Anthropic 這週把一樁它稱為「史上最大規模」的 模型蒸餾 攻擊,從內部風控報告搬進華府的正式政治程序。公司致函美國參議院銀行、住房與城市事務委員會主席 Tim Scott 與排名成員 Elizabeth Warren,指控與阿里巴巴及其 Qwen AI 實驗室有關的營運方,在約六週內透過將近 2.5 萬個欺詐帳號,與 Claude 產生超過 2880 萬次互動,目標直指軟體工程、代理式推理與長程任務等前沿 大型語言模型 最值錢的能力層。CNBC 與 Bloomberg 相繼取得並報導這封信後,爭議迅速從「誰違反服務條款」升級成「國會是否要把非法蒸餾寫進制裁工具箱」——而阿里巴巴公開回應,稱相關指控「毫無根據」,否認以專有模型輸出訓練自家系統。
若你過去幾週只追 Mythos 5 分級解封 或 GPT-5.6 預覽,這則消息補上了另一條主線:當華府用出口管制與逐戶核准卡住模型出口,中國實驗室似乎轉向從已能接觸的 API 端進口能力。
信裡寫了什麼(以及還沒被獨立證實的)
Anthropic 在致參議院的信中描述,攻擊活動涵蓋 4 月下旬至 6 月上旬,合計約 2880 萬次 Claude 互動、近 2.5 萬個欺詐帳號。公司稱這些帳號違反地理存取限制與服務條款——Claude 並未在中國市場正式銷售,每一個繞過封鎖的帳號從合約層面就已站不住腳。營運方據稱動用商業代理服務與分散式帳號基礎設施,把請求偽裝成來自允許地區的合法客戶,以降低被風控系統一次掃到的機率。
攻擊目標並非泛泛的聊天能力。信中指稱,營運方集中火力抽取 Claude 在軟體工程、多步代理工作流與長地平任務上的行為模式——正是 Anthropic 願意為企業與網安客戶收取溢價、也是華府在 Fable/Mythos 爭議 裡最擔心外溢的能力帶。Anthropic 將此定性為工業級 知識蒸餾:用大模型的高品質輸出當「教師信號」,餵給較小或較弱的學生模型,以遠低於從頭訓練前沿模型的成本,逼近旗艦表現。
重要提醒:2880 萬與 2.5 萬這組數字目前來自 Anthropic 單方指控,尚未有第三方稽核或法院認定。阿里巴巴在回應媒體詢問時否認利用專有模型輸出進行訓練,並稱公司遵守適用法規與平台規則。讀這則新聞時,應同時保留「指控的嚴重性」與「證據鏈尚未公開」兩個層次。
為何規模本身改寫了敘事
要把這件事放在時間軸上,得回頭看今年 2 月。當時 Anthropic 曾公開點名三家中國 AI 實驗室的蒸餾活動:DeepSeek(逾 15 萬次互動)、Moonshot AI 的 Kimi(逾 340 萬次)、MiniMax(逾 1300 萬次)。三家加總約 1650 萬次互動、帳號規模約 2.4 萬——已經被業界稱為「工業級」。若 Anthropic 這次對阿里巴巴的數字成立,單一實體一案的互動量約為前述三案總和的 1.7 倍,帳號數亦在同一量級。
| 被點名對象 | 約略帳號數 | 約略互動次數 | Anthropic 公開時間 |
|---|---|---|---|
| DeepSeek | (未單獨拆分) | 15 萬+ | 2026 年 2 月 |
| Moonshot/Kimi | 合計約 2.4 萬 | 340 萬+ | 2026 年 2 月 |
| MiniMax | (同上) | 1300 萬+ | 2026 年 2 月 |
| 阿里巴巴/Qwen | 約 2.5 萬 | 2880 萬+ | 2026 年 6 月 |
這張表解釋了為何參議院願意把信當成聽證材料:被點名的不再是僅在 AI 圈知名的新創,而是具全球電商、雲端與開源模型佈局的巨頭。也是 Anthropic 首次把此類證據正式提交給美國參議院,而不只發部落格或內部通報。
從商業動機拆解,Qwen 系列長期走開源與高性價比路線,若能在軟體工程與代理任務上縮短與 Claude 的距離,直接影響雲端客戶遷移成本與開發者預設選擇。蒸餾不是免費午餐——2880 萬次 API 互動意味著可觀的 Token 帳單、代理基礎設施與風控對抗成本——但若成功把「教師」能力烙進權重,邊際上仍可能比從零做一輪前沿預訓練便宜幾個數量級。這正是 前沿模型論壇關注未經授權蒸餾 時擔心的結構性漏洞:能力擴散的速度,可能快過監管與授權談判。
技術上能偷走什麼、偷不走什麼
模型蒸餾 在學術與產品語境裡並非原罪——許多合法場景會用教師模型壓縮學生模型。爭議在於未授權、大規模、針對性抽取商業護城河。透過海量 提示詞 與多輪對話,攻擊方理論上能複製:程式碼修補風格、工具呼叫序列、錯誤恢復模式、長文檔推理的「表面行為」。這些都是企業願意為 Claude 付費的差異化點。
但蒸餾也難以完整複製教師模型的全部:底層權重、安全對齊堆疊、未公開的 微調 資料、以及持續 RLHF 迭代都不在 API 回應裡。學生模型可能在 benchmark 子集上突然變漂亮,卻在邊界案例、越獄抵抗或合規拒答上露餡。對開發者而言,這代表「看起來像 Claude 的開源替代品」未必在受監管場景可替換——採購仍要看系統卡、授權條款與實測,而不是只看社群跑分。
Anthropic 在信中還把此案與白宮科技政策辦公室(OSTP)4 月備忘錄掛鉤:該文件承諾協助 AI 公司偵測並協調對抗工業級蒸餾。公司寫道,阿里巴巴方面「無視川普政府的警告」而持續活動——把單一商業糾紛嵌進更大的「誰聽華府協調機制」敘事。無論你是否認同這種框架,它都顯示蒸餾已與出口管制、模型下架令變成同一套地緣工具的不同扳手。
國會下一步:從服務條款到制裁授權
Anthropic 在信末提出三類政策訴求,值得逐條拆開看:
- 威脅情報共享:讓美國 AI 實驗室能更快速交換蒸餾指紋、帳號叢集與代理 IP 模式,縮短從發現到封鎖的窗口。
- 堵住晶片與雲端漏洞:限制中國實驗室透過第三國或殼公司取得先進算力與 API 額度的路徑——這與 Jalapeño 自研晶片 敘事同一脈絡,都是把供應鏈控制權握回本土。
- 對參與蒸餾的實體施加懲罰:具體立法形式仍在浮動;媒體報導指參議員 Hagerty 與 Kim 正推動國防授權法案修正案,授權對從事此類活動的實體實施制裁。
若修正案甚至部分條文進入法規,違反 ToS 的爬蟲行為將不再只是平台封號與民事求償,而可能觸及出口管制與制裁合規部門——跨國企業的法務、雲端採購與開源發布流程都要重寫檢查清單。對使用 Qwen 開源權重的團隊,短期內可能面臨「供應鏈聲譽風險」審查,即便你與指控事件無涉。
與 Mythos 下架劇本並置閱讀
這封信公開的時間點,恰好卡在 Anthropic 與華府討價還價最緊繃的幾週。Fable 5 仍全面下線,Mythos 5 僅對約百家關鍵基礎設施與網防夥伴恢復——Anthropic 一邊用「我們願配合國安」換取部分解封,一邊用阿里巴巴案例告訴國會:外國實驗室會用欺詐手段掏空美國前沿能力。兩條故事線在輿論場裡互相強化,也在法律與倫理上製造張力:同一家公司既反對政府過度限制自家模型出口,又積極尋求政府幫忙阻擋他國蒸餾進口。
對企業客戶,實務影響是雙重的。你可能因監管而暫時拿不到 Fable 5,卻同時看見競爭對手疑似用非法蒸餾縮短差距——這會推升「是否該投資私有部署、合約審計與輸出浮水印」的預算討論。FinOps 與資安團隊應把 API 異常用量(單帳號超高頻、重複性代理任務模板、地理跳變)納入與傳統 DDoS 同級的監控,而不只當帳單異常。
開發者與平台營運方該有的防線
即便你不是 Anthropic 或阿里巴巴的當事人,這案仍改寫幾條最佳實務:
- 服務條款要當真執行:地理封鎖若只靠註冊國別欄位,擋不住商業代理與分散帳號;需要行為指紋、裝置叢集與輸出模式分析。
- 高價值能力應分級 API:軟體工程與代理長任務可獨立定價、獨立審核,降低被低成本灌爆的風險。
- 輸出浮水印與可追溯性:爭議會推升「能否證明某段輸出來自自家模型」的技術投資,類似 內容溯源 在音樂領域的邏輯。
- 客戶教育:買方若採用來路不明的「對標 Claude」模型,應要求訓練資料與蒸餾合規聲明,以免日後捲入制裁次級風險。
社群討論裡已有聲音質疑:在證據未完全公開前,大型實驗室是否可能誇大對手行為以換取監管優勢?這類懷疑短期內難以平息,也提醒政策制定者需要獨立鑑識機制,而不能只依賴單一公司的內部偵測報告。
接下來要盯的四個信號
- 參議院是否舉行專場聽證並要求 Alibaba 出席或提交材料——那將把民事指控推向準司法程序。
- Hagerty/Kim 修正案在國防授權法案中的命運——通過與否決定蒸餾是否正式進入制裁詞彙。
- 阿里巴巴是否公布反證或第三方稽核——若只有否認而無可驗證資料,市場會用腳投票。
- 其他前沿實驗室是否跟進提交類似案件——OpenAI、Google 是否也會把自家日誌送進國會,決定這是 Anthropic 單點戰還是行業集體訴求。
一句話:2880 萬次互動若屬實,非法 模型蒸餾 已不再是暗網腳本或小眾新創的遊戲,而是能讓參議院翻閱的國安檔案;在法庭與議會給出答案之前,前沿 生成式 AI 的競賽會同時在訓練叢集、API 日誌與華府聽證室裡進行。
