0
作者丨高允毅
编辑丨马晓宁
01
短短四个月,四家中国顶级AI公司被Anthropic接连点名,且没有停手的迹象。
这一次,轮到阿里。
2026年6月10日,Anthropic向美国参议院银行委员会递交了一封信,矛头直指阿里Qwen团队。报告披露了一串数字:从4月22日到6月5日,整整45天,阿里相关运营者利用2.5万个账号,完成了2880万次交互。
这是Anthropic迄今公开的最大规模“模型蒸馏”数据。
2880万次对话是什么概念?放一个行业参照:目前主流的高质量SFT(监督微调)数据集,规模通常在数十万到几百万条之间。2880万次针对核心能力的定向交互,足以在特定任务域内,低成本“提纯”出一个极具竞争力的专用模型。
这引起了Anthropic的高度警惕。在他们看来,对方的行为目标极其精准,刀刀直指其最新旗舰模型 Mythos Preview 的核心底牌,软件工程与智能体推理能力。
Anthropic在信中将其定性为“迄今为止,中国公司试图搭美国顶尖实验室便车的最大规模尝试”。
梳理时间线可以发现,Anthropic的反击正在显著升级。
2026年2月23日,Anthropic发布了一篇博客文章《Detecting and Preventing Distillation Attacks》,公开点名三家中国AI实验室:DeepSeek、月之暗面(Kimi)、MiniMax(稀宇科技)。
报告显示,约2.4万个中国相关账号对Claude发起了超过1600万次交互,其中MiniMax超1300万,月之暗面超340万,DeepSeek超15万。
从1600万次到2880万次,规模在翻倍,Anthropic的反击,也从2月份的“技术曝光”,升级到6月份“政治施压”。
而这次的收信人,银行委员会主席蒂姆·斯科特(Tim Scott)和首席成员伊丽莎白·沃伦(Elizabeth Warren),可以说是美国政坛里专门负责“对外经济制裁”和“对内金融监管”的两个狠角色。
02
Anthropic的应对策略,从一开始就不是打官司,而是推动立法。
据彭博社报道,信件递交后,美国参议员比尔·哈格蒂和安迪·金迅速跟进。他们计划推动一项修正案并纳入《国防法案》:对任何“不当获取美国AI模型输出以训练竞争系统”的中国公司,实施严厉制裁或直接列入黑名单。
事实上,不仅是在白宫,整个硅谷也在结成防御同盟。Anthropic、OpenAI 和谷歌已经暗中联手,开始共享关于违规数据抓取的情报。
在海外媒体报道中,美国官员曾做出过一个估计,这种未经授权的“工业级”蒸馏活动,每年给硅谷实验室造成的损失高达数十亿美元,直接威胁着Anthropic即将到来的天价IPO。
所以,借由这一次次越发严厉的指控,Anthropic真正想拿到的,不只是一家公司的商业维权,而是要在美国政界与产业界确立一条新的绝对红线:用API输出训练竞争模型,就是越界违法。
而在这场全方位的围堵中,美国政府的技术封锁也在急剧收紧,与前段时间业内轰轰烈烈的“Fable 5 与 Mythos 5 紧急下架”事件暗中呼应。
与国会山上的剑拔弩张不同,在开发者聚集的Reddit等技术论坛上,面对Anthropic的控诉,技术圈的反应堪称群嘲。
最经典的就是“贼喊抓贼”的戏码。有人指出,Anthropic 自己就是靠“偷数据”起家的。早期训练模型时,它因抄袭并非法下载数百万册受保护的书籍,曾陷入美国历史上规模最大的 AI 侵权盗版案,最终被迫吞下 15 亿美元的天价和解金。
连马斯克都曾在今年2月份公开贴脸开骂,在Anthropic指控中国的 DeepSeek、月之暗面(Kimi)以及 MiniMax发起蒸馏攻击,直指 Anthropic 才是北美最大的“偷子”,伪善又虚伪。
还有网友直接翻出了业内的著名回旋镖,此前 Anthropic 发布的 Claude 4.8 模型在回答,透露自己其实是“由阿里巴巴开发的Qwen模型”。“业内互相洗数据、抄来抄去早已是常态,你身上流着通义千问的血,回过头来告阿里抄袭?”
还有网友表示,如果是正常的付费使用,那和其他普通用户的区别在哪,这只能算商业违约,怎么到了国会嘴里就变成‘恶意网络攻击’和‘危害国家安全’了?”
更有技术流网友对 Anthropic 的高管能力表示鄙视:“遇到技术漏洞不想着怎么提升自家的 AI 防御层和反抓取能力,天天只知道跑去和特朗普政府打小报告。”
最让人啼笑皆非的却是一位重度用户的哀嚎:“我真正关心的只有 Fable 5 还能不能回来?Anthropic 现在一边和白宫打小报告哭诉模型被抄,一边又希望模型解禁。照这个趋势看, Fable 5 大概是回不来了。”
03
再看技术层面,整场指控的核心落在一个词上:“对抗性蒸馏”。
什么是对抗性蒸馏?简单来说,就是借别人的脑子,替自己省钱。
原本,“蒸馏”是AI训练中的正常操作:用一个已有的强大模型当“老师”,让它回答问题,然后把“老师”的答案拿过来,训练一个更轻量的“学生”模型。学生模型只学到了老师回答问题的能力,但训练成本只有老师的一小部分。
Meta 的 LLaMA 早期版本用 ChatGPT 的输出来训练自己,这在行业里不是秘密。
而 Anthropic 控诉的“对抗性蒸馏”,则是将这套思路发挥到了极致。不需要自己花几十亿美元买算力、自己做数据标注,只需要持续、大量地向目标模型发送精心设计的问题,把它的高质量回答批量保存下来,就拥有了一个现成的训练样本库。
这可省了一大笔钱。按Claude的公开API定价粗算,2880万次交互的费用,哪怕按企业折扣计,也要几百万美元。但与从零开始训练一个具备同等软件工程能力的大模型相比,这笔数字可能只是预算单上的零头。
这就是Anthropic愤怒的主要原因,对方跳过了多年的技术积累和巨额投入,用几百万美元的调用成本,拿到了价值数十亿美元的能力。
而Anthropic在报告中特意强调另一个问题,直指“安全”。
AI模型的核心能力分为两种,训练方式截然不同:
一种是“干活能力”,比如写代码、做数学题、写文案......只要给足标准答案,模型就能快速学会,这部分能力是可以被“蒸馏”的。
另一种是“安全对齐”,比如知道不该泄露用户隐私、不该协助犯罪、不该输出危险内容。这些安全规则不是靠反复刷题学来的,而是通过一套极其精细的“行为矫正”训练建立起来的。每一次模型试图越界,就会被训练师惩罚并矫正。
但蒸馏的过程,只复制成功,不复制拒绝。
在导出的2880万次对话里,那些被系统拦截、拒绝回答的高危问题,全被过滤掉了。结果就是,学生模型只学会了顶级的能力,却没学到“什么不该说”。一旦部署到真实世界中,能力越强,失控的结果也会越严重。
04
而在“对抗性蒸馏”的暗面,则涉及到“API安全”。
这次Anthropic能检测出这25000个异常账号,其实依赖的是“行为模式分析”,即找“破绽”。比如这些账号的注册时间过于集中、IP地址在地理位置上异常扎堆、提问的内容高度相似,且请求频率快得根本不像人类。
但这只是初级防御。当下,部分顶级AI实验室,已经在落地一种更具杀伤力的武器,叫"输出指纹"技术。它如同“隐形水印”,它会在模型的每一次输出中嵌入统计学层面的隐性标记,只要有人拿这些内容去训练新模型,日后一经检测,就能被精准溯源追踪。
然而在真实的工程世界里,防御天然滞后于进攻。
所谓“道高一尺,魔高一丈”。今天你封禁了25000个账号,明天对方就可以用无数个不同的虚拟信用卡和动态代理IP,分散注册;你通过分析查询模式来抓机器账号,对方就可以在代码里刻意加入像真人一样的停顿和废话来做伪装;你种下隐形的“输出指纹”,对方就能通过二次改写、翻译和增噪,把这些指纹彻底“洗”掉。
这场猫鼠游戏没有技术终局,只有成本的此消彼长。
但如果制裁清单落地,游戏规则就变了。到那时,这就不再是一个单纯的“反爬虫”或“API攻防”的技术问题,“谁的模型训练数据来自哪里”,将直接成为极其严苛的监管审查对象。
对所有在LLM工程链条上工作的人来说,这个结果将直接决定未来的合规边界:哪些数据来源是合法的?哪些模型的行为会被秋后算账?又有哪些公司,会因为训练数据“来路不明”而直接被列入致命的黑名单?
这才是 Anthropic 真正的野心所在——在废墟上建立一套由它定义、并由政治力量执行的全球 AI 新秩序。
参考链接:
https://www.bloomberg.com/news/articles/2026-06-24/anthropic-accuses-alibaba-of-illicitly-accessing-its-ai-models
https://www.reddit.com/r/ClaudeAI/comments/1uexovy/anthropic_allegations_of_unauthorised_access_by/
上车,雷峰网(公众号:雷峰网)带你看遍全球 AI 顶会精华
可独家畅览:
专家演讲PPT
大会报告全文
热门论文解读
学术新星访谈
扫描上方二维码
或点击「阅读原文」关注专区。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
