刚刚，Anthropic深夜大点名，这三家中国公司进行蒸馏攻击？！

刚刚，

Anthropic 发推称，DeepSeek、Moonshot AI和MiniMax三家国内的 AI 公司对Claude进行大规模的蒸馏攻击。

OK， A 社你真的很讨厌中国公司了。

Anthropic 指控推文

简单说就是：这三家公司用大量假账号，疯狂地向 Claude 提问，然后拿 Claude 的回答去训练自己的模型。

而根据 Anthropic 的统计，蒸馏攻击超过 1600 万次对话，大约有 2.4 万个虚假账号。

他们甚至为此写了一篇博文：

https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks0

什么是"蒸馏攻击"？

概念定义与原理解析

OK，其实，我一开始也不知道。

因为我只知道蒸馏和攻击，真的很少见到蒸馏攻击这个说法。

根据 Anthropic 的定义，所说的蒸馏攻击其实就是这几家公司都大规模的在用假账号、代理服务来访问 Claude，试图提取 Claude 的能力，比如推理、工具调用、写代码等等。

三家公司分别干了啥？

具体操作手法披露

根据 Anthropic 的官方发文来看，

DeepSeek 进行了超过 15 万次对话

DeepSeek 的操作比较"精"。他们主要薅的是 Claude 的三个能力：

• 推理能力：让 Claude 做各种复杂推理任务
• 奖励模型数据：让 Claude 当"评委"，给答案打分，生成强化学习训练数据
• 审查规避：让 Claude 生成"政治安全"的替代回答

最骚的一个操作是什么呢？

他们让 Claude "回忆"自己的推理过程，一步一步写出来——这等于直接白嫖了高质量的Chain-of-Thought训练数据。

还有一个细节：Anthropic 说他们发现了一些 prompt，是让 Claude 生成审查安全版本的回答。

比如关于领导人、威权主义的敏感话题，DeepSeek 似乎想用这些数据来训练自己的模型，让它学会避开这类话题。

Anthropic 甚至通过请求元数据，追溯到了 DeepSeek 实验室里的具体研究人员。

月之暗面（Moonshot/Kimi）：340 万次对话

月之暗面的胃口更大，主攻 Claude 的四个方向：

• Agent推理和工具调用
• 代码和数据分析
• 计算机使用的能力
• 计算机视觉

他们用了几百个假账号，走了多条访问路径，让整个行动看起来不像是一个有组织的操作。

但 Anthropic 还是通过请求元数据把他们给认出来了——元数据直接匹配上了月之暗面高管的公开资料。

后期月之暗面还升级了策略，试图直接提取和还原 Claude 的推理轨迹。

MiniMax：1300 万次对话

MiniMax 是三家里规模最大的，1300 万次对话，主要薅 Agent 编程和工具编排能力。

Anthropic 是在 MiniMax 的蒸馏行动还在进行中的时候抓到他们的——甚至是在 MiniMax 还没发布用这些数据训练的新模型之前。

这意味着 Anthropic 完整地看到了整个蒸馏攻击的生命周期：从数据生成到模型发布。

还有一个细节是，当 Anthropic 在 MiniMax 的蒸馏行动期间发布了新模型后，MiniMax 在 24 小时内就调转了近一半的流量，去薅新模型的能力。

他们是怎么绕过限制的？

代理服务与九头蛇集群

大家知道，Anthropic 出于国家安全考虑，不在中国提供 Claude 的商业访问。

那这些公司怎么用上 Claude 的？

答案是：代理服务商。

这些代理商运营着所谓的九头蛇集群架构——一个庞大的假账号网络，把流量分散到 Anthropic 的API和各种第三方云平台上。

一个代理网络同时管理着超过 2 万个假账号，还把蒸馏流量和正常客户的请求混在一起，增加检测难度。

砍掉一个账号？马上冒出一个新的。

为什么 Anthropic 这么紧张？

安全护栏与出口管制

原因有两个：

第一，安全护栏没了。

Anthropic 花了大量精力给 Claude 加上安全限制，防止模型被用来开发生化武器、搞网络攻击之类的。但通过蒸馏出来的模型，这些安全护栏大概率是没有的。

也就是说，危险的能力扩散了，但保护措施被扒光了。

如果这些蒸馏模型再被开源……那后果就更难控制了。

第二，出口管制被架空了。

我觉得这才是最主要的。。

美国搞芯片出口管制，本质上就是想维持 AI 领域的领先优势。但如果中国公司可以通过蒸馏直接抄作业，那出口管制的效果就大打折扣。

更讽刺的是，这些公司通过蒸馏取得的进步，反而被外界解读为"出口管制没用，人家照样能创新"。

但事实是，这些"创新"很大程度上依赖于从美国模型中提取的能力。

Anthropic 打算怎么办？

反制措施与行业协同

Anthropic 列出了几个方向：

1. 检测系统：建了好几个分类器和行为指纹系统，专门识别 API 流量中的蒸馏模式
2. 情报共享：和其他 AI 公司、云服务商、相关政府部门共享技术指标
3. 加强准入：收紧了教育账号、安全研究项目、初创企业等最容易被利用的注册通道
4. 反制措施：在产品、API 和模型层面开发防护手段，降低蒸馏输出的可用性，同时不影响正常用户体验

但 Anthropic 也承认：靠一家公司解决不了这个问题。

这需要整个行业、云服务商和政策制定者的协同行动。

文章来自于微信公众号 "BubbleBrain"，作者 "BubbleBrain"