一場規模空前的AI知識產權攻防戰
2026年2月23日,美國AI安全公司Anthropic發布了一份措辭嚴厲的公開聲明,指控三家中國AI實驗室——DeepSeek、Moonshot AI(月之暗面)和MiniMax——在過去一段時間內,有組織、有計劃地對其旗艦模型Claude實施大規模知識蒸餾攻擊。這是迄今為止,一家美國AI企業對中國競爭對手提出的最具體、最大規模的蒸餾指控。
根據Anthropic公布的數據,三家實驗室合計使用了約24,000個虛假帳號,累計向Claude發起了超過1,600萬次交互查詢。這些查詢並非隨機或探索性的,而是經過精心設計,針對Claude模型在不同能力維度上的專長,系統性地提取其訓練知識和推理模式。Anthropic表示,其安全團隊已「以高置信度」(with high confidence)完成了歸因分析,依據包括IP位址特徵、元數據模式和基礎設施指標。
這一事件的爆發,不僅是三家中國實驗室與Anthropic之間的商業糾紛,更折射出當前全球AI產業在知識產權保護、模型安全和地緣政治博弈交織下的深層結構性矛盾。
三家實驗室的分工:精確瞄準不同能力維度
Anthropic的報告中最引人注目的細節之一,是三家中國實驗室在蒸餾行動中展現出的高度專業化分工。每家實驗室都有明確的攻擊目標,瞄準Claude模型在不同領域的特定能力,形成了一幅幾近完整的「能力萃取地圖」。
DeepSeek的蒸餾行動規模相對最小但最為聚焦,累計約150,000次交互查詢。其攻擊目標集中在Claude的邏輯推理能力和安全對齊機制。這意味着DeepSeek的查詢主要圍繞複雜的邏輯鏈推理、多步驟問題求解,以及Claude在安全邊界情境下的行為模式。對於一家以「低成本高效率」聞名的實驗室而言,針對邏輯推理和對齊的蒸餾具有明確的戰略邏輯——這兩項能力正是DeepSeek在其模型迭代中持續強化的方向。
Moonshot AI(月之暗面)的蒸餾規模顯著擴大,達到約340萬次交互。其攻擊目標更為多元,涵蓋代理推理(agentic reasoning)、程式編寫和電腦視覺三個領域。代理推理是指AI在複雜環境中自主規劃和執行多步驟任務的能力,這正是Moonshot AI旗下產品Kimi系列致力發展的方向。程式編寫和電腦視覺則是多模態AI助手的核心功能。340萬次查詢的規模意味着Moonshot AI對Claude的能力進行了相當深入且廣泛的探測。
MiniMax的蒸餾行動在規模上遠超其他兩家,達到驚人的約1,300萬次交互——佔總查詢量的逾八成。其攻擊重點為代理程式編寫(agentic coding)和工具使用(tool use)能力。工具使用是指AI調用外部API、操作軟體工具和管理工作流程的能力,這是當前AI代理技術的核心能力之一,也是商業應用中價值最高的功能領域。MiniMax以1,300萬次的龐大查詢量專攻這一領域,其野心與投入之大不言而喻。
三家實驗室的蒸餾目標分工
- DeepSeek(15萬次):邏輯推理能力、安全對齊機制——聚焦模型的推理核心
- Moonshot AI(340萬次):代理推理、程式編寫、電腦視覺——覆蓋多模態AI助手的關鍵功能
- MiniMax(1,300萬次):代理程式編寫、工具使用——瞄準AI代理商業化的核心能力
- 合計(1,600萬+次):幾乎涵蓋Claude模型的所有主要能力維度
「九頭蛇叢集」:繞過地理圍欄的技術手段
Anthropic的Claude服務對中國大陸實施了地理圍欄(geofencing)限制,理論上來自中國境內的IP位址無法直接存取Claude的API。然而,三家實驗室透過一套精心設計的技術基礎設施成功繞過了這一限制。
根據Anthropic的調查報告,攻擊者使用了代理服務(proxy services)來掩蓋其真實IP來源,將查詢請求的源頭偽裝為非受限地區的位址。更值得關注的是,這些代理請求被路由通過所謂的「九頭蛇叢集」(hydra clusters)——一個由多個分散節點組成的基礎設施網絡。這一命名暗示了其設計理念:如同希臘神話中的九頭蛇海德拉,砍掉一個頭會再生出更多——封鎖單一節點無法阻止整個網絡的運作。
「九頭蛇叢集」的架構設計具有高度的冗餘性和抗封鎖能力。當Anthropic的安全系統偵測並封鎖某個代理節點時,攻擊流量會自動轉移至其他節點。24,000個虛假帳號分散在大量不同的代理節點上,使得基於帳號層面的封鎖也難以從根本上阻止蒸餾行動。這種架構的複雜程度表明,蒸餾行動背後有相當水準的工程投入,絕非個別研究人員的即興之舉。
Anthropic安全團隊的歸因分析基於三類核心證據:IP位址的地理分布和時區活動模式、帳號註冊和使用的元數據特徵,以及與已知實驗室基礎設施相關聯的技術指標。這些多維度的證據交叉驗證,使Anthropic得出了「高置信度」的歸因結論。
並非孤立事件:OpenAI和Google的類似遭遇
Anthropic的指控並非行業內的孤例。事實上,美國三大前沿AI企業幾乎同時面臨着來自中國實驗室的大規模蒸餾威脅,呈現出一種系統性的行業現象。
OpenAI此前已公開報告了針對其GPT系列模型的蒸餾行為,並採取了包括帳號封禁、查詢限速和異常模式偵測在內的多項反制措施。OpenAI強調,這些蒸餾行為違反了其服務條款中明確禁止的「競爭性模型訓練」條款。
Google方面則揭露了一起規模龐大的針對Gemini模型的攻擊事件。Google威脅情報組(GTIG)的報告顯示,攻擊者使用了超過100,000次精心構造的提示(prompts)來探測和萃取Gemini的能力。Google將這些攻擊定性為「模型萃取攻擊」(model extraction attacks),並已停用了相關帳號和基礎設施。
三家美國AI企業同時遭遇大規模蒸餾攻擊,且攻擊來源高度一致,這一現象的意義已超越單純的商業糾紛範疇。它顯示出,蒸餾已成為部分中國AI實驗室系統性獲取技術能力的重要途徑——一種成本遠低於從零訓練模型、但能快速縮小技術差距的捷徑。
出口管制的新論據:蒸餾與先進晶片的關聯
Anthropic在聲明中提出了一個值得關注的政策論點:即便蒸餾所獲取的知識是「免費的」,將這些蒸餾數據真正轉化為高性能模型,仍然需要大量的先進計算資源——也就是先進的AI晶片。
這一論點直指當前中美科技博弈的核心議題:對華晶片出口管制。Anthropic的邏輯是:蒸餾並非簡單的「複製貼上」,而是需要在收集到的蒸餾數據基礎上,進一步進行模型訓練和微調。這個過程對算力的需求雖然低於從零開始的預訓練,但仍然相當可觀。以MiniMax的1,300萬次交互所產生的蒸餾數據為例,要在這些數據上訓練出一個可用的模型,仍然需要數千甚至數萬顆先進GPU。
因此,Anthropic認為,蒸餾行為的存在恰恰強化了維持甚至加強對華晶片出口管制的理由。如果沒有先進晶片,蒸餾數據只是原材料;有了先進晶片,蒸餾數據就能轉化為具有競爭力的AI模型。管制先進晶片的出口,在某種程度上也是在管制蒸餾行為的最終成效。
「蒸餾攻擊的經濟學邏輯非常清晰:竊取知識的成本趨近於零,但將竊取的知識轉化為產品的成本取決於算力。管制算力,就是管制蒸餾的產出。」——業界分析師評論
另一面:Anthropic自身的版權爭議
在討論蒸餾爭議時,一個不容迴避的背景事實是:Anthropic自身也曾面臨類似的知識產權質疑。2025年9月,Anthropic以15億美元的金額和解了一起大型版權訴訟。該訴訟指控Anthropic在訓練Claude模型的過程中,未經授權使用了大量受版權保護的文本數據。
這一事實為當前的蒸餾爭議增添了一層道德複雜性。從一個角度看,Anthropic作為蒸餾攻擊的受害者,有充分的理由維護自身的知識產權和商業利益。但從另一個角度看,AI模型訓練中的「知識借用」問題是普遍性的——大型語言模型的預訓練本身就依賴於從互聯網上廣泛抓取的文本數據,這些數據中包含大量受版權保護的內容。
蒸餾(從AI模型中提取知識)和數據抓取(從人類創作的內容中提取知識)在本質上是否存在根本區別?這是一個在法律和倫理層面都尚未有定論的問題。有人認為兩者性質相同——都是從他人的智識成果中獲取價值;也有人認為兩者存在本質差異——模型的輸出是受其服務條款約束的商業產品,而公開發布的文本在合理使用的框架下可以被用於學術研究和訓練。
學術觀點:合法使用與對抗性利用之間的模糊邊界
新加坡南洋理工大學(NTU)的Erik Cambria教授對此事件發表了一番值得深思的評論。作為自然語言處理和情感分析領域的知名學者,Cambria教授指出:「合法使用與對抗性利用之間的邊界往往是模糊的。」
這一觀點觸及了蒸餾爭議的核心難題。從技術角度看,蒸餾與正常使用之間確實存在連續光譜而非清晰界限。一名普通用戶向Claude提出複雜問題並學習其回答方式,與一個AI實驗室系統性地提取Claude的能力模式,在技術操作上的差異只是程度而非性質的差異。兩者都是向模型輸入問題並從輸出中學習,差異在於規模、意圖和系統化程度。
然而,24,000個假帳號和1,600萬次查詢的規模,顯然已經遠超任何「正常使用」的定義。問題在於,界限應該劃在哪裡?100次查詢是正常學習,1,000次是深度研究,10,000次是灰色地帶,那1,600萬次呢?目前,無論是國際法還是各國國內法,對於AI模型蒸餾的法律定性都尚處於空白或萌芽階段。Anthropic的服務條款明確禁止蒸餾行為,但服務條款的法律約束力在跨國場景中的實際效力仍然有限。
Cambria教授的觀點也提醒我們,對抗性行為的定義可能因文化和法律語境的不同而有所差異。在某些框架下,模型蒸餾可能被視為技術研究和學習的一種形式;在另一些框架下,它則構成知識產權侵權和商業間諜行為。這種定義的模糊性,正是當前國際社會在AI治理方面面臨的核心挑戰之一。
行業影響:API安全與信任危機
這起事件對整個AI即服務(AI-as-a-Service)行業的影響是深遠的。它暴露了當前AI服務提供商在API安全方面的結構性脆弱性:只要模型透過API對外提供服務,就不可避免地面臨被蒸餾的風險。
短期而言,我們可以預見各大AI企業將加速部署更加嚴格的反蒸餾措施,包括但不限於:更精密的異常查詢偵測演算法、更嚴格的帳號驗證機制(如要求企業實名認證)、輸出結果的動態浮水印技術,以及基於查詢模式的實時風險評估系統。這些措施將增加合法用戶的使用摩擦,但在當前的安全環境下似乎已成為必要之惡。
長期而言,這起事件可能加速AI行業向封閉化方向演進。如果開放的API始終面臨被蒸餾的風險,企業可能傾向於將最強大的模型保留在自有生態系統內,僅對外提供能力受限的版本。這與AI民主化的理想方向形成了明顯張力,但在商業現實面前,保護核心資產的優先級可能高於開放共享。
編輯觀點
Anthropic對三家中國AI實驗室的蒸餾指控,將一個原本隱藏在技術細節中的行業灰色地帶推到了公眾視野的中心。24,000個假帳號和1,600萬次查詢——這些數字的衝擊力是巨大的,它們描繪了一幅有組織、有分工、有技術支撐的系統性蒸餾行動圖景。
然而,在譴責蒸餾行為的同時,我們也應當保持清醒的認知:AI知識產權的邊界問題遠比表面看到的複雜。Anthropic自身的版權和解案提醒我們,「從他人的智識成果中獲取價值」是整個大型語言模型產業的底層邏輯——區別只在於提取的對象是人類創作的文本還是AI生成的輸出。這種道德上的對稱性,使得任何一方都難以站在絕對的道德高地上。
真正需要關注的,是這起事件背後反映出的產業結構性問題。當前沿AI模型的訓練成本動輒數億美元,而蒸餾的成本可能只有其百分之一甚至更低時,蒸餾的經濟誘因將始終存在。單靠服務條款和帳號封禁無法從根本上解決這一問題。行業需要的是一套更加完善的國際規範——明確蒸餾的法律定性、建立跨國執法合作機制,並在合理使用和惡意利用之間劃出清晰的紅線。
對於香港和亞太地區的AI從業者而言,這起事件的警示意義同樣明確:在全球AI產業的合規環境日趨嚴格的背景下,任何涉及模型能力獲取的行為都需要經過審慎的法律和倫理評估。AI的競爭不應退化為一場知識掠奪的角力,而應建立在技術創新和公平競爭的基礎之上。