Anthropic разоблачает масштабную сеть дистилляции с участием ведущих китайских ИИ-лабораторий

В условиях значительного обострения продолжающейся гонки вооружений в сфере искусственного интеллекта (Artificial Intelligence, AI), компания Anthropic публично обвинила три видные китайские ИИ-лаборатории — DeepSeek, Moonshot AI и MiniMax — в проведении систематической кампании промышленного масштаба по извлечению возможностей из своих моделей Claude. Обвинения, подробно изложенные в новом отчете по безопасности, опубликованном в понедельник, описывают, как эти организации предположительно использовали тысячи поддельных аккаунтов для «дистилляции» (distillation) продвинутых способностей Claude к рассуждению и кодированию в свои собственные проприетарные модели.

Это разоблачение произошло в критический момент для мировой ИИ-индустрии, совпав с усилением дебатов в Вашингтоне относительно эффективности экспортного контроля полупроводников. В то время как политики США пытаются ограничить доступ Китая к передовому оборудованию, выводы Anthropic позволяют предположить, что кража интеллектуальной собственности путем дистилляции моделей (model distillation) стала основным путем для конкурентов в обходе аппаратных ограничений и сокращении технологического разрыва.

Масштаб операции по «дистилляции»

Согласно расследованию Anthropic, скоординированные усилия включали генерацию более 16 миллионов обменов сообщениями с моделями Claude через сложную сеть, состоящую примерно из 24 000 поддельных аккаунтов. Эти учетные записи, предположительно управляемые через коммерческие прокси-сервисы для маскировки их происхождения, использовались для систематических запросов к Claude с последующей записью ответов для обучения небольших отечественных моделей — процесс, известный в машинном обучении (machine learning) как «дистилляция».

Хотя дистилляция является легитимным методом, используемым разработчиками для сжатия собственных больших моделей в более эффективные версии, извлечение данных из модели конкурента без разрешения нарушает условия обслуживания и представляет собой кражу интеллектуальной собственности. Данные Anthropic указывают на то, что эта операция была не случайным экспериментом, а высокоорганизованным извлечением ценных когнитивных паттернов поведения.

Масштаб атаки значительно варьировался в зависимости от обвиняемых институтов, при этом MiniMax выглядел наиболее агрессивным участником. Следующая таблица иллюстрирует масштаб предполагаемой деятельности:

Таблица: Структура предполагаемой деятельности по дистилляции по лабораториям

Анатомия ИИ-ограбления

Методология, описанная Anthropic, раскрывает глубокое понимание процессов обучения больших языковых моделей (Large Language Models, LLM). Злоумышленники не просто задавали случайные вопросы; они нацеливались на специфические модели поведения «учителя», которые трудно и дорого воспроизвести с нуля.

MiniMax, идентифицированный как крупнейший нарушитель, по сообщениям, перенаправлял почти половину своего собственного трафика на Claude в течение 24 часов после выпуска новой модели, фактически используя инфраструктуру Anthropic для быстрого запуска возможностей собственной системы. Направляя пользовательские промпты в Claude и используя высококачественные ответы для обучения своих моделей, эти лаборатории теоретически могли достичь почти полного паритета с современными американскими моделями, затрачивая лишь малую часть вычислительных ресурсов.

Ключевые тактики, выявленные в отчете, включают:

• Выявление цепочки рассуждений (Chain-of-Thought Elicitation): побуждение Claude «показать свою работу» или объяснить этапы рассуждения, что генерирует насыщенные данные для обучения, которые учат модели-ученики тому, как думать, а не только тому, что отвечать.
• Обфускация через прокси-сети: использование децентрализованных резидентных прокси-сетей для распределения запросов, что создает видимость трафика от тысяч отдельных легитимных пользователей.
• Целенаправленный обход защитных механизмов: специальные запросы на чувствительные темы, чтобы понять, как Claude отклоняет или обрабатывает запросы безопасности, потенциально для обучения моделей обходу аналогичных ограничений.

Измерение национальной безопасности: снятие барьеров

Помимо коммерческих последствий кражи интеллектуальной собственности, Anthropic подчеркнула серьезную проблему безопасности: удаление защитных барьеров. Американские передовые модели, такие как Claude, проходят тщательное обучение в рамках «Конституционного ИИ» (Constitutional AI), чтобы предотвратить их помощь в создании биооружия, кибератаках или кампаниях по дезинформации.

Когда модель дистиллируется незаконно, модель-«ученик» часто перенимает возможности «учителя», не наследуя его запреты в области безопасности. Anthropic предупреждает, что эти «раскрепощенные» клоны представляют собой уникальный риск распространения. Если дистиллированная модель сохраняет навыки кодирования Claude, но лишена механизмов отказа в генерации вредоносного ПО, она становится мощным оружием в руках злоумышленников.

«Незаконно дистиллированные модели лишены необходимых мер предосторожности, что создает значительные риски для национальной безопасности», — заявила Anthropic в своей исследовательской работе под названием «Обнаружение и предотвращение атак методом дистилляции (Distillation Attacks)». Компания утверждает, что разрешение иностранным организациям клонировать американские возможности ИИ подрывает те самые протоколы безопасности, к принятию которых правительство США призывает отрасль.

Новые меры защиты: поведенческая идентификация

Одновременно с обвинением Anthropic обнародовала подробности о новых механизмах защиты, предназначенных для выявления и блокировки попыток дистилляции в режиме реального времени. Основой этой защиты является «поведенческая идентификация (behavioral fingerprinting)» — метод, анализирующий статистические паттерны использования API.

В отличие от легитимных пользователей, демонстрирующих органичные и разнообразные модели взаимодействия, сценарии дистилляции часто оставляют тонкие статистические следы. К ним относятся:

• Неестественное распределение промптов: высокая частота запросов, предназначенных для охвата всего «пространства знаний» модели, а не для решения текущих задач пользователя.
• Систематический перебор параметров: систематическое изменение настроек температуры или выборки (sampling) для извлечения различных выходных данных на один и тот же промпт.
• Корреляция задержек: временные паттерны, указывающие на то, что API вызывается программно в ответ на ввод стороннего пользователя (схема «человек посередине»).

Anthropic объявила, что делится этими техническими индикаторами с другими крупными американскими ИИ-лабораториями (такими как OpenAI и Google DeepMind), облачными провайдерами и государственными органами для создания общеотраслевой сети защиты против «майнинга» моделей.

Геополитические последствия: связь с «войной чипов»

Этот инцидент вносит разлад в сложный механизм технологических отношений между США и Китаем. Момент выбран особенно чувствительный, так как Министерство торговли США в настоящее время пересматривает эффективность мер экспортного контроля, запрещающих продажу передовых графических процессоров (GPU), таких как NVIDIA H100 и новая серия Blackwell, китайским фирмам.

Критики нынешних запретов на экспорт утверждают, что они недостаточны, если китайские лаборатории могут просто «перехитрить» аппаратный дефицит, копируя интеллект американских моделей. Если лаборатория может обучить конкурентоспособную модель, используя 10% вычислительной мощности путем дистилляции Claude, то «вычислительный барьер», направленный на замедление прогресса Китая в области ИИ, становится значительно более проницаемым.

Последствия для политики:

• Более строгий контроль API: мы можем увидеть, как регуляторы США потребуют соблюдения стандартов «Знай своего клиента» (KYC) для доступа к ИИ-интерфейсам API, по аналогии с банковским регулированием, чтобы предотвратить анонимный доступ из-за рубежа.
• Расширение экспортного контроля: определение «экспорта» может быть расширено и включать не только физические чипы или веса моделей, но и доступ к API для инференса моделей, который может быть использован для обучения.
• Ответные меры: это публичное оглашение имен может спровоцировать ответную киберактивность или санкции со стороны Пекина, что еще больше разделит мировую экосистему ИИ.

Заключение

Обвинения, выдвинутые Anthropic, знаменуют переход от теоретических рисков к задокументированному конфликту в секторе ИИ. По мере того как модели становятся все более ценными, они перестают быть просто продуктами и превращаются в стратегические национальные активы. «Дистилляционное ограбление» служит суровым напоминанием о том, что в цифровую эпоху возможности можно украсть так же легко, как и создать. Для индустрии фокус внимания теперь должен сместиться с простого создания более умных моделей на создание моделей, которые труднее украсть, гарантируя, что плоды американских инноваций непреднамеренно не станут топливом для тех самых конкурентов, которых они должны были опередить.