是提高成本,而非實現絕對封閉。
05
對未來前沿實驗室競爭格局的影響
這一爭議將深刻影響開源與閉源模型的競爭關系。
首先,蒸餾降低了能力復制成本。閉源模型即便不開放權重,只要提供 API,其能力便可能被部分復制。這削弱了純API商業模式的排他性。
其次,閉源公司可能更加趨向封閉化。包括限制鏈式思維輸出、收緊訪問權限、強化出口管制配合。這可能加劇技術陣營分化。
與此同時,開源模型的發展可能受益于蒸餾所帶來的能力擴散。即便無法完全復制前沿能力,學生模型仍可達到相當性能水平,從而增強開源生態的競爭力。
從宏觀角度看,這種博弈將推動兩個方向并行:一方面,前沿實驗室將加強防御與法律手段;另一方面,蒸餾技術將繼續作為能力擴散機制存在。未來競爭將更多體現在數據規模、算力效率與工程能力上,而不僅僅是模型參數。
長期來看,蒸餾爭議揭示了一個更深層問題:在API時代,能力是否可以被視為“可被合法觀察并再利用”的資源。若行業無法形成共識,類似爭議將成為常態,并可能推動更嚴格的國際技術管制與產業分化。
![]()
One More Thing
在AI訓練與蒸餾的爭議里,范布倫訴美國案(Van Buren v. United States,593 US 374 (2021))經常被引用。這是美國最高法院審理的一起案件。一名美國警察范布倫有權限訪問警察數據庫,但他為了私人目的(收錢幫別人查信息)使用了數據庫,被控違反 CFAA。檢方的邏輯是:你雖然有訪問權限,但你違反了訪問目的限制,因此屬于“超越授權訪問”。
但最高法院6–3推翻了這一判決。理由是“超越授權訪問”只指訪問了你本來不能訪問的部分,不包括“你訪問了你有權限訪問的內容,但出于不當目的”。這被稱為“Gates-up-or-down” rule(門開還是門關規則),即如果系統的“門是開的”,你進去但動機不純,不算黑客。
如果一個實驗室用真實賬號,正常調用 API,沒有破解系統,沒有繞過技術訪問控制,那么即便它批量調用,用來訓練競爭模型,出于能力抽取的目的,按照范布倫判例的邏輯,很難構成刑事層面的非法訪問。換句話說,“動機是蒸餾”本身不構成黑客行為。這對平臺方是一個約束。
但范布倫判例沒有保護規避技術限制的行為。范布倫判例的關鍵前提是:訪問發生在門開著的區域。如果出現偽造身份,批量虛假賬戶,繞過rate limit,使用代理網絡隱藏來源,規避封禁機制,那就可能構成繞過技術訪問控制。而這仍然可能落入CFAA的適用范圍。這也是為什么 Anthropic 特別強調“hydra cluster”結構。因為他們想要證明,這不是“使用動機問題”,而是“繞過訪問控制問題”。

特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.