Компанія Anthropic у понеділок сколихнула індустрію штучного інтелекту, публічно звинувативши три провідні китайські лабораторії ШІ — DeepSeek, Moonshot AI та MiniMax — у координації масштабних кампаній з викрадення можливостей моделей Claude за допомогою десятків тисяч фальшивих облікових записів.
Компанія з Сан-Франциско заявила, що ці три лабораторії сумарно згенерували понад 16 мільйонів обмінів даними з Claude через приблизно 24 000 фейкових акаунтів, порушуючи умови надання послуг Anthropic та регіональні обмеження доступу. Ці кампанії, за словами Anthropic, є найбільш конкретним та детальним публічним доказом практики, яка турбує Кремнієву долину протягом місяців: систематичного використання іноземними конкурентами техніки, відомої як “дистиляція” (або “витяг знань”), для стрибка через роки досліджень та мільярди доларів інвестицій.
“Ці кампанії зростають за інтенсивністю та складністю”, — написала Anthropic у технічному блозі, опублікованому в понеділок. “Час для дій обмежений, а загроза виходить за межі будь-якої окремої компанії чи регіону. Її вирішення вимагатиме швидких, скоординованих дій між гравцями галузі, політиками та світовою спільнотою ШІ”.
Це розкриття знаменує собою різке загострення напруженості між американськими та китайськими розробниками ШІ. Воно відбувається в момент, коли Вашингтон активно обговорює, чи варто посилювати або послаблювати експортний контроль на передові чіпи, що використовуються для навчання ШІ. Anthropic, яку очолює генеральний директор Даріо Амодей, була однією з найгучніших прихильниць обмеження продажу чіпів до Китаю, і компанія прямо пов’язала сьогоднішні розкриття з цією політичною боротьбою.
Як “дистиляція” ШІ перетворилася з маловідомої дослідницької техніки на геополітичний конфлікт
Щоб зрозуміти, що стверджує Anthropic, корисно розібратися, що таке “дистиляція” — і як вона еволюціонувала від академічної цікавості до найсуперечливішого питання у глобальній гонці ШІ.
По суті, “дистиляція” — це процес вилучення знань з більшої, потужнішої моделі ШІ (“вчителя”) для створення меншої, ефективнішої моделі (“учня”). Модель-учень навчається не на сирих даних, а на вихідних даних “вчителя”: його відповідях, моделях міркувань та поведінці. Якщо виконано правильно, “учень” може досягти продуктивності, надзвичайно близької до “вчителя”, вимагаючи при цьому значно менше обчислювальних ресурсів для навчання.
Як визнає сама Anthropic, “дистиляція” є “широко використовуваним та законним методом навчання”. Провідні лабораторії ШІ, включаючи Anthropic, регулярно дистилюють власні моделі для створення менших, дешевших версій для клієнтів. Але цю техніку можна використовувати як зброю. Конкурент може видати себе за легітимного клієнта, бомбардувати передову модель ретельно розробленими запитами (промптами), збирати вихідні дані та використовувати їх для навчання конкурентної системи — таким чином перехоплюючи можливості, на розробку яких пішли роки та сотні мільйонів доларів.
Ця техніка увійшла в суспільну свідомість у січні 2025 року, коли DeepSeek випустила свою модель міркувань R1, яка, здавалося, відповідала або наближалася до продуктивності провідних американських моделей за значно нижчою ціною. Генеральний директор Databricks Алі Годсі того часу вловив тривогу індустрії, заявивши CNBC: “Ця техніка дистиляції є надзвичайно потужною і надзвичайно дешевою, і вона доступна будь-кому”. Він передбачив, що ця техніка покладе початок епосі інтенсивної конкуренції за великі мовні моделі.
Це передбачення виявилося пророчим. У тижні після випуску DeepSeek дослідники з Каліфорнійського університету в Берклі заявили, що відтворили модель міркувань OpenAI всього за 450 доларів за 19 годин. Дослідники зі Стенфорда та Вашингтонського університету пішли далі, створивши власну версію за 26 хвилин менш ніж за 50 доларів в обчислювальних кредитах. Стартап Hugging Face відтворив функцію Deep Research від OpenAI протягом 24-годинного виклику з кодування. Сама DeepSeek відкрито випустила сімейство дистильованих моделей на Hugging Face — включаючи версії, побудовані на архітектурах Qwen та Llama — під ліцензією MIT, що дозволяє вільне використання. У карті моделі прямо зазначено, що серія DeepSeek-R1 підтримує комерційне використання та дозволяє будь-які модифікації та похідні роботи, “включаючи, але не обмежуючись, дистиляцію для навчання інших LLM”.
Але те, що Anthropic описала в понеділок, виходить далеко за межі академічного відтворення або експериментів з відкритим вихідним кодом. Компанія детально описала те, що вона характеризувала як навмисне, таємне та великомасштабне викрадення інтелектуальної власності добре забезпеченими комерційними лабораторіями, що діють під юрисдикцією китайського уряду.
Anthropic відстежила 16 мільйонів шахрайських обмінів до дослідників з DeepSeek, Moonshot та MiniMax
Anthropic з “високою впевненістю” приписала кожну кампанію шляхом кореляції IP-адрес, метаданих запитів, індикаторів інфраструктури та підтвердження від неназваних партнерів по галузі, які спостерігали за тими ж акторами на своїх платформах. Кожна кампанія була спеціально спрямована на те, що Anthropic описувала як найбільш диференційовані можливості Claude: агентні міркування, використання інструментів та програмування.
DeepSeek, компанія, яка запалила дебати про дистиляцію, провела те, що Anthropic описала як найскладнішу з трьох операцій, згенерувавши понад 150 000 обмінів з Claude. Anthropic заявила, що запити DeepSeek були спрямовані на можливості міркування, завдання на основі рубрик, розроблені для того, щоб Claude функціонувала як модель винагороди для навчання з підкріпленням, і — деталь, яка, ймовірно, приверне особливу політичну увагу — створення “безпечних альтернатив цензурі для запитів, чутливих до політики”.
Anthropic стверджувала, що DeepSeek “генерувала синхронізований трафік між обліковими записами” з “ідентичними патернами, спільними методами оплати та скоординованим часом”, що свідчило про балансування навантаження для максимізації пропускної здатності та уникнення виявлення. В одному особливо помітному випадку Anthropic зазначила, що запити DeepSeek “просили Claude уявити та сформулювати внутрішні міркування, що стоять за завершеною відповіддю, та викласти їх крок за кроком — фактично генеруючи дані для навчання ланцюжків міркувань у великому масштабі”. Компанія також стверджувала, що спостерігала завдання, в яких Claude використовувалася для генерації альтернатив політично чутливим запитам щодо “дисидентів, лідерів партії або авторитаризму”, ймовірно, для навчання власних моделей DeepSeek відхиляти розмови від цензурованих тем. Anthropic заявила, що змогла відстежити ці облікові записи до конкретних дослідників у лабораторії.
Moonshot AI, пекінський розробник моделей Kimi, провів другу за обсягом операцію, згенерувавши понад 3,4 мільйона обмінів. Anthropic повідомила, що Moonshot зосередився на агентних міркуваннях та використанні інструментів, програмуванні та аналізі даних, розробці агентів для використання комп’ютера та комп’ютерному зорі. Компанія використовувала “сотні шахрайських облікових записів, що охоплюють кілька шляхів доступу”, що ускладнювало виявлення кампанії як скоординованої операції. Anthropic приписала кампанію на основі метаданих запитів, які “відповідали публічним профілям старших співробітників Moonshot”. На пізнішому етапі, за словами Anthropic, Moonshot застосував більш цілеспрямований підхід, “намагаючись витягти та реконструювати ланцюжки міркувань Claude”.
MiniMax, найменш відома з трьох, але найбільш продуктивна за обсягом, згенерувала понад 13 мільйонів обмінів — більше трьох чвертей від загальної кількості. Anthropic заявила, що кампанія MiniMax зосередилася на агентному програмуванні, використанні інструментів та оркестрації. Компанія виявила кампанію MiniMax, коли вона ще тривала, “до того, як MiniMax випустила модель, яку вона тренувала”, надавши Anthropic “безпрецедентну видимість життєвого циклу атак дистиляції, від генерації даних до запуску моделі”. Деталь, яка підкреслює терміновість та опортунізм, на які вказує Anthropic: компанія зазначила, що коли вона випустила нову модель під час активної кампанії MiniMax, MiniMax “переорієнтувалася протягом 24 годин, перенаправивши майже половину свого трафіку для захоплення можливостей нашої останньої системи”.
Як проксі-мережі та архітектури “гідра-кластерів” допомогли китайським лабораторіям обійти заборону Anthropic у Китаї
Anthropic наразі не пропонує комерційного доступу до Claude в Китаї — політика, яку вона підтримує з міркувань національної безпеки. То як же ці лабораторії взагалі отримали доступ до моделей?
Відповідь, за словами Anthropic, криється в комерційних проксі-сервісах, які продають доступ до Claude та інших передових моделей ШІ у великих масштабах. Anthropic описує ці сервіси як такі, що використовують так звані “гідра-кластерні” архітектури — розгалужені мережі шахрайських облікових записів, які розподіляють трафік через API Anthropic та сторонні хмарні платформи. “Широке охоплення цих мереж означає, що немає єдиних точок відмови”, — написала Anthropic. “Коли один обліковий запис баниться, йому на зміну приходить новий”. В одному з випадків, за словами Anthropic, одна проксі-мережа одночасно керувала понад 20 000 шахрайських облікових записів, змішуючи трафік дистиляції з непов’язаними запитами клієнтів, щоб ускладнити виявлення.
Це опис свідчить про зрілу та добре забезпечену екосистему інфраструктури, призначену для обходу контролю доступу — таку, що може обслуговувати набагато більше клієнтів, ніж лише три лабораторії, названі Anthropic.
Чому Anthropic представила дистиляцію як кризу національної безпеки, а не просто як суперечку про інтелектуальну власність
Anthropic розглядала це не як просте порушення умов надання послуг. Компанія вбудувала своє технічне розкриття у відвертий аргумент про національну безпеку, попереджаючи, що “незаконно дистильовані моделі не мають необхідних запобіжників, створюючи значні ризики для національної безпеки”.
Компанія стверджувала, що моделі, створені шляхом незаконної дистиляції, “навряд чи збережуть” запобіжники безпеки, які американські компанії вбудовують у свої системи — захист, призначений для запобігання використанню ШІ для розробки біологічної зброї, здійснення кібератак або сприяння масовому стеженню. “Іноземні лабораторії, які дистилюють американські моделі, можуть потім вбудовувати ці незахищені можливості у військові, розвідувальні та спостережні системи”, — написала Anthropic, — “дозволяючи авторитарним урядам використовувати передовий ШІ для наступальних кібероперацій, дезінформаційних кампаній та масового стеження”.
Це формулювання безпосередньо пов’язане з дебатами щодо експортного контролю чіпів, які Амодей зробив центральним елементом своєї публічної діяльності. У детальному есе, опублікованому в січні 2025 року, Амодей стверджував, що експортний контроль є “найважливішим фактором, що визначає, чи опинимося ми в однополярному чи двополярному світі” — світі, де тільки США та їхні союзники володіють найпотужнішим ШІ, або світі, де Китай досягає паритету. Він конкретно зазначив того часу, що “не займає жодної позиції щодо повідомлень про дистиляцію з західних моделей” і “просто візьме DeepSeek на слово, що вони тренували її так, як описано в статті”.
Сьогоднішнє розкриття — це різкий відхід від цієї попередньої стриманості. Anthropic тепер стверджує, що атаки дистиляції “підривають” експортний контроль, “дозволяючи іноземним лабораторіям, включаючи ті, що перебувають під контролем Комуністичної партії Китаю, скоротити конкурентну перевагу, яку експортний контроль покликаний зберегти іншими засобами”. Компанія пішла далі, стверджуючи, що “без видимості цих атак, очевидно швидкий прогрес, досягнутий цими лабораторіями, помилково сприймається як доказ неефективності експортного контролю”. Іншими словами, Anthropic стверджує, що те, що деякі спостерігачі інтерпретували як доказ того, що китайські лабораторії можуть інновувати, долаючи обмеження щодо чіпів, насправді значною мірою було результатом крадіжки американських можливостей.
Неясний правовий ландшафт навколо дистиляції ШІ може пояснити політичну стратегію Anthropic
Рішення Anthropic представити це як питання національної безпеки, а не як правовий спір, може відображати складну реальність того, що законодавство про інтелектуальну власність надає обмежені можливості для протидії дистиляції.
Як зазначено в аналізі юридичної фірми Winston & Strawn від березня 2025 року, “правовий ландшафт навколо дистиляції ШІ є неясним і розвивається”. Юристи фірми відзначили, що довести позов про авторське право в цьому контексті буде складно, оскільки залишається незрозумілим, чи вихідні дані моделей ШІ вважаються об’єктом авторського права на творчий вираз. Бюро авторського права США підтвердило в січні 2025 року, що захист авторських прав вимагає людського авторства, і що “просте надання підказок не робить вихідні дані об’єктом авторського права”.
Правова картина ще більше ускладнюється тим, як передові лабораторії структурують право власності на вихідні дані. Наприклад, умови використання OpenAI передають право власності на вихідні дані моделі користувачеві — це означає, що навіть якщо компанія зможе довести факт вилучення, вона може не мати авторських прав на вилучені дані. Winston & Strawn зазначила, що ця динаміка означає, що “навіть якщо OpenAI зможе представити достатньо доказів, щоб показати, що DeepSeek вилучила дані зі своїх моделей, OpenAI, ймовірно, не має авторських прав на ці дані”. Та ж логіка майже напевно стосуватиметься вихідних даних Anthropic.
Контрактне право може запропонувати більш перспективний шлях. Умови надання послуг Anthropic забороняють систематичне вилучення, яке описує компанія, і порушення цих умов є більш простим правовим позовом, ніж порушення авторських прав. Але забезпечення дотримання контрактних умов проти суб’єктів, що діють через проксі-сервіси та шахрайські облікові записи в іноземній юрисдикції, створює власні значні виклики.
Це може пояснити, чому Anthropic обрала рамки національної безпеки замість суто правових. Позиціонуючи атаки дистиляції як загрози режимам експортного контролю та демократичній безпеці, а не як спори про інтелектуальну власність, Anthropic звертається до політиків та регуляторів, які мають інструменти — санкції, внесення до списків суб’єктів, посилений експортний контроль — які значно перевершують те, що може досягти цивільне судочинство.
Що означає боротьба Anthropic проти дистиляції для кожної компанії, що працює з передовою моделлю ШІ
Anthropic окреслила багатогранну оборонну відповідь. Компанія заявила, що розробила класифікатори та системи поведінкового відбитків пальців, призначені для виявлення патернів атак дистиляції в API-трафіку, включаючи виявлення вилучення ланцюжків міркувань, що використовується для побудови навчальних даних. Вона ділиться технічними індикаторами з іншими лабораторіями ШІ, хмарними провайдерами та відповідними органами для побудови того, що вона описала як більш цілісну картину ландшафту дистиляції. Компанія також посилила перевірку для навчальних облікових записів, програм безпеки досліджень та стартап-організацій — шляхів, які найчастіше використовуються для створення шахрайських облікових записів — і розробляє запобіжники на рівні моделі, призначені для зменшення корисності вихідних даних для незаконної дистиляції, не погіршуючи досвіду для законних клієнтів.
Але компанія визнала, що “жодна компанія не може вирішити це самостійно”, закликаючи до скоординованих дій з боку галузі, хмарних провайдерів та політиків.
Це розкриття, ймовірно, матиме резонанс у багатьох поточних політичних дебатах. У Конгресі вже був внесений двопартійний законопроект “No DeepSeek on Government Devices Act”. Федеральні агентства, включаючи NASA, вже заборонили DeepSeek на пристроях співробітників. А ширше питання експортного контролю чіпів — яке адміністрація Трампа розглядала під тиском Nvidia та “яструбів” національної безпеки — тепер отримало нову й яскраву точку даних.
Для технічних осіб, відповідальних за прийняття рішень у сфері ШІ, наслідки негайні та практичні. Якщо розповідь Anthropic точна, проксі-інфраструктура, що забезпечує ці атаки, є величезною, складною та адаптивною — і вона не обмежується лише ціллю однієї компанії. Кожна передова лабораторія ШІ з API є потенційною мішенню. Ера розгляду доступу до моделей як простої комерційної транзакції може добігати кінця, замінюючись епохою, коли безпека API буде такою ж стратегічно важливою, як і самі ваги моделі.
Anthropic тепер надала імена, цифри та криміналістичні деталі підтвердження звинуваченням, про які індустрія шепотіла місяцями. Чи мобілізує це докази скоординовану відповідь, яку закликає компанія — чи просто прискорить гонку озброєнь між дистиляторами та захисниками — може залежати від питання, яке не може відповісти жоден класифікатор: чи побачить Вашингтон це як акт шпигунства, чи просто як вартість ведення бізнесу в епоху, коли сам інтелект став товаром.
Як захиститися (Порада ІТ-Блогу): Не довіряйте підозрілим посиланнями та вкладенням в електронних листах, навіть якщо вони виглядають як повідомлення від відомих компаній. Завжди перевіряйте адресу відправника та будьте обережні при наданні особистої інформації онлайн. Регулярно оновлюйте паролі та використовуйте двофакторну автентифікацію, де це можливо.
Дізнатися більше на: venturebeat.com