![]()
前段時(shí)間,硅谷 AI 御三家 OpenAI 、 Anthropic 和谷歌十分罕見(jiàn)地,組成了”復(fù)仇者聯(lián)盟“。
根據(jù)彭博社的報(bào)道,平時(shí)恨不得卷死對(duì)方的哥仨,現(xiàn)在正通過(guò)一個(gè)”前沿模型論壇“分享信息,目的很明確,就是要聯(lián)手揪出那些對(duì)抗性蒸餾行為。
![]()
不明白這個(gè)所謂的“對(duì)抗性蒸餾行為”是啥,沒(méi)關(guān)系,但世超想說(shuō),這一次,明顯是沖著國(guó)內(nèi)大模型來(lái)的。
如果把時(shí)間線往回拉到今年 2 月份,沖突其實(shí)就已經(jīng)擺上了臺(tái)面。
當(dāng)時(shí), Anthropic 甩出了一份調(diào)查報(bào)告,公開(kāi)點(diǎn)名 DeepSeek、月之暗面和 MiniMax,說(shuō)這三家公司弄了大概 2.4 萬(wàn)個(gè)欺詐賬戶,跟 Claude 交互超過(guò) 1600 萬(wàn)次,然后把套出來(lái)的精華數(shù)據(jù)全拿去訓(xùn)練自家的模型去了。
在這份報(bào)告里,每家公司進(jìn)行蒸餾的規(guī)模有多大、行動(dòng)目標(biāo)是啥,都寫得一清二楚。
就比如陣仗最大的 MiniMax ,一家就發(fā)起了超 1300 萬(wàn)次交互,而且跟得很緊, Anthropic 新模型剛發(fā)布,他們就重新調(diào)整了流量方向。
![]()
DeepSeek蒸餾的規(guī)模相對(duì)小,只有超過(guò) 15 萬(wàn)次的交互,但專門盯著思維鏈下手。
當(dāng)然,把這些交互行為定義為“對(duì)抗性蒸餾”,純屬 Anthropic 的一面之詞,因?yàn)闆](méi)法兒證明人家用你的數(shù)據(jù)去訓(xùn)練模型了。
不過(guò),因?yàn)檎麴s破防的還不只 Anthropic 一家。
差不多時(shí)間,OpenAI 也跑到美國(guó)國(guó)會(huì)那邊告御狀,指控 DeepSeek 通過(guò)模型蒸餾技術(shù),違規(guī)復(fù)制了他們的產(chǎn)品功能。
所以世超覺(jué)著,這次三家聯(lián)手可能是要?jiǎng)诱娓竦牧恕?/p>
不過(guò),在聊“反蒸餾”之前,我們可能得先弄清楚,這個(gè)讓巨頭們?nèi)缱槡值摹罢麴s”,到底是個(gè)啥技術(shù)?
其實(shí)這玩意兒也沒(méi)那么玄乎,大家都知道,模型訓(xùn)練費(fèi)算力、費(fèi)數(shù)據(jù)還費(fèi)時(shí)間,而蒸餾的邏輯是,即使你手頭的資源有限,只要找到一個(gè)名師帶帶你,同樣能在短時(shí)間內(nèi),訓(xùn)練出一個(gè)跟老師有七八成像的學(xué)霸。
![]()
核心在于學(xué)習(xí)“軟標(biāo)簽”,也就是大模型輸出的概率分布。
放在三年前,當(dāng)時(shí)的 API 環(huán)境比現(xiàn)在寬松得多,名師不僅給你答案,還會(huì)吐出概率分布,方便搞科研。
但后面不知道咋回事兒,模型大廠們都紛紛把門焊死了,像 OpenAI 他們家的 API 就規(guī)定只能看到前 5 個(gè)概率最高的詞。
所以蒸餾的思路就變成了黑盒蒸餾、思維鏈蒸餾,包括 Anthropic 、 OpenAI 口中的蒸餾攻擊,很多說(shuō)的都是思維、邏輯上的模仿。
![]()
這種蒸餾方式,就需要大量地調(diào)用API。
具體操作上,你得寫個(gè)腳本沒(méi)日沒(méi)夜地向老師提問(wèn),不光要拿到標(biāo)準(zhǔn)答案,還要看老師是怎么回答問(wèn)題的,中間轉(zhuǎn)了幾個(gè)彎、避開(kāi)了哪些坑,然后再把這些名師教案打包回家,反手喂給自家的模型。
用較低的成本,快速?gòu)?fù)刻頂級(jí)模型的能力,這就是蒸餾。
![]()
換句話說(shuō),硅谷 AI 三巨頭是在指責(zé),咱們國(guó)內(nèi)的模型廠商偷師。
但仔細(xì)一想,這事兒又處處透著詭異。
因?yàn)椴还苁墙Y(jié)盟,還是公開(kāi)指控,目前看下來(lái)都是他們幾家巨頭在那自說(shuō)自話。
整個(gè)事情看下來(lái)讓人不得不懷疑,他們口中的“對(duì)抗性”蒸餾到底是不是一個(gè)偽命題,以及,合法蒸餾和對(duì)抗性蒸餾的界限又在哪里?
蒸餾這項(xiàng)技術(shù)在圈子里算不上什么行業(yè)機(jī)密,不過(guò)咱們大多數(shù)普通人接觸到這個(gè)詞,大概率還是因?yàn)槿ツ瓿?DeepSeek 發(fā)布 R1 ,順帶吃瓜吃到的。
當(dāng)時(shí) R1 模型剛炸場(chǎng)不久,微軟和 OpenAI 就針對(duì) DeepSeek 展開(kāi)了調(diào)查,說(shuō)是懷疑它非法竊取了 OpenAI 的數(shù)據(jù)來(lái)訓(xùn)練模型。
話里話外都在點(diǎn)草,咱家孩子考試成績(jī)突然逆天,是因?yàn)槌怂麄兊拇鸢浮?/p>
可能因?yàn)?R1 正式露面前,有用戶在跟 DeepSeek V3 對(duì)話的時(shí)候,發(fā)現(xiàn)了一個(gè)很離譜的現(xiàn)象,如果你問(wèn)它“你是什么模型”,它有時(shí)會(huì)回答自己是 ChatGPT 。。。所以才引來(lái)了不少外界的猜疑。
![]()
但這事兒, DeepSeek 后面專門在論文的補(bǔ)充材料里作了解釋,說(shuō)是 DeepSeek-V3-Base 的預(yù)訓(xùn)練數(shù)據(jù)完全來(lái)自互聯(lián)網(wǎng),沒(méi)有刻意使用合成數(shù)據(jù)。
![]()
打那之后,蒸餾在業(yè)內(nèi)就一直頗受爭(zhēng)議。
理論上,蒸餾是一項(xiàng)合法的技術(shù), 一些模型公司也會(huì)自己蒸餾模型給企業(yè)客戶去做定制。
但“對(duì)抗性蒸餾”,也就是用戶利用服務(wù)或輸出開(kāi)發(fā)競(jìng)爭(zhēng)模型,在 OpenAI 、 Anthropic 等公司的用戶使用條款里,是普遍被禁止的。
理由很簡(jiǎn)單,你開(kāi)發(fā)一個(gè)頂級(jí)模型,大把大把地往里燒錢、燒卡,如果競(jìng)爭(zhēng)對(duì)手只花了幾十萬(wàn)美金調(diào)用 API ,就能偷學(xué)走七八分,這跟直接從你兜里搶錢沒(méi)區(qū)別。
為了保證自己的領(lǐng)先地位和商業(yè)利潤(rùn),巨頭們心里不平衡,想把這道門焊死,也是人之常情。
除此之外,在 Anthropic 的那份調(diào)查報(bào)告里,也提到了反蒸餾的另外一層考量。
![]()
正常情況下,模型在發(fā)布之前都要進(jìn)行紅隊(duì)測(cè)試來(lái)評(píng)估風(fēng)險(xiǎn),目的就是為了建立一套安全護(hù)欄,防止模型教人制造生物武器、編寫惡意代碼又或者是搞點(diǎn)種族歧視的言論。
問(wèn)題在于,蒸餾不會(huì)蒸這些。
這就導(dǎo)致了非法蒸餾出來(lái)的模型,很可能成為一個(gè)隱患。
所以世超覺(jué)著,這次三巨頭跳出來(lái)聯(lián)合抵制,雖然有商業(yè)競(jìng)爭(zhēng)上的私心,但在技術(shù)風(fēng)險(xiǎn)上確實(shí)也說(shuō)得通。
但話又說(shuō)回來(lái), Anthropic 的這份報(bào)告把蒸餾抬到了威脅國(guó)家安全的角度,在時(shí)間點(diǎn)上,又很值得揣摩。
就在報(bào)告發(fā)出來(lái)的前腳,Anthropic正因?yàn)殚_(kāi)不開(kāi)后門的事情,跟五角大樓鬧得很僵。
所以一個(gè)猜測(cè),當(dāng)時(shí)他們選擇在 CEO 趕去五角大樓談判的前一天,發(fā)出來(lái)這么一份強(qiáng)調(diào)國(guó)家安全的報(bào)告,有沒(méi)有可能是想爭(zhēng)取一點(diǎn)談判空間?
當(dāng)然了,后續(xù)大家伙兒也都知道,沒(méi)談攏。
諷刺的地方在于,這些舉著反蒸餾、反抄襲大旗的巨頭們,因?yàn)榇笏猎诨ヂ?lián)網(wǎng)上抓數(shù)據(jù),也沒(méi)少被官司找上門。
一向看熱鬧不嫌事大的馬斯克,在 Anthropic 的調(diào)查報(bào)告發(fā)出來(lái)沒(méi)多久,直接在 X 上嘲諷開(kāi)大。說(shuō) Anthropic 才是那個(gè)大規(guī)模盜取數(shù)據(jù)、還為此賠了數(shù)十億美金的慣犯。
![]()
包括零一萬(wàn)物CEO李開(kāi)復(fù)也跳出來(lái)說(shuō),因?yàn)樽髌非謾?quán),Anthropic 還欠他3000美金。
抓別人的作品來(lái)訓(xùn)練數(shù)據(jù)的時(shí)候,你管那叫“人類知識(shí)共享”,現(xiàn)在輪到別人來(lái)學(xué)你了,你就管這叫“工業(yè)級(jí)攻擊”了?
說(shuō)白了,到底算不算偷,怎么才算偷?在大模型領(lǐng)域里還屬于一片灰色地帶。
別鬧到最后,整成全員惡人了。
撰文:西西
編輯:江江&面線
美編:素描
圖片、資料來(lái)源:
X、彭博社
Anthropic,Detecting and preventing distillation attacks
![]()
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.