Die KI-Firma Anthropic, Entwickler der Sprachmodelle Claude, berichtet von einer großangelegten Kampagne zur unerlaubten Distillation ihres Modells durch drei chinesische Unternehmen: DeepSeek, Moonshot AI und MiniMax. Über mehr als 24.000 fingierte Konten seien insgesamt über 16 Millionen Anfragen an die Claude-API gestellt worden – obwohl der offizielle Zugang zu Anthropics Diensten in China gesperrt ist.
Was Modell-Distillation ist – und ab wann sie zum Problem wird
Unter Modell-Distillation versteht man ein etabliertes Verfahren im maschinellen Lernen: Eine kleinere oder effizientere KI („Student“) wird mit den Antworten einer deutlich leistungsfähigeren KI („Lehrer“) trainiert. Die komplexe Ausgangsarchitektur und der teure Trainingsprozess müssen dabei nicht nachgebildet werden; die Zielmodelle erben dennoch einen Großteil der Fähigkeiten.
Aus technischer Sicht ist Distillation ein legitimes Optimierungswerkzeug, das unter anderem in Forschung und Industrie eingesetzt wird, um große Sprachmodelle (Large Language Models, LLMs) für den produktiven Einsatz zu verschlanken. Problematisch wird sie jedoch, wenn sie genutzt wird, um kommerzielle Kernfunktionen proprietärer Modelle ohne Zustimmung des Rechteinhabers zu replizieren. In diesem Fall ersetzt Distillation milliardenschwere Investitionen in Daten, Rechenleistung und Sicherheitsmechanismen durch einen vergleichsweise günstigen „Abgriff“ über eine API.
Hydra-Cluster und API-Missbrauch: Wie die Kampagne laut Anthropic ablief
Anthropic beschreibt die beobachtete Infrastruktur als „Hydra-Cluster“: verteilte Netzwerke aus Tausenden von Accounts, häufig hinter kommerziellen Proxy-Diensten verborgen. Ziel sei es, Rate-Limits zu umgehen, Anomalieerkennung zu erschweren und verdächtigen Traffic im legitimen Kundenverkehr zu verstecken. Eine der identifizierten Proxy-Strukturen soll zeitgleich über 20.000 Konten gesteuert und Distillationsanfragen mit echten Kundenanfragen vermischt haben.
DeepSeek: Fokus auf Logik und politisch sensible Inhalte
Dem Unternehmen DeepSeek schreibt Anthropic mehr als 150.000 Interaktionen mit Claude zu. Im Vordergrund sollen die logischen Fähigkeiten des Modells und der Umgang mit politisch sensiblen Themen gestanden haben. Aus Cybersicherheitssicht ist dies brisant: Die Reproduktion feinjustierter „Safety Policies“ und Antwortstrategien zu sensiblen Inhalten kann direkt in Desinformationskampagnen oder zensurumgehende Kommunikationskanäle einfließen.
Moonshot AI: Autonome Funktionen und Tool-Integration
Moonshot AI soll laut Anthropic über 3,4 Millionen Anfragen generiert haben. Der Schwerpunkt lag demnach auf autonomen Agentenfunktionen, Programmierung, externer Werkzeugnutzung (Tools, Plugins) sowie Fähigkeiten im Bereich Computer Vision. Dieses Profil entspricht typischen Versuchen, komplexe Reasoning-Ketten und die Integration einer LLM in Anwendungen nachzubilden – ein entscheidender Faktor für produktionsreife KI-Plattformen.
MiniMax: Code-Generierung und schnelle Anpassung an neue Modellversionen
Die größten Volumina werden MiniMax zugeschrieben: mehr als 13 Millionen API-Transaktionen. Im Fokus stand laut Anthropic vor allem die Generierung und Analyse von Quellcode. Auffällig sei, dass knapp die Hälfte des Traffics unmittelbar nach dem Release einer neuen Claude-Version auf diese umgestellt wurde. Dies deutet auf eine systematische Strategie hin, zeitnah „Schnappschüsse“ aktueller Modellstände zu erstellen und eigene Systeme schnell nachzuziehen.
Nationale Sicherheit, Hochleistungs-Chips und geopolitische Dimension
Anthropic betont, dass Kampagnen dieser Größenordnung massive Rechenressourcen und spezialisierte KI-Chips erfordern. Damit berührt der Fall eine ohnehin angespannte geopolitische Debatte: Die USA diskutieren seit Jahren Exportkontrollen für Hochleistungs-GPUs Richtung China; angepasste KI-Chips mit reduzierter Leistungsfähigkeit wurden jüngst wieder für den Export freigegeben.
Aus Sicht der nationalen und der Cybersicherheit ergeben sich mehrere Risiken. Erstens fehlt distillierten Modellen häufig ein Großteil der integrierten Sicherheitsmechanismen wie Content-Filter, Missbrauchserkennung und Abstufungen bei gefährlichen Inhalten. Zweitens können solche Modelle gezielt für offensive Cyberoperationen genutzt werden – von der automatisierten Schwachstellensuche über Phishing-Kampagnen bis zur gesteuerten Desinformation und Überwachung.
Technische Schutzmaßnahmen: Verhaltensanalyse und Output-Härtung
Zur Abwehr ähnlicher Angriffe setzt Anthropic nach eigenen Angaben auf Verhaltens-Fingerprinting und spezialisierte Klassifikatoren. Dabei werden typische Profile regulärer Kundeninteraktionen modelliert, um auffällige Muster wie hochfrequente, stark repetitive Anfragen, unplausible Proxy-Routen oder koordinierte Account-Farmen automatisiert zu identifizieren. Vergleichbare Verfahren werden in der Branche etwa auch zur Erkennung von Botnet-Traffic oder Credential-Stuffing eingesetzt.
Wird ein Distillationsversuch vermutet, sollen zusätzliche Schutzschichten aktiv werden: teilweise Randomisierung von Antworten, Begrenzung der Erklärungstiefe oder verschärfte Kontextprüfungen. Dies illustriert ein zentrales Dilemma moderner KI-Sicherheit: Nutzbarkeit und Transparenz für legitime Anwender stehen in Spannung zur Absicherung geistigen Eigentums und zur Missbrauchsprävention. In der Praxis sind mehrschichtige API-Sicherheitskonzepte erforderlich – von Rate-Limits und IP-Reputation über Anomalieerkennung bis zu verhaltensbasierten Modellen.
Kritik an Anthropic: Debatte um Trainingsdaten und Doppelmoral
Die Veröffentlichung von Anthropic hat eine Gegenreaktion ausgelöst, die sich nicht nur gegen die beschuldigten chinesischen Unternehmen richtet. Kritiker erinnern an Rechtsstreitigkeiten zu urheberrechtlich geschützten Büchern, Webinhalten und Forenbeiträgen, die ohne explizite Einwilligung der Urheber zum Training von LLMs verwendet wurden. In diesem Kontext wird Anthropic vorgeworfen, nun Praktiken zu kritisieren, die strukturell Ähnlichkeiten mit der eigenen Datennutzung aufweisen.
Hervorgehoben wird außerdem, dass die mutmaßlichen Distillationsangriffe zwar gegen Nutzungsbedingungen verstoßen, aber auf bezahltem API-Zugang basierten, während viele Autoren und Plattformbetreiber für die Verwendung ihrer Inhalte beim Training von Modellen wie Claude bislang keine Vergütung erhalten haben. Die Episode macht deutlich, dass rechtliche, ethische und technische Fragen der KI-Sicherheit untrennbar miteinander verknüpft sind und internationale Standards zur Datennutzung dringend weiterentwickelt werden müssen.
Die Auseinandersetzung um die Distillation von Claude unterstreicht, dass Schutz und Herkunft von KI-Modellen zu einem eigenständigen Handlungsfeld der Cybersicherheit geworden sind. Unternehmen, die KI entwickeln oder einsetzen, sollten API-Schnittstellen konsequent absichern, Anomalien im Nutzungsmuster aktiv überwachen und auf verhaltensbasierte Detection-Mechanismen setzen. Ebenso wichtig ist eine juristisch transparente Datengrundlage, um Vertrauen aufzubauen und regulatorischen Anforderungen gerecht zu werden. Organisationen, die KI-Lösungen evaluieren, sollten nicht nur auf Leistungsdaten achten, sondern gezielt nachfragen, wie das jeweilige Modell trainiert, gesichert und gegen Missbrauch geschützt wird – denn resiliente KI beginnt lange vor der ersten Anfrage an eine API.
