Американська компанія Anthropic звинуватила три китайські компанії у сфері штучного інтелекту у створенні понад 24 000 фальшивих облікових записів для доступу до її чат-бота Claude з метою вдосконалення власних моделей.
За даними Anthropic, компанії DeepSeek, Moonshot AI та MiniMax сгенерували через ці акаунти понад 16 мільйонів запитів до Claude за допомогою техніки, відомої як «дистиляція». Як зазначає компанія, зловмисники «цілеспрямовано атакували найбільш унікальні можливості Claude: агентне міркування, використання інструментів і написання коду».
Що таке дистиляція та чому це проблема
Дистиляція — поширений метод навчання, який ШІ-лабораторії застосовують для створення менших і дешевших версій власних моделей. Проте конкуренти можуть використовувати цю техніку, щоб фактично скопіювати напрацювання інших розробників. На початку лютого OpenAI направила до Конгресу США меморандум із звинуваченнями на адресу DeepSeek у застосуванні дистиляції для наслідування своїх продуктів.
DeepSeek уперше привернула увагу світу рік тому, коли випустила відкриту модель міркування R1, яка за продуктивністю майже не поступалася провідним американським моделям, коштуючи значно дешевше в розробці. Очікується, що найближчим часом компанія представить DeepSeek V4 — модель, яка, за наявними даними, перевершуватиме Claude від Anthropic та ChatGPT від OpenAI у завданнях програмування.
Масштаби атак
Масштаб кожної атаки відрізнявся. Anthropic зафіксувала понад 150 000 запитів від DeepSeek, спрямованих на вдосконалення базової логіки та вирівнювання моделі — зокрема, на пошук безпечних альтернатив для відповідей на чутливі теми, що обходять цензурні фільтри.
Moonshot AI здійснила понад 3,4 мільйона запитів, орієнтованих на агентне міркування, використання інструментів, аналіз даних, розробку комп’ютерних агентів і комп’ютерний зір. Минулого місяця компанія випустила нову відкриту модель Kimi K2.5 та агента для написання коду.
MiniMax провела 13 мільйонів запитів, зосередившись на агентному програмуванні, використанні інструментів та оркестрації. Anthropic зазначає, що спостерігала за діями MiniMax у режимі реального часу: щойно була запущена остання версія Claude, компанія переспрямувала майже половину свого трафіку на викачування можливостей нової моделі.
Зв’язок з експортним контролем чіпів
Інциденти стаються на тлі тривають дискусій довкола американського експортного контролю над чіпами для ШІ. Минулого місяця адміністрація Трампа офіційно дозволила американським компаніям, зокрема Nvidia, постачати до Китаю передові ШІ-чіпи (зокрема H200). Критики стверджують, що послаблення обмежень збільшує обчислювальні потужності Китаю у ШІ в критичний момент глобальної технологічної конкуренції.
Anthropic підкреслює, що масштаб витоку, який здійснили DeepSeek, MiniMax і Moonshot, «потребує доступу до передових чіпів».
«Дистиляційні атаки тому лише підтверджують доцільність експортного контролю: обмежений доступ до чіпів обмежує і пряме навчання моделей, і масштаби незаконної дистиляції», — йдеться у блозі Anthropic.
Дмітрі Алперович, голова аналітичного центру Silverado Policy Accelerator та співзасновник CrowdStrike, заявив, що не здивований такими атаками.
«Вже давно було зрозуміло, що частина стрімкого прогресу китайських ШІ-моделей пояснюється крадіжкою через дистиляцію американських передових моделей. Тепер ми знаємо це напевно», — зазначив Алперович. За його словами, це дає ще вагоміші підстави відмовитися від продажу будь-яких ШІ-чіпів цим компаніям, що лише посилило б їхні позиції.
Загрози національній безпеці
Anthropic також попереджає, що дистиляція загрожує не лише американській технологічній першості, а й несе ризики для національної безпеки.
«Anthropic та інші американські компанії розробляють системи, які запобігають використанню ШІ державними та недержавними акторами для, наприклад, розробки біологічної зброї або проведення шкідливих кібератак», — зазначається в матеріалі компанії. «Моделі, створені через незаконну дистиляцію, навряд чи збережуть ці механізми захисту, а отже небезпечні можливості можуть поширюватися без більшості засобів безпеки».
Anthropic також звертає увагу на те, що авторитарні режими вже використовують передові ШІ-системи для «наступальних кіберопераций, дезінформаційних кампаній і масового стеження» — і ці ризики зростають, якщо такі моделі стають відкритими.
Компанія заявила, що продовжуватиме інвестувати у захисні механізми, які ускладнять проведення дистиляційних атак та спростять їх виявлення, і закликає до «скоординованої реакції з боку всієї ШІ-індустрії, хмарних провайдерів і регуляторів».
