Anthropic trong một bức thư gửi Ủy ban Ngân hàng Thượng viện Mỹ đã cáo buộc, Alibaba cùng bên điều hành liên quan đến phòng thí nghiệm AI Qwen của họ, đã sử dụng gần 25.000 tài khoản gian lận để chiết xuất quy mô lớn khả năng của mô hình Claude. Theo bức thư mà các hãng truyền thông như Reuters được tiếp cận, vụ tấn công ‘chưng cất’ mô hình mà Anthropic gọi là ‘quy mô lớn nhất được biết đến’ này, đã diễn ra từ ngày 22 tháng 4 đến ngày 5 tháng 6 năm 2026, liên quan đến hơn 28,8 triệu lần tương tác với Claude. Sự việc nhạy cảm không chỉ vì quy mô lớn, mà còn vì nó xảy ra trong cùng khung thời gian chính phủ Mỹ liên tục siết chặt kiểm soát xuất khẩu AI, và Lầu Năm Góc đưa Alibaba vào danh sách ‘công ty quân sự Trung Quốc’.

Cái gọi là ‘chưng cất mô hình’, không phải là đánh cắp trực tiếp trọng số mô hình hay mã nguồn, mà là sử dụng kết quả đầu ra của một mô hình mạnh để huấn luyện một mô hình khác, giúp mô hình sau nhanh chóng sao chép một phần khả năng. Trong nghiên cứu phát triển AI, đây vốn là một kỹ thuật phổ biến, nhưng nếu được thực hiện thông qua tài khoản gian lận, vi phạm điều khoản dịch vụ hoặc vượt qua hạn chế truy cập, thì sẽ bị coi là chiết xuất trái phép tài sản trí tuệ. Đối với các nhà hoạch định chính sách Mỹ, vấn đề nan giải hơn là, ngay cả khi không có được bản thân mô hình tiên tiến nhất, việc gọi quy mô lớn cũng có thể giúp đối thủ cạnh tranh đạt được các khả năng tương tự như kỹ thuật phần mềm, lý luận tác nhân thông minh.

42 ngày, 28,8 triệu lần tương tác, Anthropic chỉ mũi dùi vào Alibaba và Qwen

Bức thư có ngày 10 tháng 6, người nhận là Chủ tịch Ủy ban Ngân hàng Thượng viện Mỹ Tim Scott và thành viên kỳ cựu Elizabeth Warren. Nội dung bức thư mà nhiều hãng truyền thông được tiếp cận cho thấy, Anthropic mô tả chiến dịch này là cuộc tấn công chưng cất lớn nhất được biết đến nhắm vào công ty này.

Con số cốt lõi rất rõ ràng. Từ ngày 22 tháng 4 đến ngày 5 tháng 6, kẻ tấn công thông qua khoảng 25.000 tài khoản gian lận, đã thực hiện hơn 28,8 triệu lần tương tác với Claude. Anthropic cho rằng, bên điều hành đằng sau những tài khoản này có liên quan đến Alibaba và Alibaba Qwen, với mục đích đẩy nhanh việc Trung Quốc có được khả năng mô hình tiên tiến của Anthropic.

Mối lo ngại trong thư không chỉ là khả năng hỏi đáp thông thường bị sao chép, mà còn gần hơn với việc khả năng của các mô hình tiên phong trong lĩnh vực kỹ thuật phần mềm, tự động hóa nhiệm vụ và lý luận tác nhân thông minh bị rò rỉ. Một khi những đầu ra này được thu thập có hệ thống, chúng có thể trở thành dữ liệu để huấn luyện các mô hình khác.

Ranh giới ở đây cũng quan trọng. Anthropic sử dụng cách diễn đạt ‘bên điều hành liên quan đến Alibaba và Alibaba Qwen’, không thể đồng nhất với việc đã xác nhận Alibaba chính thức trực tiếp tổ chức tấn công, cũng không thể chứng minh mô hình liên quan đã thành công sao chép khả năng tiên tiến của Claude. Tính đến thời điểm các báo cáo liên quan được công bố, Alibaba chưa phản hồi về cáo buộc chưng cất này. Đối với việc Lầu Năm Góc đưa họ vào danh sách ‘công ty quân sự Trung Quốc’, Alibaba đã khởi kiện và cho rằng việc xác định này ‘không có cơ sở thực tế hoặc pháp lý’.

Tại sao tấn công chưng cất nhạy cảm hơn thu thập dữ liệu thông thường?

Thu thập dữ liệu thông thường thường chỉ việc thu thập trang web, văn bản hoặc tài liệu công khai. Tấn công chưng cất nhắm vào chính khả năng đầu ra của mô hình.

Kẻ tấn công có thể liên tục đặt câu hỏi cho mô hình mạnh, lưu lại câu trả lời, quá trình suy luận, kết quả tạo mã hoặc phương án thực thi nhiệm vụ, sau đó dùng để huấn luyện mô hình của chính mình. Bằng cách này, ngay cả khi không tiếp cận được trọng số cơ bản, cũng có thể học được mô hình hành vi của mô hình mạnh trong một số nhiệm vụ.

Đây chính là điều mà các công ty AI và cơ quan quản lý ngày càng cảnh giác. Giao diện truy cập của các mô hình tiên tiến vốn là sản phẩm thương mại, cũng là kênh dịch vụ đối ngoại. Nhưng khi quy mô truy cập đạt đến hàng chục triệu lần, và tài khoản lại bị xác định là gian lận, thì giao diện sản phẩm có thể trở thành kênh chiết xuất khả năng.

Anthropic trước đây đã công khai tiết lộ sự việc tương tự. Tháng 2 năm 2026, công ty này cho biết phát hiện DeepSeek, Moonshot AI và MiniMax có hành động tương tự ở quy mô nhỏ hơn, trong đó các tương tác liên quan đến DeepSeek vượt quá 150.000 lần, Moonshot AI hơn 3,4 triệu lần, MiniMax hơn 13 triệu lần. So với các trường hợp này, 28,8 triệu lần tương tác lần này nhắm vào bên điều hành liên quan đến Alibaba và Qwen rõ ràng lớn hơn nhiều.

Việc Anthropic gửi thư cho Quốc hội cũng là để thúc đẩy chính phủ Mỹ chia sẻ thông tin tình báo mối đe dọa với các công ty AI tư nhân. Theo cách nói của họ, cường độ và độ phức tạp của các cuộc tấn công tương tự đang gia tăng, cần phản ứng phối hợp nhanh hơn.

Cáo buộc đụng độ với việc Mỹ siết chính sách, bản thân Anthropic cũng bị hạn chế

Cáo buộc này không xuất hiện một cách biệt lập.

Tháng 4 năm nay, Nhà Trắng từng cáo buộc Trung Quốc đánh cắp tài sản trí tuệ của phòng thí nghiệm AI Mỹ với ‘quy mô công nghiệp’. Đến đầu tháng 6, Lầu Năm Góc cập nhật danh sách 1260H, đưa Alibaba vào danh sách ‘công ty quân sự Trung Quốc’. Alibaba đang thách thức việc xác định này, nhưng động thái này đã khiến mối quan hệ của họ với việc kiểm tra an ninh quốc gia Mỹ trở nên chặt chẽ hơn.

Sau đó, Bộ Thương mại Mỹ vào ngày 12 tháng 6 đã áp đặt hạn chế xuất khẩu đối với các mô hình Mythos và Fable mới nhất của Anthropic vì lý do an ninh quốc gia. Phía Mỹ lo ngại, những mô hình tiên tiến này có thể bị các cơ quan quân sự hoặc tình báo của các nước như Trung Quốc sử dụng.

Đối với Anthropic, hạn chế này mang lại hậu quả trực tiếp. Do khó có thể sàng lọc hiệu quả danh tính người dùng toàn cầu và nguồn truy cập, công ty này buộc phải áp đặt hạn chế truy cập rộng hơn đối với các mô hình liên quan, thay vì chỉ chặn theo khu vực một cách chính xác.

Điều này tạo nên một sự tương phản. Một mặt, Anthropic yêu cầu chính phủ giúp đánh trả các cuộc tấn công chưng cất từ bên ngoài, mặt khác cũng bắt đầu gánh chịu những hạn chế mở cửa sản phẩm do kiểm soát xuất khẩu nghiêm ngặt hơn. Mô hình AI không còn chỉ là dịch vụ phần mềm, đang được đưa vào khuôn khổ kiểm soát an ninh tương tự như chip tiên tiến.

Quy kết trách nhiệm và ranh giới phản công vẫn là bí ẩn lớn nhất

Sự kiện này trong ngắn hạn nhiều khả năng sẽ thúc đẩy Quốc hội và cơ quan quản lý Mỹ tiếp tục thảo luận về kiểm soát truy cập mô hình AI. So với kiểm soát xuất khẩu truyền thống, việc kiểm soát giao diện mô hình khó hơn. Người dùng có thể đăng ký xuyên biên giới, chuyển nhượng quyền truy cập, cũng có thể chia nhỏ quy mô gọi thông qua nhiều tài khoản nhỏ.

Nhưng sự kiện này vẫn dừng lại ở giai đoạn cáo buộch đơn phương của Anthropic. Ý định tấn công, chủ thể điều hành thực sự đằng sau tài khoản, mức độ rò rỉ khả năng, đều chưa đi vào xác định tư pháp. Liệu Alibaba có phản hồi hay không, giải thích thế nào về danh tính bên điều hành liên quan đến Qwen, cũng như liệu có tồn tại bên thứ ba lợi dụng hệ sinh thái hoặc danh nghĩa của Alibaba để thao tác hay không, vẫn là vấn đề chưa được giải đáp.

Tác động thực tế hơn là, Mỹ có thể sẽ tiếp tục yêu cầu các công ty AI tăng cường xem xét tài khoản, giám sát gọi bất thường và chia sẻ thông tin tình báo mối đe dọa xuyên công ty. Đối với các công ty mô hình tiên phong như Anthropic, OpenAI, Google, điều này sẽ làm tăng chi phí tuân thủ an ninh. Đối với các công ty AI Trung Quốc, độ khó tiếp cận dịch vụ mô hình tiên tiến nước ngoài có thể tiếp tục tăng.

Cáo buộc này chưa trở thành kết luận tư pháp, nhưng nó đã khiến một vấn đề trở nên cụ thể hơn: ngoài trọng số mô hình, bản thân đầu ra mô hình cũng đang trở thành tài sản bị kiểm soát, bị tranh giành trong cuộc cạnh tranh AI giữa Mỹ và Trung Quốc.