Компания Anthropic заявила, что три китайские лаборатории искусственного интеллекта — DeepSeek, Moonshot и MiniMax — использовали её модель Claude для сбора обучающих данных методом дистилляции. Злоумышленники создали порядка 24 тысяч поддельных аккаунтов и сгенерировали более 16 миллионов запросов к Claude, обходя региональные ограничения через прокси-сервисы. Anthropic представила результаты расследования в посте на своём официальном сайте, подробно описав технику атаки, векторы обнаружения и риски.

Дистилляция — широко распространённый метод, при котором разработчики собирают выходные данные сильной модели и используют их для тренировки собственной. Однако в данном случае действия лабораторий нарушали условия использования сервисов Anthropic и направляли значительные объёмы запросов через коммерческих посредников, которые перепродают API крупных моделей. Одна из таких сетей, по данным компании, одновременно управляла более чем 20 тысячами поддельных аккаунтов, смешивая трафик дистилляции с обычными клиентскими запросами.

Anthropic атрибутировала атаки конкретным лабораториям на основе IP-адресов, метаданных запросов и инфраструктурных маркеров. В случае с DeepSeek удалось отследить аккаунты до конкретных исследователей. У Moonshot метаданные совпали с публичными профилями старших сотрудников.

Масштабы активности различались:

• DeepSeek — около 150 000 запросов. Среди задач были промпты, требующие от Claude развёрнутой цепочки рассуждений по шагам, что позволяет генерировать готовые данные для обучения reasoning-моделей. Также зафиксированы попытки создания «безопасных» ответов на политически чувствительные темы, вероятно, для обучения собственной модели обходу цензурных ограничений.
• Moonshot — 3,4 миллиона запросов с фокусом на агентное поведение, работу с инструментами и код.
• MiniMax — рекордные 13 миллионов запросов, также преимущественно на код и использование инструментов. Когда Anthropic выпускала новую версию модели, MiniMax в течение суток перенаправляла половину трафика на неё, демонстрируя высокую степень автоматизации адаптации.

Anthropic подчёркивает, что дистилляция несёт дополнительные риски, помимо нарушения условий использования. Модели, обученные на выходных данных других систем, зачастую наследуют их функциональность, но теряют встроенные механизмы безопасности — фильтры, предотвращающие генерацию инструкций по созданию биооружия, вредоносного кода и другого опасного контента.

Кроме того, компания отмечает, что такие атаки подрывают смысл экспортного контроля: внешне может казаться, что китайские лаборатории быстро развиваются самостоятельно, тогда как значительная часть возможностей их систем фактически извлечена из американских моделей.