OpenAI們聯(lián)手抓"抄作業(yè)"：3家巨頭每年被薅走數(shù)十億

美國(guó)AI三巨頭每年被"蒸餾"走的收入，夠建一座小型核電站。Bloomberg最新披露，OpenAI、Anthropic、Google正在共享情報(bào)，專門對(duì)付中國(guó)廠商的模型復(fù)制。

2023年埋下的伏筆，現(xiàn)在派上用場(chǎng)

三家公司合作的渠道叫"前沿模型論壇"（Frontier Model Forum），2023年就成立了。這個(gè)組織最初像是行業(yè)俱樂(lè)部，現(xiàn)在變成了情報(bào)交換站。他們要抓的技術(shù)叫"對(duì)抗性蒸餾"（adversarial distillation）——用大白話說(shuō)，就是讓你的模型給別人的模型"當(dāng)老師"，把知識(shí)偷走。

斯坦福2023年搞出的Alpaca模型是第一個(gè)公開(kāi)案例。團(tuán)隊(duì)用了5.2萬(wàn)條GPT-3.5生成的對(duì)話數(shù)據(jù)，只花了不到600美元就訓(xùn)練出一個(gè)能用的模型。當(dāng)時(shí)大家還在討論學(xué)術(shù)倫理，現(xiàn)在這已經(jīng)成了商業(yè)戰(zhàn)爭(zhēng)。

美國(guó)官方估算，這種"抄作業(yè)"行為每年讓美國(guó)AI實(shí)驗(yàn)室損失數(shù)十億美元收入。

DeepSeek的"高級(jí)手法"被點(diǎn)名

OpenAI今年2月向國(guó)會(huì)提交過(guò)警告，說(shuō)DeepSeek在用越來(lái)越精細(xì)的手段提取數(shù)據(jù)。Anthropic更直接，把DeepSeek、月之暗面（Moonshot）、MiniMax三家都列進(jìn)了名單。

這里的操作細(xì)節(jié)值得細(xì)品。普通的模型蒸餾需要大量查詢，容易被發(fā)現(xiàn)。但"對(duì)抗性蒸餾"會(huì)偽裝查詢模式，讓被攻擊的模型以為自己在服務(wù)正常用戶。就像有人混進(jìn)圖書館，不是偷書，而是每天來(lái)抄筆記，抄完回去自己出書。

三家公司現(xiàn)在的合作模式，照搬了網(wǎng)絡(luò)安全行業(yè)的做法——競(jìng)爭(zhēng)對(duì)手之間共享攻擊數(shù)據(jù)。微軟和谷歌的安全團(tuán)隊(duì)早就這樣干了，現(xiàn)在OpenAI們終于醒悟：在模型安全這件事上，敵人不是彼此。

為什么現(xiàn)在才聯(lián)手？

一個(gè)細(xì)節(jié)暴露時(shí)間線：Frontier Model Forum成立于2023年7月，但直到2025年初，三家公司才開(kāi)始真正共享對(duì)抗性蒸餾的情報(bào)。中間這一年半，他們大概在互相試探——畢竟誰(shuí)都不想暴露自己的防御漏洞。

另一個(gè)推動(dòng)力是政策壓力。美國(guó)商務(wù)部去年就開(kāi)始調(diào)查中國(guó)AI公司的模型訓(xùn)練數(shù)據(jù)來(lái)源，國(guó)會(huì)聽(tīng)證會(huì)的頻率明顯加快。OpenAI 2月的國(guó)會(huì)證詞，某種程度上也是給同行施壓：要么一起行動(dòng)，要么等著被監(jiān)管。

技術(shù)層面，檢測(cè)蒸餾攻擊的難度在指數(shù)級(jí)上升。早期版本靠查詢頻率就能識(shí)別，現(xiàn)在攻擊者會(huì)模擬真實(shí)用戶的行為模式，甚至故意引入噪聲來(lái)掩蓋痕跡。這迫使防御方必須共享攻擊樣本，單靠一家公司的數(shù)據(jù)已經(jīng)不夠用了。

一個(gè)懸而未決的問(wèn)題是：這種情報(bào)共享的邊界在哪里？模型輸出數(shù)據(jù)屬于商業(yè)機(jī)密，攻擊模式的數(shù)據(jù)同樣敏感。三家公司目前只透露了"共享信息"這個(gè)框架，具體交換什么、交換多少，外界無(wú)從得知。

更現(xiàn)實(shí)的疑問(wèn)是：當(dāng)防御手段升級(jí)，攻擊手段會(huì)不會(huì)跟著進(jìn)化？這場(chǎng)貓鼠游戲的下一回合，誰(shuí)會(huì)先亮出底牌？