Anthropic、中国の主要AI研究所が関与する大規模な蒸留（Distillation）ネットワークを暴露

現在進行中の人工知能（AI）軍拡競争が大幅に激化する中、Anthropicは、中国の著名な3つのAI研究所（DeepSeek、Moonshot AI、MiniMax）が、同社のClaudeモデルから能力を抽出するための組織的かつ産業規模のキャンペーンを行っていると公に非難しました。月曜日に発表された新しいセキュリティレポートで詳述されたこの主張は、これらの組織がいかに数千の不正アカウントを利用して、Claudeの高度な推論（Reasoning）およびコーディング（Coding）能力を自社の独自モデルに「蒸留（Distillation）」したとされるかを概説しています。

この暴露は、ワシントンで半導体輸出規制（Semiconductor export controls）の実効性に関する議論が深まる中、世界のAI業界にとって重要な局面でもたらされました。米国の政策立案者が中国による最先端ハードウェアへのアクセス制限に苦慮する中、Anthropicの調査結果は、モデル蒸留を通じた知的財産の窃盗（Intellectual property theft）が、競合他社がハードウェアの制約を回避し、能力の差を縮めるための主要な手段となっていることを示唆しています。

「蒸留（Distillation）」作戦の規模

Anthropicの調査によると、この組織的な試みには、約24,000の不正アカウントからなる巧妙なネットワークを通じて、Claudeモデルとの1,600万回以上のやり取りが行われていました。これらのアカウントは、出所を隠蔽するために商用のプロキシサービスを通じて管理されていたとされ、Claudeに対して体系的にクエリを送り、その出力を記録して、より小規模な国内モデルをトレーニングするために使用されました。このプロセスは、機械学習において「蒸留（Distillation）」として知られています。

蒸留は、開発者が自社の巨大なモデルをより効率的なバージョンに圧縮するために使用する正当な手法ですが、許可なく競合他社のモデルからデータを抽出することは利用規約に違反し、知的財産の窃盗にあたります。Anthropicのデータは、この作戦が単なる一時的な実験ではなく、価値の高い認知的振る舞いを高度に組織化して抽出したものだったことを示しています。

攻撃の規模は被告発機関によって大きく異なりますが、MiniMaxが最も積極的な加害者であったようです。以下の内訳は、申し立てられた活動の範囲を示しています。

表：研究所別の申し立てられた蒸留活動の内訳

AI強奪の解剖学

Anthropicによって記述された手法は、大規模言語モデル（Large Language Model：LLM）のトレーニングパイプラインに対する洗練された理解を明らかにしています。攻撃者は単にランダムな質問をしたわけではなく、ゼロから複製するには困難でコストがかかる特定の「教師（Teacher）」の振る舞いをターゲットにしていました。

最大の加害者として特定されたMiniMaxは、新しいモデルのリリースから24時間以内に、自社のトラフィックのほぼ半分をClaudeにリダイレクトしていたと報告されており、Anthropicのインフラを利用して自社システムの能力を急成長させていたことになります。ユーザーのプロンプトをClaudeに入力し、その高品質な回答を自社モデルのトレーニングに使用することで、これらの研究所は計算リソースをわずかしか費やすことなく、理論的には米国の最先端モデルとほぼ同等の性能を達成できる可能性があります。

レポートで特定された主な戦術は以下の通りです：

• 思考の連鎖（Chain-of-Thought：CoT）の誘導： Claudeに「考え方を示す」ことや推論ステップを説明するように促し、学生モデルに単なる答えだけでなく「考え方」を教えるための豊富なトレーニングデータを生成する。
• プロキシネットワークによる難読化： 分散型のレジデンシャルプロキシネットワークを利用してリクエストを分散させ、トラフィックが数千の異なる正当なユーザーから来ているように見せかける。
• 標的型のガードレール除去： 機微なトピックについて具体的にクエリを行い、Claudeがどのように拒否するか、あるいは安全性の要求をどのように処理するかを理解し、同様の制限を回避するモデルをトレーニングする。

国家安全保障の側面：取り払われたセーフガード

知的財産の窃盗という商業的な影響を超えて、Anthropicは重大な安全上の懸念、すなわち安全ガードレールの除去を強調しました。Claudeのような米国のフロンティアモデルは、生物兵器の作成、サイバー攻撃、あるいは世論操作キャンペーンへの加担を防ぐために、厳格な「憲法的AI（Constitutional AI）」トレーニングを受けています。

モデルが不正に蒸留されると、「学生」モデルは「教師」の能力を学習しますが、その安全抑制までは継承しないことがよくあります。Anthropicは、これらの「解き放たれた」クローンが独自の拡散リスクをもたらすと警告しています。蒸留されたモデルがClaudeのコーディング能力を維持しつつ、マルウェア生成に対する拒否メカニズムを欠いている場合、悪意のあるアクターにとって強力な武器となります。

「不正に蒸留されたモデルは必要なセーフガードを欠いており、重大な国家安全保障上のリスクを生じさせます」と、Anthropicは『蒸留攻撃（Distillation Attacks）の検出と防止』と題された研究論文の中で述べています。同社は、外国勢力に米国のAI能力を複製させることは、米国政府が業界に採用を促してきた安全プロトコルそのものを損なうものであると主張しています。

新しい防御策：行動フィンガープリント

告発と同時に、Anthropicは蒸留の試みをリアルタイムで特定しブロックするために設計された新しい防御メカニズムの詳細を公開しました。この防御の核心は、API使用の統計的パターンを分析する技術である「行動フィンガープリント（behavioral fingerprinting）」です。

有機的で多様な対話パターンを示す正当なユーザーとは異なり、蒸留スクリプトはしばしば微細な統計的シグネチャを残します。これらには以下が含まれます：

• 不自然なプロンプトの分布： 即時のユーザーの問題を解決するのではなく、モデルの「知識空間」全体をカバーするように設計されたプロンプトの高頻度な発生。
• 体系的なパラメータスイーピング： 同一のプロンプトに対して多様な出力を抽出するために、温度（Temperature）やサンプリング設定を体系的に変化させること。
• レイテンシの相関： APIが第三者のユーザー入力に応じてプログラムで呼び出されていることを示唆するタイミングパターン（「中間者攻撃」のセットアップ）。

Anthropicは、モデルマイニングに対する業界全体の防御網を構築するため、これらの技術的指標を他の主要な米国のAI研究所（OpenAIやGoogle DeepMindなど）、クラウドプロバイダー、および政府当局と共有していることを発表しました。

地政学的余波：チップ戦争との関連性

この事件は、複雑な米中技術関係に波紋を投じています。米国商務省が、NVIDIAのH100や新しいBlackwellシリーズなどの高度なGPUの中国企業への販売を禁止する輸出規制の有効性を現在検証している最中であり、タイミングは特に微妙です。

現在の輸出禁止措置の批判者は、中国の研究所が米国のモデルの知能をコピーすることでハードウェアの不足を「賢く回避」できるのであれば、それらの措置は不十分であると主張しています。Claudeを蒸留することで10%の計算能力で競争力のあるモデルをトレーニングできるのであれば、中国のAI進歩を遅らせることを目的とした「計算の壁」は著しく脆弱になります。

政策への影響：

• より厳格なAPI管理： 匿名の海外からのアクセスを防ぐために、銀行規制と同様の、AI APIアクセスに対する「顧客確認（Know Your Customer：KYC）」基準を米国規制当局が要求する可能性があります。
• 輸出規制の拡大： 「輸出」の定義が、物理的なチップやモデルの重みだけでなく、トレーニングに使用できるモデル推論APIへのアクセスも含むように拡大される可能性があります。
• 報復措置： この公の場での名指しの非難は、北京からの報復的なサイバー活動や制裁を誘発し、世界のAIエコシステムの二極化をさらに進める可能性があります。

結論

Anthropicによる告発は、AI分野における理論的なリスクから文書化された紛争への移行を象徴しています。モデルがより価値を持つようになるにつれ、それらはもはや単なる製品ではなく、戦略的な国家資産となります。この「蒸留による強奪」は、デジタル時代においては、能力を構築するのと同様に簡単に盗むことができるという厳しい教訓を与えています。業界にとって、焦点は単に賢いモデルを構築することから、盗まれにくいモデルを構築することへと移らなければなりません。米国のイノベーションの成果が、追い越すべき競合他社を意図せず助長することのないようにするためです。