中美AI之間的蒸餾，要撕破了 |【經緯低調分享】

馬年第一彈來自Anthropic——2026年2月，中美AI領域的技術博弈驟然升級，美國AI企業Anthropic發布重磅聲明，公開指控DeepSeek、月之暗面、MiniMax三家中國頭部開源大模型公司，對其旗下Claude模型實施規模化“蒸餾攻擊”。這一指控將AI模型蒸餾的技術爭議，推至企業合規、國際競爭與國家安全的交叉地帶，也讓中美AI產業的技術邊界之爭徹底擺上臺面。

Anthropic稱，三家中國企業通過虛假賬戶、代理網絡搭建的“九頭蛇集群”，繞開其對中國的訪問限制，發起超1600萬次針對性交互，定向抽取Claude的智能體推理、工具使用、編程等核心差異化能力，甚至刻意獲取政治敏感問題的“審查安全”表述，用于訓練自有競爭模型。其還披露了三家企業各有側重的操作手法與規模，直指此類行為并非正常技術應用，而是有預謀的能力竊取。

事件一出即刻引發行業震蕩，馬斯克等業內人士直言Anthropic自身存在訓練數據侵權問題，質疑其“雙重標準”，行業專家也對蒸餾技術的合法邊界提出諸多疑問。而此前OpenAI已向美國國會指控DeepSeek的蒸餾行為，此次Anthropic的公開發難，讓AI蒸餾成為需要行業與全球層面的明確答案的問題。以下，Enjoy：

來源：未盡研究

中國前沿AI實驗室最近紛紛對標的Anthropic，開始發飆了。

它感到自己已經成為“開源攻擊”行為的受害者，公開宣布了三家“攻擊者”：DeepSeek（深度求索），Moonshot（月之暗面）和Minimax（稀宇科技），都是中國領先的開放權重模型公司。

先看下Anthropic說了些什么：

下面詳述的三次蒸餾行動遵循了相似的套路：使用虛假賬戶與代理服務，大規模訪問 Claude，同時規避檢測。這些提示詞在數量、結構與關注點上都明顯不同于正常使用模式，體現的是有意進行能力抽取，而非正當使用。

我們通過 IP 地址關聯、請求元數據、基礎設施指標等證據，并在部分情況下結合產業伙伴的佐證（他們也在其平臺上觀察到同樣的參與者與行為），以高度置信度將每次行動歸因于某一家具體實驗室。每次行動都瞄準了 Claude 最具差異化的能力：智能體推理、工具使用與編程。

DeepSeek

規模：超過 150,000 次對話交互

該行動重點針對：

• 覆蓋多種任務的推理能力

• 基于評分量表（rubric）的打分任務，使 Claude 充當強化學習的獎勵模型

• 為政策敏感查詢創建“審查安全”的替代表述

DeepSeek 在多個賬戶之間生成同步流量。相同的模式、共享的支付方式以及協調一致的時間安排，表明其通過“負載均衡”來提升吞吐量、提高可靠性并規避檢測。

在一種值得注意的技術中，他們的提示詞要求 Claude 想象并闡述某個已完成回答背后的內部推理，并把它一步一步寫出來，從而在大規模上有效生成鏈式思維（chain-of-thought）訓練數據。我們還觀察到一些任務：利用 Claude 為關于異議人士、黨內領導人或威權主義等政治敏感問題生成“審查安全”的替代表述，這很可能是為了訓練 DeepSeek 自己的模型，把對話引導離開會觸發審查的話題。通過檢查請求元數據，我們能夠把這些賬戶追溯到該實驗室的特定研究人員。

Moonshot AI

規模：超過 340 萬次對話交互

該行動重點針對：

• 智能體推理與工具使用

• 編程與數據分析

• 計算機使用型智能體（computer-use agent）開發

• 計算機視覺

Moonshot（Kimi 模型團隊）使用了數百個虛假賬戶，覆蓋多條訪問路徑。多樣化的賬戶類型使得這次行動更難被識別為協調一致的操作。我們通過請求元數據將該行動歸因于 Moonshot，這些元數據與 Moonshot 高級員工的公開資料相匹配。在后期階段，Moonshot 采取了更有針對性的方法，試圖抽取并重建 Claude 的推理軌跡。

MiniMax

規模：超過 1300 萬次對話交互

該行動重點針對：

• 智能體編程（agentic coding）

• 工具使用與編排（orchestration）

我們通過請求元數據與基礎設施指標將該行動歸因于 MiniMax，并將時間點與其公開產品路線圖進行對照驗證。我們在該行動仍處于活躍狀態時就檢測到了它——在 MiniMax 發布其正在訓練的模型之前——這讓我們獲得了前所未有的可見性，得以觀察蒸餾攻擊從數據生成到模型發布的完整生命周期。當我們在 MiniMax 的活躍行動期間發布了一款新模型時，他們在 24 小時內調整策略，將近一半的流量重定向，以捕獲我們最新系統的能力。

蒸餾者如何獲取前沿模型的訪問權限

出于國家安全原因，Anthropic 目前不向中國境內提供 Claude 的商業訪問，也不向這些公司的境外子公司提供商業訪問。

為了繞開限制，這些實驗室使用商業代理服務。這些服務以規模化方式轉售 Claude 以及其他前沿 AI 模型的訪問權限。它們運行一種我們稱為“九頭蛇集群（hydra cluster）”的架構：由大量虛假賬戶構成的龐大網絡，將流量分散到我們的 API 以及第三方云平臺。由于網絡覆蓋面極廣，因此不存在單點失效。當一個賬戶被封禁，另一個賬戶會立刻補上。在一個案例中，單個代理網絡同時管理了超過 20,000 個虛假賬戶，并將蒸餾流量與無關的客戶請求混雜在一起，以增加檢測難度。

一旦獲得訪問權限，這些實驗室就會生成大量精心設計的提示詞，旨在從模型中抽取特定能力。其目標要么是收集高質量回答，用于直接訓練模型；要么是生成數以萬計的獨特任務，用于運行強化學習。區分蒸餾攻擊與正常使用的關鍵在于模式。像下面這樣的提示詞（大致近似我們觀察到在規模化、重復性使用的提示詞）單獨看起來可能并不顯眼：

“你是一位兼具統計嚴謹性與深厚行業知識的資深數據分析專家。你的目標是提供數據驅動的洞見，而不是摘要或可視化；這些洞見必須基于真實數據，并以完整且透明的推理過程加以支撐。”

但當這種提示詞的變體在數百個協同賬戶中以數萬次規模反復出現，并且都瞄準同一種狹窄能力時，這種模式就非常明顯了：集中在少數能力領域的海量請求、高度重復的結構、以及與訓練 AI 模型最有價值內容高度對應的提示詞，正是蒸餾攻擊的典型特征。

但是不能僅聽Anthropic一面之詞，正如行業內的資深人士所提出的：

在公開、采用寬松許可協議的 GitHub 倉庫上訓練模型（這些倉庫中包含 Claude 的貢獻內容），是否違反服務條款（TOS）？這是否會被視為蒸餾？在公開互聯網上分享 Claude 的輸出是否違反 TOS？實驗室是否有義務對互聯網內容進行過濾？使用 Claude Code 編寫訓練代碼，而這些代碼被用于訓練競爭模型，是否違反 TOS？那么用于構建強化學習（RL）環境中的應用模擬器呢？用于 RL 環境中的用戶模擬器提示詞呢？評判（judge）提示詞呢？合成任務（synthetic tasks）呢？是否有任何清晰的指南？

馬斯克也跳出來了：你Anthropic當年不也是侵權使用了海量的訓練數據了嗎？不過，馬斯克自己山寨維基百科，搞了個Grokipedia，最初也在大量搬弄維基百科的內容。現在xAI與OpenAI和Anthropic競爭，正處于下風。

OpenAI也指責過DeepSeek的蒸餾行為。它在發送給美國眾議院“中國問題特別委員會”(House Select Committee on China)的備忘錄中表示，DeepSeek使用了所謂的“蒸餾”(distillation)技術，這是其“持續搭便車(free-ride)利用OpenAI和其他美國前沿實驗室所開發能力”的一部分。早在DeepSeek去年R1模型發布后不久，OpenAI就開始私下對其做法提出擔憂，當時它與微軟合作展開了一項調查，以確定DeepSeek是否以未經授權的方式獲取了其數據。

既然AI的這兩家領軍企業都提到了蒸餾問題，不僅成為企業合規層面的爭議，而且上升為產業結構、技術開放邊界與國際競爭格局的復雜問題，涉及到蒸餾技術本身、行業慣例、Anthropic 所指控行為的性質區分、潛在的違約與違法后果、企業防御路徑，以及未來開源與閉源競爭格局的變化，等等。那么，這里就認真說一下：

01

蒸餾技術的原理與行業慣例

“模型蒸餾”最初是一個標準的機器學習技術概念。其經典定義來源于知識蒸餾（Knowledge Distillation）：通過一個大型、性能優越的“教師模型”（teacher model）為小模型生成軟標簽或中間表示，使“學生模型”（student model）能夠在較低參數規模下實現近似教師模型的性能。這一技術自 2015 年以來已成為深度學習壓縮和部署的重要方法，被廣泛用于視覺、語音與 NLP （自然語言處理）領域。

在大模型時代，蒸餾的形式出現了演化。傳統蒸餾多基于模型權重的內部訪問，而前沿大模型通常不開放權重，僅提供 API 接口。因此，新型蒸餾更多依賴于“黑盒蒸餾”（black-box distillation），即通過大量調用 API 獲取輸出結果，再以此訓練學生模型。在技術上，這種方法并不涉及對模型參數的逆向工程，而是基于“可合法獲取的輸出”進行再訓練。

在行業實踐中，蒸餾行為本身并非異常。事實上，許多商業公司內部都會使用高性能模型為低成本模型生成數據，用于內部優化或邊緣部署。這種行為在企業內部通常被視為效率提升與成本控制的一部分。然而，蒸餾的合法性邊界在于兩個關鍵因素：是否違反合同條款，以及是否存在規避訪問限制的行為。

當蒸餾用于優化自家模型或構建專用系統（例如分類器、信息抽取工具）時，在多數服務條款框架下通常被視為合理用途。但當蒸餾目標是訓練一個直接與“教師模型”競爭的通用生成模型時，情況則明顯不同。尤其是當蒸餾規模化、結構化、并針對教師模型差異化能力（如鏈式推理、工具調用）時，其性質會從“效率優化”轉向“能力抽取”。

02

Anthropic指控行為與蒸餾攻擊的區分

Anthropic 在公開聲明中，將所謂“蒸餾攻擊”定義為一系列特征行為：大規模、同步化的賬戶操作；高度重復、結構化的提示模式；針對 Claude 差異化能力的能力抽取；使用代理網絡規避訪問限制；以及利用模型作為獎勵模型或生成鏈式思維數據。

從技術層面看，單純的蒸餾并不等同于“攻擊”。區別在于行為是否呈現出規避機制、結構化能力抽取與規模異常三個特征。若僅通過合法API訪問進行常規調用，且無規避技術限制或虛假賬戶行為，通常較難被認定為“攻擊”。然而，如果存在通過代理服務繞過地理限制、使用大量虛假賬戶以規避速率控制、集中抽取特定能力并用于訓練通用競爭模型的行為，那么這種蒸餾便具有明顯的對抗性特征。

在Anthropic的敘述框架中，三家實驗室的行為被歸類為“hydra cluster”式訪問，即分布式虛假賬戶網絡。這一指控若屬實，其性質便不僅僅是模型蒸餾，而涉及規避技術保護措施的問題。與此同時，Anthropic 特別強調鏈式思維（chain-of-thought）推理軌跡的抽取。鏈式思維通常被視為模型內部能力結構的顯性化表達，其批量抽取用于訓練學生模型，確實會顯著提升學生模型的推理能力。

因此，蒸餾攻擊與普通蒸餾之間的分界線，在于是否存在系統性規避限制與針對性能力抽取。若行為僅限于合法調用 API 并訓練非競爭模型，則難以被界定為攻擊；若行為具有明顯規避與競爭意圖，則風險顯著上升。

03

違約與違法的潛在后果

在法律層面，首先必須區分“違約”與“違法”。

違約層面主要涉及服務條款。Anthropic 的商業條款明確禁止使用服務或輸出訓練與其競爭的模型。如果某實驗室是條款的合同相對方，并且使用 Claude 輸出作為訓練目標用于構建競爭性通用模型，則可能構成合同違約。違約的后果通常為民事責任，包括損害賠償、賬戶終止與禁令救濟。

然而，違約并不等同于刑事違法。在美國司法實踐中，僅僅違反服務條款通常不足以觸發《計算機欺詐和濫用法》（CFAA）的刑事責任。CFAA 關鍵在于是否存在“未經授權訪問”或“超越授權訪問”。近年來美國最高法院在 Van Buren 案中的裁決收窄了“超越授權”的解釋范圍。如果訪問是通過合法 API 進行，而未突破技術保護措施，則刑事責任成立難度較大。

商業秘密侵權是另一種可能路徑。但商業秘密保護的前提是信息未被公開且采取合理保密措施。API 輸出本身是經許可交付的內容，因此其作為商業秘密主張的空間有限。除非能夠證明存在逆向工程、破解技術保護措施或非法訪問服務器，否則刑事違法的成立概率相對較低。

此外，跨境執行也是現實難題。即便在美國獲得判決，若被告主體位于境外且無美國資產，執行難度極高。因此，從實務角度看，合同違約可能是最現實的法律路徑，而刑事追責則面臨較高門檻。

04

受害企業的防范與糾正策略

面對蒸餾風險，前沿實驗室可以采取多層次防御策略。

首先是技術防御。包括更嚴格的速率限制、異常流量檢測、賬戶行為模式識別，以及隱藏鏈式思維推理過程。近年來部分公司已開始將鏈式思維僅作為內部計算，不再直接輸出，以降低被蒸餾的風險。另一個方向是引入水印或輸出指紋，以便識別被再訓練的模型。

其次是合同強化。企業可以明確限制輸出的訓練用途，并通過更嚴格的身份驗證與地理控制來限制代理訪問。同時，可在條款中加入更明確的仲裁與執行機制。

再次是商業策略調整。例如限制高能力模型的 API 訪問，轉向私有部署或企業專用實例；或通過硬件綁定與算力控制降低規模化抽取的可能性。

然而，任何技術防御都難以徹底阻止蒸餾。API模式本身意味著輸出可觀察，而可觀察即意味著可學習。因此防御的本質是提高成本，而非實現絕對封閉。

05

對未來前沿實驗室競爭格局的影響

這一爭議將深刻影響開源與閉源模型的競爭關系。

首先，蒸餾降低了能力復制成本。閉源模型即便不開放權重，只要提供 API，其能力便可能被部分復制。這削弱了純API商業模式的排他性。

其次，閉源公司可能更加趨向封閉化。包括限制鏈式思維輸出、收緊訪問權限、強化出口管制配合。這可能加劇技術陣營分化。

與此同時，開源模型的發展可能受益于蒸餾所帶來的能力擴散。即便無法完全復制前沿能力，學生模型仍可達到相當性能水平，從而增強開源生態的競爭力。

從宏觀角度看，這種博弈將推動兩個方向并行：一方面，前沿實驗室將加強防御與法律手段；另一方面，蒸餾技術將繼續作為能力擴散機制存在。未來競爭將更多體現在數據規模、算力效率與工程能力上，而不僅僅是模型參數。

長期來看，蒸餾爭議揭示了一個更深層問題：在API時代，能力是否可以被視為“可被合法觀察并再利用”的資源。若行業無法形成共識，類似爭議將成為常態，并可能推動更嚴格的國際技術管制與產業分化。

One More Thing

在AI訓練與蒸餾的爭議里，范布倫訴美國案（Van Buren v. United States，593 US 374 (2021)）經常被引用。這是美國最高法院審理的一起案件。一名美國警察范布倫有權限訪問警察數據庫，但他為了私人目的（收錢幫別人查信息）使用了數據庫，被控違反 CFAA。檢方的邏輯是：你雖然有訪問權限，但你違反了訪問目的限制，因此屬于“超越授權訪問”。

但最高法院6–3推翻了這一判決。理由是“超越授權訪問”只指訪問了你本來不能訪問的部分，不包括“你訪問了你有權限訪問的內容，但出于不當目的”。這被稱為“Gates-up-or-down” rule（門開還是門關規則），即如果系統的“門是開的”，你進去但動機不純，不算黑客。

如果一個實驗室用真實賬號，正常調用 API，沒有破解系統，沒有繞過技術訪問控制，那么即便它批量調用，用來訓練競爭模型，出于能力抽取的目的，按照范布倫判例的邏輯，很難構成刑事層面的非法訪問。換句話說，“動機是蒸餾”本身不構成黑客行為。這對平臺方是一個約束。

但范布倫判例沒有保護規避技術限制的行為。范布倫判例的關鍵前提是：訪問發生在門開著的區域。如果出現偽造身份，批量虛假賬戶，繞過rate limit，使用代理網絡隱藏來源，規避封禁機制，那就可能構成繞過技術訪問控制。而這仍然可能落入CFAA的適用范圍。這也是為什么 Anthropic 特別強調“hydra cluster”結構。因為他們想要證明，這不是“使用動機問題”，而是“繞過訪問控制問題”。