Компанія Anthropic завдала потужного удару по індустрії штучного інтелекту, публічно звинувативши три провідні китайські лабораторії ШІ — DeepSeek, Moonshot AI та MiniMax — в організації скоординованих кампаній у промислових масштабах для викрадення можливостей моделей Claude за допомогою десятків тисяч шахрайських облікових записів.
Як повідомляє компанія з Сан-Франциско, ці три лабораторії сумарно здійснили понад 16 мільйонів обмінів даними з Claude через приблизно 24 000 фальшивих акаунтів, що є грубим порушенням умов використання Anthropic та регіональних обмежень доступу. За даними Anthropic, ці кампанії є найчіткішим та найдетальнішим публічним доказом практики, яка протягом місяців турбувала Кремнієву долину: іноземні конкуренти систематично використовують техніку, відому як дистиляція, щоб скоротити роки досліджень та мільярди доларів інвестицій.
«Ці кампанії зростають за інтенсивністю та витонченістю», — зазначили в Anthropic у технічному блозі, опублікованому в понеділок. «Час для дій обмежений, і загроза виходить за межі однієї компанії чи регіону. Її подолання вимагатиме швидких, скоординованих дій між гравцями галузі, політиками та світовою спільнотою ШІ».
Це розкриття знаменує собою драматичну ескалацію напруженості між американськими та китайськими розробниками ШІ. Воно відбувається в момент, коли Вашингтон активно обговорює, чи варто посилювати чи послаблювати експортний контроль на передові чіпи, які використовуються для тренування ШІ. Anthropic, яку очолює генеральний директор Даріо Амодеї, була серед найактивніших прихильників обмеження продажу чіпів до Китаю, і компанія прямо пов’язала з цією політичною боротьбою сьогоднішні викриття.
Як дистиляція ШІ перетворилася з маловідомої техніки досліджень на геополітичний тригер
Щоб зрозуміти, про що заявляє Anthropic, варто розібратися, що таке дистиляція, і як вона еволюціонувала від академічного інтересу до найсуперечливішого питання в глобальній гонці ШІ.
По суті, дистиляція — це процес вилучення знань з великої, потужнішої моделі ШІ («вчителя») для створення меншої, ефективнішої моделі («учнів»). Модель-учень навчається не на необроблених даних, а на результатах роботи вчителя: його відповідях, шаблонах міркувань та поведінці. При правильному виконанні учень може досягти продуктивності, надзвичайно близької до вчителя, при цьому вимагаючи значно менше обчислювальних ресурсів для навчання.
Як сама Anthropic визнає, дистиляція є «широко використовуваним та легітимним методом навчання». Провідні лабораторії ШІ, включаючи Anthropic, регулярно застосовують дистиляцію своїх моделей для створення менших, дешевших версій для клієнтів. Однак ту саму техніку можна використати як зброю. Конкурент може вдавати з себе легітимного клієнта, бомбардувати передову модель ретельно розробленими запитами, збирати результати та використовувати їх для навчання конкуруючої системи, отримуючи можливості, на розробку яких пішли роки та сотні мільйонів доларів.
Ця техніка увірвалася в публічну свідомість у січні 2025 року, коли DeepSeek випустила свою модель міркувань R1, яка, здавалося, відповідала або наближалася до продуктивності провідних американських моделей за значно нижчою ціною. Генеральний директор Databricks Алі Годсі вловив занепокоєння галузі, сказавши тоді CNBC: «Ця техніка дистиляції є надзвичайно потужною та надзвичайно дешевою, і вона доступна будь-кому». Він передбачив, що ця техніка започаткує епоху інтенсивної конкуренції за великі мовні моделі.
Це передбачення виявилося пророчим. У тижні після випуску DeepSeek дослідники з Каліфорнійського університету в Берклі заявили, що відтворили модель міркувань OpenAI всього за 450 доларів США (приблизно 18 000 ₴) за 19 годин. Дослідники зі Стенфорда та Вашингтонського університету пішли далі, створивши власну версію за 26 хвилин менш ніж за 50 доларів США (приблизно 2 000 ₴) у вигляді обчислювальних кредитів. Стартап Hugging Face відтворив функцію Deep Research від OpenAI за 24 години в рамках виклику з кодування. Сама DeepSeek відкрито випустила сімейство дистильованих моделей на Hugging Face — включаючи версії, побудовані на архітектурах Qwen і Llama — під ліцензією MIT, яка дозволяє будь-які зміни та похідні роботи, «включаючи, але не обмежуючись, дистиляцію для навчання інших LLM».
Однак те, що Anthropic описала в понеділок, виходить далеко за межі академічного відтворення чи експериментів з відкритим кодом. Компанія детально описала те, що вона характеризує як навмисне, таємне та великомасштабне викрадення інтелектуальної власності добре забезпеченими комерційними лабораторіями, що діють під юрисдикцією китайського уряду.
Anthropic відстежила 16 мільйонів шахрайських обмінів із дослідниками з DeepSeek, Moonshot та MiniMax
Anthropic з «високим ступенем впевненості» приписала кожну кампанію, використовуючи кореляцію IP-адрес, метадані запитів, показники інфраструктури та підтвердження від неназваних галузевих партнерів, які спостерігали тих самих акторів на своїх платформах. Кожна кампанія була спеціально спрямована на те, що Anthropic описує як найбільш диференційовані можливості Claude: агентські міркування, використання інструментів та кодування.
DeepSeek, компанія, що спричинила дискусію про дистиляцію, провела те, що Anthropic описала як найскладнішу технічно з трьох операцій, здійснивши понад 150 000 обмінів даними з Claude. Anthropic стверджує, що запити DeepSeek були спрямовані на можливості міркування, завдання оцінювання на основі критеріїв, призначені для того, щоб Claude функціонував як модель винагороди для навчання з підкріпленням, і — детально, що, ймовірно, приверне особливу політичну увагу — створення «безпечних альтернатив цензурі для чутливих запитів».
Anthropic стверджує, що DeepSeek «генерувала синхронізований трафік між акаунтами» з «ідентичними патернами, спільними методами оплати та скоординованим часом», що свідчило про балансування навантаження для максимальної пропускної здатності та уникнення виявлення. В одному особливо помітному прикладі Anthropic повідомила, що запити DeepSeek «просили Claude уявити та сформулювати внутрішні міркування, що стоять за завершеною відповіддю, та записати їх крок за кроком — по суті, генеруючи дані для навчання ланцюжка думок у масштабі». Компанія також стверджує, що спостерігала завдання, в яких Claude використовувався для генерації альтернатив політично чутливим запитам про «дисидентів, лідерів партії або авторитаризм», ймовірно, для навчання власних моделей DeepSeek уникати чутливих тем у розмовах. Anthropic заявила, що змогла відстежити ці акаунти до конкретних дослідників з лабораторії.
Moonshot AI, пекінський розробник моделей Kimi, провів другу за обсягом операцію, здійснивши понад 3,4 мільйона обмінів даними. Anthropic стверджує, що Moonshot був націлений на агентські міркування та використання інструментів, кодування та аналіз даних, розробку агентів для комп’ютерного використання та комп’ютерний зір. Компанія використовувала «сотні шахрайських акаунтів, що охоплюють кілька шляхів доступу», що ускладнювало виявлення кампанії як скоординованої операції. Anthropic приписала кампанію на основі метаданих запитів, які «відповідали публічним профілям старших співробітників Moonshot». Пізніше Anthropic повідомила, що Moonshot перейшов до більш цілеспрямованого підходу, «намагаючись витягти та реконструювати траси міркувань Claude».
MiniMax, найменш відома з трьох, але найпродуктивніша за обсягом, здійснила понад 13 мільйонів обмінів даними — понад три чверті від загальної кількості. Anthropic стверджує, що кампанія MiniMax зосереджувалася на агентському кодуванні, використанні інструментів та оркестрації. Компанія виявила кампанію MiniMax, коли вона ще тривала, «до того, як MiniMax випустила модель, яку вона тренувала», надавши Anthropic «безпрецедентну видимість життєвого циклу атак дистиляції, від генерації даних до запуску моделі». Підкреслюючи терміновість та опортунізм, які, за словами Anthropic, демонструє MiniMax, компанія повідомила, що коли вони випустили нову модель під час активної кампанії MiniMax, «MiniMax переорієнтувалася протягом 24 годин, перенаправивши майже половину свого трафіку для захоплення можливостей з нашої останньої системи».
Як проксі-мережі та архітектури «гідра-кластерів» допомогли китайським лабораторіям обійти заборону Anthropic на діяльність у Китаї
Anthropic наразі не пропонує комерційного доступу до Claude в Китаї — це політика, якої компанія дотримується з міркувань національної безпеки. Тож як ці лабораторії взагалі отримали доступ до моделей?
Відповідь, за словами Anthropic, криється у комерційних проксі-сервісах, які перепродають доступ до Claude та інших передових моделей ШІ у великих масштабах. Anthropic описує ці сервіси як такі, що використовують так звані «гідра-кластерні» архітектури — розгалужені мережі шахрайських облікових записів, які розподіляють трафік між API Anthropic та сторонніми хмарними платформами. «Широта цих мереж означає, що немає єдиних точок відмови», — зазначила Anthropic. «Коли один обліковий запис забороняється, його місце займає новий». В одному з випадків, за даними Anthropic, одна проксі-мережа одночасно управляла понад 20 000 шахрайських облікових записів, змішуючи трафік дистиляції з непов’язаними запитами клієнтів, щоб ускладнити виявлення.
Такий опис свідчить про розвинену та добре забезпечену екосистему інфраструктури, призначену для обходу контролю доступу — яка може обслуговувати значно більше клієнтів, ніж лише три лабораторії, названі Anthropic.
Чому Anthropic представила дистиляцію як кризу національної безпеки, а не просто як суперечку щодо інтелектуальної власності
Anthropic розглядала це не як просте порушення умов використання. Компанія вбудувала своє технічне розкриття в чітку аргументацію щодо національної безпеки, попереджаючи, що «незаконно дистильовані моделі не мають необхідних запобіжників, що створює значні ризики для національної безпеки».
Компанія стверджувала, що моделі, побудовані шляхом незаконної дистиляції, «навряд чи збережуть» запобіжники безпеки, які американські компанії вбудовують у свої системи — захист, призначений для запобігання використанню ШІ для розробки біологічної зброї, здійснення кібератак або забезпечення масового стеження. «Іноземні лабораторії, які дистилюють американські моделі, можуть потім використовувати ці незахищені можливості у військових, розвідувальних та спостережних системах», — писала Anthropic, «дозволяючи авторитарним урядам використовувати передовий ШІ для наступальних кібероперацій, дезінформаційних кампаній та масового стеження».
Таке позиціонування безпосередньо пов’язане з дебатами щодо експортного контролю чіпів, які Амодеї зробив центральним елементом своєї публічної адвокації. У детальному есе, опублікованому в січні 2025 року, Амодеї стверджував, що експортний контроль є «найважливішим фактором, що визначає, чи опинимося ми в однополярному чи двополярному світі» — світі, де лише США та їхні союзники володіють найпотужнішим ШІ, або світі, де Китай досягне паритету. Він спеціально зазначив тоді, що «не займає жодної позиції щодо повідомлень про дистиляцію із західних моделей» і «просто візьме DeepSeek на їхнє слово, що вони тренували її так, як описано в статті».
Сьогоднішнє розкриття — це різкий відхід від попередньої стриманості. Anthropic тепер стверджує, що атаки дистиляції «підривають» експортний контроль, «дозволяючи іноземним лабораторіям, включаючи ті, що перебувають під контролем Комуністичної партії Китаю, зменшити конкурентну перевагу, яку експортний контроль покликаний зберегти, іншими засобами». Компанія пішла далі, стверджуючи, що «без видимості цих атак, очевидний швидкий прогрес, досягнутий цими лабораторіями, помилково сприймається як доказ неефективності експортного контролю». Іншими словами, Anthropic стверджує, що те, що деякі спостерігачі сприйняли як доказ того, що китайські лабораторії можуть інновувати навколо обмежень на чіпи, насправді значною мірою було результатом крадіжки американських можливостей.
Нечіткий правовий ландшафт щодо дистиляції ШІ може пояснювати політичну стратегію Anthropic
Рішення Anthropic представити це як питання національної безпеки, а не як юридичну суперечку, може відображати складну реальність, що законодавство про інтелектуальну власність надає обмежені можливості для протидії дистиляції.
Як зазначалося в аналізі юридичної фірми Winston & Strawn від березня 2025 року, «правовий ландшафт навколо дистиляції ШІ є нечітким та розвивається». Юристи фірми відзначили, що довести претензію щодо авторського права в цьому контексті буде складно, оскільки залишається незрозумілим, чи виходи ШІ моделі кваліфікуються як об’єкт авторського права. Бюро з авторського права США підтвердило в січні 2025 року, що захист авторських прав вимагає людського авторства, і що «просте надання запитів не робить виходи об’єктом авторського права».
Правова картина ще більше ускладнюється тим, як передові лабораторії структуруюють володіння вихідними даними. Наприклад, умови використання OpenAI передають право власності на виходи моделі користувачеві — це означає, що навіть якщо компанія зможе довести факт вилучення, вона може не володіти авторськими правами на вилучені дані. Winston & Strawn зазначила, що така динаміка означає, що «навіть якщо OpenAI зможе надати достатньо доказів, щоб показати, що DeepSeek вилучила дані зі своїх моделей, OpenAI, ймовірно, не володіє авторськими правами на ці дані». Та ж логіка майже напевно застосовуватиметься до виходів Anthropic.
Контрактне право може запропонувати більш перспективний шлях. Умови використання Anthropic забороняють систематичне вилучення, яке описує компанія, і порушення цих умов є більш прямою юридичною претензією, ніж порушення авторських прав. Однак забезпечення дотримання контрактних умов проти суб’єктів, що діють через проксі-сервіси та шахрайські облікові записи в іноземній юрисдикції, створює власні значні виклики.
Це може пояснити, чому Anthropic обрала рамки національної безпеки замість суто юридичних. Позиціонуючи атаки дистиляції як загрози для режимів експортного контролю та безпеки демократії, а не як спори щодо інтелектуальної власності, Anthropic звертається до політиків та регуляторів, які мають інструменти — санкції, внесення до списків суб’єктів, посилення експортних обмежень — що виходять далеко за межі того, що може досягти цивільний судовий процес.
Що означає боротьба Anthropic з дистиляцією для кожної компанії, що керує передовою моделлю ШІ
Anthropic окреслила багатогранну оборонну реакцію. Компанія повідомила, що розробила класифікатори та системи поведінкового відбитка пальців, призначені для виявлення патернів атак дистиляції в трафіку API, включаючи виявлення отримання ланцюжка думок, яке використовується для побудови даних для навчання міркувань. Вона ділиться технічними показниками з іншими лабораторіями ШІ, хмарними провайдерами та відповідними органами для побудови того, що вона описала як більш цілісну картину ландшафту дистиляції. Компанія також посилила верифікацію для навчальних акаунтів, програм безпеки досліджень та стартап-організацій — шляхів, які найчастіше використовуються для створення шахрайських акаунтів — і розробляє захист на рівні моделі, призначений для зменшення корисності виходів для незаконної дистиляції без погіршення досвіду для легітимних клієнтів.
Однак компанія визнала, що «жодна компанія не може вирішити це самостійно», закликаючи до скоординованих дій між галуззю, хмарними провайдерами та політиками.
Це розкриття, ймовірно, матиме резонанс у багатьох поточних політичних дебатах. У Конгресі вже представлено двопартійний законопроект «No DeepSeek on Government Devices Act». Федеральні агентства, включаючи NASA, заборонили DeepSeek на пристроях співробітників. І ширше питання експортного контролю чіпів — яке адміністрація Трампа розглядала під тиском Nvidia та «яструбів» національної безпеки — тепер має новий і яскравий показник.
Для технічних керівників галузі ШІ наслідки є негайними та практичними. Якщо звіт Anthropic точний, то проксі-інфраструктура, що уможливлює ці атаки, є величезною, складною та адаптивною — і вона не обмежується націлюванням на одну компанію. Кожна передова лабораторія ШІ з API є потенційною ціллю. Епоха розгляду доступу до моделей як простої комерційної транзакції може добігати кінця, замінена ерою, коли безпека API є настільки ж стратегічно важливою, як і самі вагові коефіцієнти моделі.
Anthropic тепер надала назви, цифри та криміналістичні деталі до звинувачень, про які галузь лише шепотілася протягом місяців. Чи змусить цей доказ активізувати скоординовану відповідь, на яку закликає компанія — чи просто прискорить гонку озброєнь між дистиляторами та захисниками — може залежати від питання, яке не може відповісти жоден класифікатор: чи побачить Вашингтон у цьому акт шпигунства, чи просто вартість ведення бізнесу в епоху, коли сам інтелект став товаром.
Порада від ІТ-Блог: Ця новина має критичне значення для розуміння прихованих загроз у сфері штучного інтелекту. Вона демонструє, як передові технології можуть бути використані для обходу захисних механізмів та прискорення розвитку всупереч нормам безпеки. Для звичайного користувача це означає, що розробники ШІ активно працюють над захистом своїх продуктів, а майбутні оновлення можуть містити покращені запобіжники, що робить ШІ більш безпечним та надійним інструментом.
За даними порталу: venturebeat.com