Anthropic 指控阿里蒸馏攻击:2880 万次交互背后的 AI 军备竞赛

Anthropic 刚刚向美国参议院银行委员会递交了一封火药味十足的举报信,指控阿里巴巴及其通义千问团队在 45 天内用 2.5 万个虚假账户对 Claude 发起了 2880 万次交互。按 Anthropic 的说法,这是他们遭遇的「迄今已知最大规模蒸馏攻击」——数量是今年 2 月 DeepSeek、MiniMax 和月之暗面三家加起来的近两倍。

时间点很微妙。这封信写于 6 月 10 日,收信人是共和党参议员 Tim Scott 和民主党参议员 Elizabeth Warren,但直到现在才通过 CNBC 和路透社曝光。而就在两周前,美国商务部刚以「国家安全」为由,勒令 Anthropic 停止向所有外国人提供最新的 Fable 5 和 Mythos 5 模型——包括他们自己的外籍员工。Anthropic 不得不在全球范围内下架这两个模型,到现在还没恢复。

一边被自家政府卡脖子,一边向国会喊话「中国在偷我们技术」,Anthropic 现在的处境相当拧巴。

什么是蒸馏攻击?为什么这么敏感?

蒸馏(Distillation)本来是个中性的 AI 训练技术:用一个大模型(老师)的输出来训练一个小模型(学生),让小模型在更低成本下接近大模型的能力。OpenAI 的 GPT-3.5 就是用 GPT-4 蒸馏出来的,这在业内是公开的秘密。

但「对抗式蒸馏」(Adversarial Distillation)就是另一回事了。它指的是:你没授权,我也不管服务条款,直接用海量虚假账户绕过你的限制,把你的顶级模型当免费老师用。这等于把别人花几亿美元训练出来的能力,用几万美元的 API 成本就复制了七八成。

Anthropic 在信中特别强调,阿里巴巴的攻击目标很明确:Claude 最核心的软件工程能力、Agent 推理能力和长程任务处理能力。这些正是 Claude 相比 GPT-4 的差异化优势,也是 Anthropic 估值 9650 亿美元的护城河所在。

从数据看,这次攻击确实规模惊人:

• 攻击周期: 2026 年 4 月 22 日至 6 月 5 日,持续 45 天
• 虚假账户数: 约 25,000 个
• 交互总量: 28,800,000 次
• 平均每账户: 1,152 次交互
• 平均每天: 640,000 次交互

作为对比,今年 2 月被点名的 DeepSeek、MiniMax 和月之暗面三家,用 24,000 个账户总共产生了 1,600 万次交互。阿里巴巴一家的量,接近之前三家的 1.8 倍。

但这里有个细节值得注意:Anthropic 说的是「与阿里巴巴及通义千问有关联的操作者」(Alibaba-linked operators),而不是直接说「阿里巴巴」。这种措辞在法律文件里很常见,既留了举证空间,也避免了直接指控带来的诉讼风险。阿里巴巴到现在也没有对此置评。

Anthropic 自己干净吗?双标争议再起

这事儿要是放在别的公司身上,可能还真能站住脚。但 Anthropic 的问题在于,他们自己的底子不太干净。

今年 5 月,Claude Opus 4.8 刚上线就出了个大乌龙:多个用户通过 API 测试发现,当问到「你是谁」时,这个模型有时会回答自己是通义千问(Qwen)或 DeepSeek。这在社交媒体上引发了轰动——一个美国顶级模型,居然在回答身份问题时自称是中国模型?

业内对此有两种解读。一种认为这是 Anthropic 自己用中国模型做蒸馏的证据,训练数据里混入了其他模型的输出,导致模型产生了「身份混淆」。另一种更温和的解释是,这只是训练数据污染或提示词注入的问题,不能证明直接蒸馏。

但更致命的是埃隆·马斯克的炮轰。他在 X 上公开表示:「Anthropic 犯有大规模窃取训练数据的罪行,并且已经为其盗窃行为支付了数十亿美元的和解金。这只是一个事实。」

有网友回怼说 Grok 的训练数据也是偷的,马斯克倒是很坦诚:「是啊,但我们不会像 Anthropic 那样对此表现得极度自鸣得意、伪善又虚伪。」

这话听起来有点无赖,但确实戳中了 Anthropic 的痛点。AI 行业里,几乎每家公司都在用各种方式获取训练数据——爬公开网页、买版权数据、甚至灰色地带的数据交易。但 Anthropic 一边这么干,一边高举「Constitutional AI」(宪政 AI)的道德大旗,这种反差确实容易招黑。

李开复也公开发声,说 Anthropic「小题大做」,还顺便抱怨这公司还欠他 3000 美元稿费没给。这个细节虽然是玩笑,但也反映了业内对 Anthropic 的普遍观感:技术确实强,但做派有点端着。

华盛顿的算盘:制裁还是保护?

尽管 Anthropic 自己有双标嫌疑,但华盛顿对这件事的态度出乎意料地一致。

共和党参议员 Bill Hagerty 和民主党参议员 Andy Kim 已经计划在今年的国防授权法案(NDAA)中提出修正案,授权政府将被发现非法获取美国 AI 模型输出的中国公司列入黑名单或实施制裁。这个法案是每年必过的,修正案一旦塞进去,通过概率很高。

更值得注意的是,Anthropic、OpenAI 和 Google 三家已经建立了情报共享机制,专门用来识别和对抗蒸馏攻击。这意味着如果一家公司检测到某批虚假账户,其他两家也会同步封禁。这种行业联盟在硅谷并不常见,说明蒸馏攻击已经被视为共同威胁。

但这里有个吊诡的地方:美国政府一边在限制 Anthropic 对外提供模型(包括对盟友),一边又希望 Anthropic 能在技术上保持领先,好让中国追不上。这种矛盾在特朗普政府的对华科技政策中非常典型——既要卡,又怕卡得太死让美国公司失去市场。

Anthropic 现在估值 9650 亿美元,本月已秘密提交 IPO 申请,最早可能今年秋天上市。对一家即将上市的公司来说,蒸馏攻击不只是技术问题,更是商业威胁:如果中国竞争对手能用极低成本复制出接近的产品,Anthropic 的估值逻辑就站不住了。这也解释了为什么他们这次反应这么激烈。

中美 AI 博弈的新战场

往大了说,这件事反映的是中美 AI 竞争的新形态。

过去几年,美国对中国的 AI 限制主要集中在硬件层面——限制高端 GPU 出口,卡 ASML 的光刻机,禁止英伟达向中国出售 A100/H100。但这些措施的效果正在递减:中国公司要么囤积旧卡,要么转向国产替代(虽然性能差点,但也能用),要么干脆通过云服务绕过限制。

蒸馏攻击是一种更隐蔽的技术获取方式。它不需要物理硬件,不需要走海关,只需要互联网连接和一些虚假账户。而且因为所有交互都是通过 API 完成的,从技术上很难区分「正常使用」和「恶意蒸馏」——除非像这次一样,规模大到明显异常。

从中国的角度看,这也是一种合理的技术追赶策略。你不让我买芯片,不让我用你的模型,那我就通过公开 API 学习你的模型能力。严格来说,这确实违反了服务条款,但在国际政治层面,很难说这是「窃取」——毕竟 API 是公开提供的,只是使用方式有争议。

更有意思的是,这种争议本身就暴露了美国 AI 公司的焦虑:他们的技术领先优势正在缩小。如果差距真的有那么大,蒸馏攻击根本不会构成威胁。正是因为中国模型(尤其是 DeepSeek 和通义千问)在某些任务上已经接近甚至超越 GPT-4,蒸馏攻击才变得这么敏感。

阿里巴巴刚在 6 月 8 日被美国国防部列入「中国军事企业」黑名单,阿里已经就此向美国法院提告。现在又被 Anthropic 公开指控蒸馏攻击,阿里在美国的处境可以说是雪上加霜。但从另一个角度看,这也说明通义千问的技术实力确实引起了美国同行的重视——否则也不值得这么大动干戈。

开发者怎么看?

对于我们这些开发者来说,这件事其实挺分裂的。

从技术角度,蒸馏是个效率极高的训练方法。很多开源社区项目(比如 Alpaca、Vicuna)就是用 GPT-3.5/4 的输出来训练小模型,大家都觉得理所当然。但如果是商业公司这么干,尤其是跨国竞争对手,性质就完全不一样了。

从实用角度,中国的 AI 服务确实比美国的便宜太多,而且在代码生成、中文理解等场景下表现不差。如果通义千问真的是通过蒸馏 Claude 才达到这个水平,那作为用户,我们其实是受益的——至少有了更便宜的替代选择。

但从行业健康度看,如果蒸馏攻击成为常态,那些真正投入巨资做原创研究的公司就会失去动力。为什么要花几亿美元训练模型,如果别人花几万美元就能复制 80% 的能力?

这个问题没有简单答案。AI 不像传统软件,你很难用专利或版权来保护一个模型的「知识」。模型的输出不受版权保护(这是目前的法律共识),那用这些输出来训练新模型,在法律上就处于灰色地带。

Anthropic 现在的策略是通过政治手段来补救技术手段的不足。他们希望政府立法禁止蒸馏攻击,或者至少让实施蒸馏攻击的公司付出代价(比如制裁、黑名单)。但这种做法的副作用是,它会进一步加剧中美 AI 领域的对抗,让技术交流变得更加困难。

这事儿会怎么发展?

短期来看,阿里巴巴大概率会保持沉默。他们现在在美国的处境已经很被动,公开回应只会让事情更复杂。而且从举证角度,Anthropic 只是说「有关联的操作者」,并没有直接指控阿里巴巴公司,这给了双方都留了台阶。

中期来看,美国国会很可能会通过某种形式的立法,明确禁止或限制对美国 AI 模型的蒸馏行为。这会给 OpenAI、Anthropic 等公司提供更强的法律武器,但执行起来会很困难——你怎么证明一个中国模型是通过蒸馏你的模型训练出来的?

长期来看,这会加速 AI 领域的技术分化。中美两边会各自形成相对封闭的技术生态:美国这边是 OpenAI、Anthropic、Google,中国那边是通义千问、DeepSeek、月之暗面。中间的技术交流会越来越少,但竞争会越来越激烈。

对开发者来说,这意味着我们要习惯在多个模型之间切换,根据任务特点和成本预算选择合适的服务。好消息是,像 OpenAI Hub 这样的 API 聚合平台会让这种切换变得更简单——一个 Key 就能调所有主流模型,国内直连,不用担心访问问题。

但说到底,这场争议的核心不是技术,是信任。Anthropic 不信任中国公司会遵守他们的服务条款,中国公司不信任美国会公平对待他们,美国政府不信任中国会把 AI 技术用于「正当目的」。在这种互不信任的环境下,技术问题很容易被政治化,而政治化的结果往往是双输。

蒸馏攻击是不是「窃取」?这个问题可能永远不会有共识。但可以肯定的是,这不会是最后一次类似的争议。在 AI 成为国家战略资产的今天,每一行代码、每一个模型权重,都可能成为博弈的筹码。

参考来源

• 又双标?Anthropic 指责阿里巴巴对其实施"迄今已知最大规模的蒸馏攻击" - IT之家 - IT之家对事件的详细报道,包含背景和争议分析