Anthropic заявила про масштабну спробу дистиляції її мовної моделі Claude, яку нібито здійснювали три китайські компанії у сфері штучного інтелекту — DeepSeek, Moonshot AI та MiniMax. За даними компанії, через понад 24 000 фіктивних акаунтів було сформовано більш як 16 млн запитів до API Claude, попри офіційну заборону використання сервісів Anthropic у Китаї.
Дистиляція моделей ШІ: легітимна технологія чи інструмент «крадіжки можливостей»
Дистиляція моделі — це техніка, за якої компактніша нейромережа (модель-«студент») навчається на відповідях більш потужної системи (моделі-«вчителя»). Таким чином, нова модель успадковує значну частину компетенцій без повноцінного й дорогого навчання на сирих даних. У машинному навчанні це стандартний підхід для оптимізації великих мовних моделей (LLM).
Проблема виникає тоді, коли дистиляція використовується для відтворення комерційно цінних можливостей чужої моделі без згоди правовласника. Фактично, замість інвестицій у навчання власної LLM компанія може спробувати скористатися вже відлагодженим продуктом конкурента як «шорткатом» — джерелом дешевої інтелектуальної власності, що напряму зачіпає питання авторського права, ліцензування й етики використання даних.
Схема атак: hydra cluster, проксі та маскування трафіку
Anthropic стверджує, що запити на дистиляцію надходили через розгалужені мережі фейкових акаунтів і комерційні проксі-сервіси, які перепродують доступ до провідних ІІ-моделей. Таку інфраструктуру компанія описує терміном hydra cluster — це розподілений кластер з тисяч акаунтів, який дозволяє обходити ліміти API й розмивати сліди аномальної активності.
За інформацією Anthropic, одна з проксі-мереж одночасно керувала понад 20 000 акаунтів і змішувала запити на дистиляцію з легітимним трафіком своїх клієнтів. Такий підхід суттєво ускладнює традиційні механізми виявлення зловживань, які спираються на очевидні піки активності або поведінку окремих «проблемних» користувачів.
DeepSeek: тестування логіки й політично чутливого контенту
За оцінкою Anthropic, DeepSeek здійснила понад 150 000 взаємодій з Claude. Основний інтерес нібито був зосереджений на логічних здібностях моделі та на тому, як вона формує «політично безпечні» відповіді. Тобто вивчалася здатність Claude працювати з чутливими темами так, щоб зберігати видимість нейтральності та дотримання політик модерації контенту.
Moonshot AI: автономні агенти, інструменти та комп’ютерний зір
Moonshot AI, за твердженням Anthropic, згенерувала понад 3,4 млн запитів. Профіль трафіку був сфокусований на автономних можливостях Claude, програмуванні, виклику зовнішніх інструментів та функціоналі, пов’язаному з комп’ютерним зором. Така структурування запитів характерна для спроб відтворити складні ланцюжки міркувань і інтегрувати LLM у прикладні системи та агентні сценарії.
MiniMax: масова генерація коду й гонитва за останніми версіями
Найбільший обсяг трафіку Anthropic пов’язує з MiniMax — понад 13 млн повідомлень. Переважна частка цих взаємодій стосувалася генерації та аналізу програмного коду. Показово, що майже половину запитів швидко перенаправили на найновішу версію Claude відразу після її релізу, що вказує на системну спробу оперативно «зняти сліпок» з актуальної конфігурації моделі.
ШІ, національна безпека та контроль за експортом ІІ-чипів
Anthropic наголошує, що кампанія такої масштабності вимагає доступу до потужних обчислювальних ресурсів і спеціалізованих ШІ-чипів. Це прямо вписується у ширший геополітичний контекст: у США тривають дискусії щодо обмеження експорту високопродуктивних GPU до Китаю, тоді як виробники пропонують «урізані» модифікації чипів, формально сумісні з експортним контролем.
З погляду кібербезпеки та національної безпеки ключовий ризик полягає в тому, що моделі, створені на основі нелегальної дистиляції, зазвичай позбавлені вбудованих механізмів безпеки (safety guardrails) та фільтрації контенту. Такі LLM легше використовувати для кібератак, кампаній дезінформації, масового стеження й наступальних операцій, де питання відповідності нормам та етичним стандартам відходить на другий план.
Захист API та моделей ШІ: поведенчий фингерпринтинг і класифікатори
У відповідь Anthropic заявляє про впровадження класифікаторів і систем поведенчого фингерпринтингу для аналізу трафіку до API Claude. Йдеться про побудову профілів «нормальної» активності клієнтів і виявлення патернів, характерних для масового збору відповідей: повторювані типи запитів, надвисока інтенсивність викликів, нетипові маршрути через проксі тощо.
Додатково компанія використовує механізми, що знижують цінність відповідей моделі за наявності ознак дистиляції: рандомізація частини виводів, обмеження глибини пояснень, додаткові контекстні перевірки. Для бізнесу це завжди компроміс між зручністю для легітимних користувачів і захистом інтелектуальної власності, а для фахівців з кібербезпеки — приклад багаторівневої оборони API, що поєднує rate limiting, аналіз аномалій та поведінкову аналітику.
Хвиля критики Anthropic: подвійні стандарти й дані для навчання LLM
Публічні заяви Anthropic викликали значний резонанс, причому помітна частка критики була спрямована саме на компанію, а не на китайські лабораторії. Коментатори нагадали про багатомільярдні врегулювання претензій, пов’язаних із використанням неліцензованих книг та веб-контенту під час навчання Claude, а також про позови щодо скрапінгу даних Reddit.
Опоненти вказують на логічний дисонанс: провайдер LLM, який будував свою модель значною мірою на основі даних мільйонів авторів без прямої компенсації, тепер засуджує конкурентів за переробку вже його інтелектуального продукту. Окремо наголошується, що китайські компанії принаймні платили за доступ до API, тоді як чимало правовласників контенту, використаного під час навчання Claude, не отримали винагороди.
Історія з дистиляцією Claude показує, що захист ІІ-моделей стає повноцінним напрямком кібербезпеки. Поряд із класичними загрозами — зламами інфраструктури та витоками даних — з’являються кампанії з «крадіжки можливостей» через API, ферми акаунтів і проксі-кластери. Організаціям, які розробляють або інтегрують ШІ, варто посилювати контроль доступу до API, впроваджувати моніторинг аномалій, поведінкову аналітику запитів і юридично прозорі практики роботи з даними. Учасникам ринку доцільно не лише оцінювати точність і продуктивність моделей, а й ставити запитання про походження, способи навчання та безпекові ризики, які стоять за тим чи іншим ШІ-продуктом.
