Anthropic 在致美国参议院银行委员会的一封信中指控,阿里巴巴及其 AI 实验室 Qwen 相关运营方使用近 2.5 万个欺诈账户,大规模提取 Claude 模型能力。据 Reuters 等媒体看到的信件,这起被 Anthropic 称为「已知最大规模」的模型蒸馏攻击,发生在 2026 年 4 月 22 日至 6 月 5 日之间,涉及超过 2880 万次与 Claude 的交互。它之所以敏感,不只是因为规模大,还发生在美国政府连续加码 AI 出口管制、五角大楼将阿里巴巴列入「中国军事公司」名单的同一时间窗口内。
所谓「模型蒸馏」,不是直接盗取模型权重或源代码,而是用一个强模型的输出结果训练另一个模型,让后者快速复制部分能力。在 AI 研发中,这本来是一种常见技术,但如果通过欺诈账户、违反服务条款或绕过访问限制来进行,就会被视为非法提取知识产权。对美国政策制定者来说,更棘手的是,即便没有拿到最先进模型本身,大规模调用也可能帮助竞争对手获得类似的软件工程、智能体推理等能力。
42 天、2880 万次交互,Anthropic 把矛头指向阿里和 Qwen
这封信日期为 6 月 10 日,收信人为美国参议院银行委员会主席 Tim Scott 和资深成员 Elizabeth Warren。多家媒体看到的信件内容显示,Anthropic 将这次行动描述为针对该公司的最大已知蒸馏攻击。
核心数字很直接。4 月 22 日至 6 月 5 日,攻击者通过约 2.5 万个欺诈账户,与 Claude 进行了超过 2880 万次交互。Anthropic 认为,这些账户背后的运营方与 Alibaba 及 Alibaba Qwen 有关,目的在于加快中国获得 Anthropic 先进模型能力。
信件中的担忧并不只是普通问答能力被复制,而是更接近前沿模型在软件工程、自动化任务和智能体推理方面的能力外流。一旦这些输出被系统性收集,就可能变成训练其他模型的数据。
这里的边界同样重要。Anthropic 使用的是「与 Alibaba 和 Alibaba Qwen 有关的运营方」这一表述,不能等同于已经确认阿里巴巴官方直接组织了攻击,也不能证明相关模型已经成功复制 Claude 的先进能力。截至相关报道发布,阿里巴巴未就该蒸馏指控回应。对于五角大楼将其列入「中国军事公司」名单,阿里巴巴已经提起诉讼,并称相关认定「无事实或法律依据」。
蒸馏攻击为何比普通爬取更敏感?
普通数据爬取通常指抓取网页、文本或公开资料。蒸馏攻击瞄准的是模型本身的输出能力。
攻击者可以反复向强模型提出问题,把回答、推理过程、代码生成结果或任务执行方案保存下来,再用于训练自己的模型。这样一来,即便没有接触底层权重,也可能学到强模型在某些任务上的行为模式。
这正是 AI 公司和监管部门越来越警惕的地方。先进模型的访问接口原本是商业产品,也是对外服务渠道。但当访问规模达到数千万次、账户又被认定为欺诈账户时,产品接口就可能变成能力提取通道。
Anthropic 此前已经公开披露过类似事件。2026 年 2 月,该公司称发现 DeepSeek、Moonshot AI 和 MiniMax 存在较小规模的类似行动,其中 DeepSeek 相关交互超过 15 万次,Moonshot AI 超过 340 万次,MiniMax 超过 1300 万次。与这些案例相比,这次指向阿里巴巴和 Qwen 相关运营方的 2880 万次交互明显更大。
Anthropic 把信写给国会,也是在推动美国政府与私营 AI 公司开展威胁情报共享。按照它的说法,类似攻击的强度和复杂度正在上升,需要更快的协调反应。
指控撞上美国政策加码,Anthropic 自己也被限制
这起指控并不是孤立出现。
今年 4 月,白宫曾指控中国以「工业规模」窃取美国 AI 实验室知识产权。到 6 月上旬,五角大楼更新 1260H 名单,将阿里巴巴列入「中国军事公司」名单。阿里巴巴正在挑战这一认定,但这一动作已经让其与美国国家安全审查之间的关系更紧。
随后,美国商务部在 6 月 12 日以国家安全为由,对 Anthropic 最新 Mythos 和 Fable 模型实施出口限制。美国方面担心,这些先进模型可能被中国等国家的军事或情报部门使用。
对 Anthropic 来说,这一限制带来了直接后果。由于难以有效筛选全球用户身份和访问来源,该公司不得不对相关模型访问进行更大范围的限制,而不只是按地区精准封锁。
这形成了一个反差。Anthropic 一方面要求政府帮助打击外部蒸馏攻击,另一方面也开始承受更严格出口管制带来的产品开放限制。AI 模型不再只是软件服务,正在被纳入类似先进芯片的安全管制框架。
归因和反制边界仍是最大悬念
这次事件短期内最可能推动美国国会和监管部门继续讨论 AI 模型访问控制。相比传统出口管制,模型接口的管控更难。用户可以跨境注册、转售访问权限,也可以通过大量小账户拆分调用规模。
但这起事件仍停留在 Anthropic 的单方指控阶段。攻击意图、账号背后真实运营主体、能力外流程度,都还没有进入司法认定。阿里巴巴是否会回应、如何解释 Qwen 相关运营方的身份,以及是否存在第三方利用阿里生态或名义进行操作,仍是未解问题。
更现实的影响是,美国或将进一步要求 AI 公司强化账户审查、异常调用监控和跨公司威胁情报共享。对 Anthropic、OpenAI、Google 等前沿模型公司来说,这会提高安全合规成本。对中国 AI 公司来说,获取海外先进模型服务的难度可能继续上升。
这起指控还没有变成司法结论,但它已经让一个问题变得更具体:在模型权重之外,模型输出本身也正在成为中美 AI 竞争中被管制、被争夺的资产。
