Anthropic в письме, направленном в Банковский комитет Сената США, обвинила Alibaba и связанные с её ИИ-лабораторией Qwen операторы в использовании почти 25 000 мошеннических аккаунтов для массового извлечения возможностей модели Claude. Согласно письму, с которым ознакомились Reuters и другие СМИ, эта атака, названная Anthropic «крупнейшей известной» атакой на дистилляцию модели, произошла в период с 22 апреля по 5 июня 2026 года и включала более 28,8 миллионов взаимодействий с Claude. Её чувствительность связана не только с масштабом, но и с тем, что она совпала по времени с ужесточением экспортного контроля США в сфере ИИ и включением Пентагоном Alibaba в список «китайских военных компаний».

«Дистилляция модели» — это не прямое хищение весов модели или исходного кода, а использование выходных данных мощной модели для обучения другой модели, позволяющей последней быстро скопировать часть возможностей. В ИИ-разработке это изначально распространённая техника, но если она проводится с помощью мошеннических аккаунтов, в нарушение условий обслуживания или с обходом ограничений доступа, это считается незаконным извлечением интеллектуальной собственности. Для американских политиков более сложным является то, что даже без доступа к самой передовой модели, массовые вызовы могут помочь конкурентам получить аналогичные возможности в программной инженерии, рассуждениях агентов и т.д.

42 дня, 28,8 млн взаимодействий: Anthropic указывает на Alibaba и Qwen

Письмо датировано 10 июня и адресовано председателю Банковского комитета Сената США Тиму Скотту и старшему члену Элизабет Уоррен. Его содержание, увиденное несколькими СМИ, описывает эту операцию как крупнейшую известную атаку на дистилляцию против компании.

Ключевые цифры прямолинейны. С 22 апреля по 5 июня злоумышленники с помощью примерно 25 000 мошеннических аккаунтов осуществили более 28,8 миллионов взаимодействий с Claude. Anthropic считает, что операторы, стоящие за этими аккаунтами, связаны с Alibaba и Alibaba Qwen, и их цель — ускорить получение Китаем передовых возможностей моделей Anthropic.

Обеспокоенность в письме касается не только копирования способности к обычным вопросам-ответам, но, что более важно, утечки возможностей передовых моделей в области программной инженерии, автоматизации задач и рассуждений агентов. Как только эти выходные данные систематически собираются, они могут превратиться в данные для обучения других моделей.

Границы здесь также важны. Anthropic использует формулировку «операторы, связанные с Alibaba и Alibaba Qwen», что не равнозначно подтверждению того, что Alibaba напрямую организовала атаку, и не доказывает, что соответствующие модели уже успешно скопировали передовые возможности Claude. На момент публикации соответствующих репортажей Alibaba не ответила на обвинения в дистилляции. Что касается включения её Пентагоном в список «китайских военных компаний», Alibaba уже подала иск, заявив, что данное определение «не имеет фактических или юридических оснований».

Почему атака на дистилляцию чувствительнее обычного краулинга?

Обычный краулинг данных обычно означает сбор веб-страниц, текстов или публичных материалов. Атака на дистилляцию нацелена на выходные возможности самой модели.

Злоумышленники могут многократно задавать мощной модели вопросы, сохраняя ответы, процессы рассуждений, результаты генерации кода или схемы выполнения задач, а затем использовать их для обучения своей собственной модели. Таким образом, даже без доступа к весам нижнего уровня, можно изучить поведенческие модели сильной модели в определённых задачах.

Именно это всё больше настораживает ИИ-компании и регуляторов. Интерфейсы доступа к передовым моделям изначально являются коммерческим продуктом и каналом предоставления внешних услуг. Но когда масштаб доступа достигает десятков миллионов, а аккаунты признаются мошенническими, интерфейс продукта может превратиться в канал извлечения возможностей.

Anthropic уже публично раскрывала подобные инциденты. В феврале 2026 года компания заявила, что обнаружила аналогичные действия меньшего масштаба со стороны DeepSeek, Moonshot AI и MiniMax, причём связанные с DeepSeek взаимодействия превысили 150 000 раз, с Moonshot AI — более 3,4 миллиона раз, а с MiniMax — более 13 миллионов раз. По сравнению с этими случаями, 28,8 миллионов взаимодействий, направленных на связанных с Alibaba и Qwen операторов, явно больше.

Направляя письмо в Конгресс, Anthropic также продвигает идею обмена информацией об угрозах между правительством США и частными ИИ-компаниями. По её словам, интенсивность и сложность подобных атак растёт, требуя более быстрой скоординированной реакции.

Обвинения совпали с ужесточением политики США; на самого Anthropic также наложены ограничения

Эти обвинения не появились изолированно.

В апреле этого года Белый дом обвинил Китай в хищении интеллектуальной собственности американских ИИ-лабораторий в «промышленных масштабах». К началу июня Пентагон обновил список 1260H, включив Alibaba в список «китайских военных компаний». Alibaba оспаривает это определение, но этот шаг уже ужесточил её отношения с проверками национальной безопасности США.

Затем, 12 июня, Министерство торговли США, ссылаясь на соображения национальной безопасности, ввело экспортные ограничения на последние модели Anthropic Mythos и Fable. Американская сторона опасается, что эти передовые модели могут быть использованы военными или разведывательными ведомствами таких стран, как Китай.

Для Anthropic эти ограничения имели прямые последствия. Из-за трудностей с эффективной проверкой личности глобальных пользователей и источников доступа компании пришлось ввести более широкие ограничения на доступ к соответствующим моделям, а не просто точно блокировать по регионам.

Это создаёт контраст. С одной стороны, Anthropic требует от правительства помощи в борьбе с внешними атаками на дистилляцию, с другой — начинает испытывать ограничения на открытость продукта из-за более строгого экспортного контроля. ИИ-модели больше не являются просто программным сервисом, они включаются в рамки контроля безопасности, аналогичные передовым чипам.

Атрибуция и границы противодействия остаются главной интригой

В краткосрочной перспективе это событие, скорее всего, подтолкнёт Конгресс США и регуляторов к дальнейшему обсуждению контроля доступа к ИИ-моделям. По сравнению с традиционным экспортным контролем, управление интерфейсами моделей сложнее. Пользователи могут регистрироваться трансгранично, перепродавать права доступа или дробить объём вызовов с помощью множества мелких аккаунтов.

Но этот инцидент остаётся на стадии односторонних обвинений Anthropic. Цели атаки, реальные операторы за аккаунтами, степень утечки возможностей ещё не получили судебного подтверждения. Ответит ли Alibaba, как объяснит личность операторов, связанных с Qwen, и существовали ли действия третьих сторон с использованием экосистемы Alibaba или её имени, остаётся нерешёнными вопросами.

Более реальное влияние заключается в том, что США, вероятно, будут и дальше требовать от ИИ-компаний усиления проверки аккаунтов, мониторинга аномальных вызовов и обмена информацией об угрозах между компаниями. Для передовых модельных компаний, таких как Anthropic, OpenAI, Google, это повысит затраты на безопасность и соответствие требованиям. Для китайских ИИ-компаний сложность получения услуг зарубежных передовых моделей может продолжать расти.

Эти обвинения ещё не превратились в судебный вердикт, но они сделали одну проблему более конкретной: помимо весов модели, сами выходные данные модели также становятся активом, который регулируется и оспаривается в американо-китайском ИИ-соперничестве.