Anthropic заявила о масштабных попытках дистилляции своей крупной языковой модели Claude со стороны трех китайских ИИ-компаний — DeepSeek, Moonshot AI и MiniMax. По данным компании, через более чем 24 000 фиктивных аккаунтов было сгенерировано свыше 16 млн запросов к API Claude, несмотря на то что официальное использование сервисов Anthropic в Китае запрещено.
Что такое дистилляция модели Claude и почему это проблема
Под дистилляцией модели понимается техника, при которой более простая или компактная нейросеть обучается на ответах более мощной модели. В итоге «студент» перенимает знания «учителя», не проходя полноценный и дорогой цикл обучения на исходных данных. С точки зрения машинного обучения это легитимный метод, часто применяемый для оптимизации больших языковых моделей (LLM).
Проблема возникает, когда дистилляция используется для копирования коммерчески значимых возможностей чужой модели без разрешения правообладателя. Вместо миллиардных инвестиций в обучение собственной LLM компания может попытаться использовать уже готовый продукт конкурента как «шорткат» — по сути, как источник бесплатного (или сильно удешевленного) интеллектуального капитала.
Как, по данным Anthropic, была организована кампания
Anthropic утверждает, что запросы на дистилляцию поступали через крупные сети фейковых учетных записей и коммерческие прокси-сервисы, перепродающие доступ к топовым ИИ-моделям. Такие инфраструктуры описываются как hydra cluster — распределенные кластеры из тысяч аккаунтов, через которые маскируется аномальный трафик и обходятся лимиты API.
По информации компании, одна из прокси-сетей одновременно управляла более чем 20 000 аккаунтов и подмешивала запросы для дистилляции к легитимному трафику клиентов. Это усложняет классические механизмы детектирования, основанные на простом поиске подозрительных пиков активности или единичных «злонамеренных» пользователей.
DeepSeek: тестирование логики и политически чувствительных тем
В адрес DeepSeek выдвигается обвинение в проведении более 150 000 взаимодействий с Claude. Подчеркивается, что особый интерес вызывали логические способности модели и формирование «политически безопасных» ответов на чувствительные темы — то есть обход цензуры при сохранении видимости корректности и нейтральности генераций.
Moonshot AI: автономия, инструменты и компьютерное зрение
По данным Anthropic, Moonshot AI сформировала свыше 3,4 млн запросов. Фокус был сделан на автономных возможностях Claude, программировании, использовании внешних инструментов и функциях, связанных с компьютерным зрением. Такой профиль запросов характерен для попыток воспроизвести сложные цепочки рассуждений и интеграцию LLM в прикладочные системы.
MiniMax: приоритет — код и быстрая адаптация к новым версиям
Рекордные объемы трафика Anthropic связывает с MiniMax — более 13 млн обменов сообщениями. Основной акцент, по утверждению компании, был сделан на генерацию и анализ кода. Показательно, что почти половина этого трафика была оперативно перенаправлена на новейшую версию Claude сразу после ее запуска, что указывает на систематическую попытку как можно быстрее «снять слепок» с актуальной модели.
Национальная безопасность, ИИ-чипы и экспортный контроль
Anthropic подчеркивает, что масштаб атак требует доступа к продвинутым вычислительным ресурсам и ИИ-чипам. Это заявление встроено в более широкий политический контекст: в США активно обсуждаются ограничения на экспорт высокопроизводительных GPU в Китай, а недавно было разрешено поставлять в страну новые модификации специализированных чипов для ИИ.
С точки зрения кибербезопасности и национальной безопасности подобные кампании несут несколько рисков. Во-первых, модели, созданные на основе нелегальной дистилляции, как правило, лишены встроенных механизмов безопасности (safety-guardrails) и контент-фильтрации. Во-вторых, их возможности могут быть использованы для кибератак, массовой дезинформации, автоматизированной слежки и иных наступательных операций, где регуляции и этика игнорируются.
Технические меры защиты: поведенческий фингерпринтинг и классификаторы
Для противодействия дистилляции Anthropic заявляет о внедрении классификаторов и систем поведенческого фингерпринтинга для анализа API-трафика. Речь идет о построении профилей нормального поведения клиентов и выявлении паттернов, характерных для массового сбора ответов: однотипные запросы, высокая плотность вызовов, нетипичные маршруты через прокси и т. д.
Дополнительно внедрены меры, которые снижают полезность ответов модели при обнаружении признаков дистилляции. На практике это может означать: рандомизацию части выводов, ограничение глубины объяснений, введение дополнительных проверок контекста. Для бизнеса это баланс между юзабилити и защитой интеллектуальной собственности, а для специалистов по кибербезопасности — пример многоуровневой защиты API (rate limiting, аномалия-детекион, поведенческая аналитика).
Ответная волна критики: обвинения в лицемерии и спорные данные для обучения
Публикация Anthropic спровоцировала бурную реакцию в сети, причем значительная часть критики была направлена не против китайских лабораторий, а против самой компании. Комментаторы напомнили о многомиллиардных урегулированиях претензий, связанных с использованием нелицензированных книг и веб-контента при обучении Claude, а также иски, касающиеся скрапинга данных Reddit.
Критики указывают на кажущуюся двойную логику: компания, выстроившая модель во многом на основе данных миллионов авторов и издателей без прямого вознаграждения, теперь обвиняет конкурентов в схожих практиках переработки чужого интеллектуального продукта. Отдельно подчеркивается, что китайские компании, по крайней мере, платили за доступ к API, тогда как многие правообладатели контента, использованного при обучении Claude, не получили компенсации.
История с дистилляцией Claude демонстрирует, что защита ИИ-моделей становится полноценным направлением кибербезопасности: кроме классических угроз (взломы инфраструктуры, утечки данных) появляются кампании по «кражам возможностей» через API, фермы аккаунтов и прокси-кластеры. Организациям, разрабатывающим ИИ, необходимо строить многоуровневую защиту — от строгой политики доступа к API и мониторинга аномалий до поведенческого анализа запросов и юридически прозрачной работы с данными для обучения. Пользователям и компаниям, внедряющим ИИ, стоит внимательно следить за такими кейсами, чтобы оценивать не только технические возможности моделей, но и риски, стоящие за их происхождением и эксплуатацией.
