Jak informuje firma Anthropic, wykryto skoordynowane kampanie mające na celu nielegalne wyprowadzenie kluczowych kompetencji modelu Claude. Proces ten opierał się na tzw. „destylacji” – technice polegającej na trenowaniu słabszego modelu na wynikach generowanych przez system o większych możliwościach. Choć metoda ta jest powszechnie stosowana wewnątrz firm do tworzenia mniejszych wersji własnych algorytmów, Anthropic podkreśla, że jej wykorzystanie przez konkurencję służy do kradzieży zaawansowanych funkcji w ułamku czasu i przy minimalnych nakładach finansowych.
Łącznie trzy chińskie podmioty wygenerowały ponad 16 milionów interakcji, korzystając z sieci około 24 tysięcy fikcyjnych kont. Operacja ta pozwoliła na obejście restrykcji regionalnych – Anthropic nie oferuje bowiem dostępu do Claude’a na terenie Chin ze względów na bezpieczeństwo narodowe.
Anatomia ataku: Trzech graczy, trzy strategie
Każde z laboratoriów skupiło się na innym aspekcie technologii, próbując „wycisnąć” z Claude’a to, co najcenniejsze:
- MiniMax (ponad 13 mln wymian): największa z kampanii, skupiona na kodowaniu agentowym i orkiestracji narzędzi. Anthropic wykryło atak jeszcze w fazie aktywnej. Gdy Amerykanie wypuścili nowy model, MiniMax w ciągu 24 godzin przekierował połowę swojego ruchu, by błyskawicznie przejąć możliwości najnowszego systemu.
- Moonshot AI (ponad 3,4 mln wymian): celował w rozumowanie agentowe, analizę danych oraz wizję komputerową. Wykorzystywał setki kont i różnorodne ścieżki dostępu, by utrudnić detekcję.
- DeepSeek (ponad 150 tys. wymian): skoncentrował się na logice rozumowania i tworzeniu „bezpiecznych” (zgodnych z cenzurą) odpowiedzi na zapytania polityczne, dotyczące np. dysydentów czy liderów partyjnych.
Hydra i fałszywe tożsamości
Laboratoria omijały blokady za pomocą komercyjnych usług proxy, tworzących tzw. „klastry hydry”. Są to rozległe sieci tysięcy kont rozproszonych w chmurach obliczeniowych. Gdy jedno konto zostaje zablokowane, jego miejsce natychmiast zajmuje kolejne. W jednym z przypadków pojedyncza sieć zarządzała jednocześnie ponad 20 tysiącami profili, mieszając zapytania „destylacyjne” z ruchem zwykłych klientów.
Ryzyko dla bezpieczeństwa narodowego
Anthropic alarmuje, że „wydestylowane” w ten sposób modele są pozbawione wbudowanych w Claude’a zabezpieczeń. Amerykańskie systemy posiadają bariery uniemożliwiające np. pomoc w tworzeniu broni biologicznej czy przeprowadzanie cyberataków. Modele chińskie, przejmując czystą moc obliczeniową bez tych filtrów, stają się potężnym narzędziem w rękach rządów autorytarnych – mogą służyć do inwigilacji masowej, dezinformacji i operacji ofensywnych w sieci.
Firma argumentuje również, że te incydenty potwierdzają zasadność kontroli eksportu chipów. Szybkie postępy chińskich firm nie wynikają wyłącznie z ich innowacyjności, lecz z „ekstrakcji” możliwości z modeli amerykańskich, co wymaga dostępu do zaawansowanych procesorów.
Odpowiedź i przyszłość
W reakcji na ataki Anthropic wdraża zaawansowane klasyfikatory behawioralne, wzmacnia weryfikację kont i dzieli się danymi technicznymi z innymi laboratoriami oraz władzami. Firma podkreśla jednak, że walka z tym procederem wymaga szerokiej koordynacji branżowej i politycznej, gdyż okno czasowe na skuteczne przeciwdziałanie takim praktykom szybko się zamyka.
