花 50 萬偷走 2 億的能力——Anthropic 蒸餾攻擊事件背後的殘酷經濟學
花 50 萬偷走 2 億的能力——Anthropic 蒸餾攻擊事件背後的殘酷經濟學
$50 萬美元和 $2 億美元,差距 400 倍。
這不是什麼創投的槓桿故事,而是 AI 產業正在上演的一場結構性危機:用不到 50 萬美元的 API 費用,就能提取出花了 2 億美元訓練的前沿模型能力。
2026 年 2 月 23 日,Anthropic 發了一篇長達數千字的部落格文章 點名指控:直接說出名字並提出指控或批評 AI 實驗室——DeepSeek、Moonshot AI(Kimi)和 MiniMax——對 Claude 進行了「工業級蒸餾攻擊」。24,000 個假帳號、超過 1,600 萬次交互、橫跨多家雲端平台的「九頭蛇」代理網路。
但在社群炸鍋之前,我想先聊一個更根本的問題:**為什麼蒸餾這麼難擋?**因為答案藏在一道殘酷的經濟學裡。
先搞清楚發生了什麼事
簡單版本:三家中國公司透過假帳號大量查詢 Claude,收集回覆來訓練自己的模型。
| 實驗室 | 交互次數 | 主要目標 | 一句話特色 |
|---|---|---|---|
| DeepSeek | 15 萬+ | 推理能力、獎勵模型 | 量最小,手法最精密 |
| Moonshot AI | 340 萬+ | Agent 推理、電腦視覺 | 嘗試逆向工程推理軌跡 |
| MiniMax | 1,300 萬+ | Agentic coding、工具編排 | 規模最大,新模型發布 24 小時內重導流量 |
Anthropic 說它是怎麼抓到的?IP 位址關聯、請求 metadata、基礎設施指標,以及其他 AI 公司的交叉通報。在 DeepSeek 的案例中,同步帳號流量和共用付款方式甚至讓 Anthropic 追蹤到了具體研究人員的身份。
三家公司截至目前均未正式回應。
三種手法,三種哲學
這三家的手法差異其實很有意思——它們幾乎代表了蒸餾攻擊的三種不同「流派」。
DeepSeek:用 Claude 當免費獎勵模型
DeepSeek 的交互量最小,只有 15 萬次。但如果你懂 RL(強化學習)訓練的瓶頸,就知道它的手法有多聰明。
訓練推理模型最貴的環節之一不是算力,而是獎勵模型(Reward Model)——你需要一個夠強的模型來評判其他模型的輸出好不好。DeepSeek 做了什麼?讓 Claude 用評分標準(rubric)評估大量輸出。等於把 Anthropic 花了數億美元訓練出來的 Claude,變成了自己免費的 RL 打分員。
另一個手法也很典型:要求 Claude 「想像完成回答背後的內部推理,並逐步寫出來」。這就是在批量產生 chain-of-thought 訓練資料——推理模型最核心的訓練燃料。
還有一個政治層面的細節:DeepSeek 要求 Claude 為「政策敏感查詢」建立審查安全的替代方案——關於異議人士、黨領導人、威權主義的問題。這很可能是在訓練自家模型的政治審查能力。
Moonshot AI / Kimi:逆向工程思考過程
Moonshot 的 340 萬次交互更直接。它聚焦在 Agent 推理、工具使用、Computer Use 代理開發這些能力上,但後期的攻擊方向讓人印象深刻:直接嘗試重建 Claude 的推理軌跡(reasoning trace)。
怎麼說呢,推理能力是前沿模型最難複製的部分。模型架構可以抄,訓練數據可以爬,但思考的「方式」很難靠表面輸出完全還原。Moonshot 嘗試的,接近於逆向工程一個人的思考過程——不只要你的答案,還要你是「怎麼想到的」。
這針對的是最具商業壁壘的那層能力。
MiniMax:工業級流水線
MiniMax 的 1,300 萬次交互在規模上就是另一個量級了。但最讓我在意的不是量,而是它的即時反應能力。
Anthropic 說:Claude 新模型發布後 24 小時內,MiniMax 將近 50% 的流量重導至新版本。
24 小時。
這意味著 MiniMax 有一套持續運作的系統在即時追蹤 Anthropic 的能力邊界。蒸餾對它來說不是一次性的偷襲,而是持續性的供應鏈操作。
更戲劇性的是,Anthropic 在 MiniMax 正在訓練準備發布的模型時偵測到了攻擊——等於在對方「烹飪中」就聞到了味道。
殘酷的經濟學:為什麼蒸餾擋不住
這是整件事最核心的問題,也是我覺得大家討論最少的部分。
先看一張表:
| 模型 | 估算訓練成本 | 來源 |
|---|---|---|
| GPT-4 | $78M(僅計算成本) | Stanford 2025 AI Index |
| Gemini Ultra | $191M | Stanford 2025 AI Index |
| GPT-5 | $500M+ | 業界估算 |
| DeepSeek V3(最終 run) | $5.6M | 官方公布 |
| DeepSeek R1(最終 run) | $294K | 官方公布(建立在 V3 基礎上) |
根據 Epoch AI 的研究,前沿模型訓練成本以每年 2.4 倍的速度增長,2027 年最大的訓練 run 將超過 10 億美元。
那蒸餾呢?我試著估算 MiniMax 1,300 萬次交互的 API 費用:
Claude Sonnet 級別:$3/$15 per M tokens
每次交互平均 1,500 tokens input + 2,000 tokens output
Input: 1,300萬 × 1,500 = 195 億 tokens → <sub>$58,500
Output: 1,300萬 × 2,000 = 260 億 tokens → </sub>$390,000
──────────────────────────────────────────────
正價 API 成本估算:~$448,500
但它們用的是假帳號和代理服務——免費額度、教育帳號折扣、批量代理價格。實際支出可能更低。
把所有方式攤開來比較:
| 獲取前沿能力的方式 | 估算成本 | 時間 | 性價比倍數 |
|---|---|---|---|
| 從零訓練前沿模型 | $100M-$500M | 12-24 個月 | 1x |
| 高效訓練(DeepSeek V3 模式) | $5.6M-$50M | 6-12 個月 | 10-100x |
| RL 蒸餾自家模型(R1 模式) | $294K-$5M | 1-3 個月 | 100-1,000x |
| 非法蒸餾他人 API | $50K-$500K | 1-4 週 | 1,000-10,000x |
Databricks CEO Ali Ghodsi 去年說過一句話:「蒸餾技術極其強大且極其便宜,任何人都可以使用。」
歷史先例更誇張——2023 年 3 月,Stanford 研究者用 GPT-3.5 的 52,000 個輸出蒸餾出 Alpaca 模型,成本僅 $600,表現卻接近 ChatGPT。
花 50 萬偷到值 2 億的能力,ROI 400 倍。 這種經濟不對稱,靠 ToS(服務條款)是擋不住的。
九頭蛇集群與 11 天三箭齊發
打地鼠遊戲
Anthropic 在中國沒有提供商業存取。那這三家怎麼做到 1,600 萬次交互的?
答案是「商業代理服務」——Anthropic 管這些基礎設施叫「九頭蛇集群」(hydra cluster)。一個代理網路同時管理超過 20,000 個假帳號,把蒸餾流量和正常客戶請求混在一起發送。封一個帳號,立刻冒出兩個新的。
| 組件 | 用途 |
|---|---|
| 代理網路 | 偽裝流量來源,管理 20,000+ 帳號 |
| 負載平衡 | 跨多家雲端平台分散請求 |
| 流量混合 | 蒸餾請求藏在正常流量裡 |
| 支付輪換 | 不同帳號用不同付款方式 |
| 帳號工廠 | 利用教育和研究帳號的驗證漏洞批量建立 |
這本質上是一場打地鼠遊戲,而且地鼠方占有結構性優勢。
但時機也很值得玩味
| 日期 | 公司 | 行動 |
|---|---|---|
| 2/12 | OpenAI | 向眾議院中國委員會提交蒸餾指控備忘錄 |
| 2/12 | GTIG 報告 Gemini 遭 100,000+ 提示蒸餾攻擊 | |
| 2/23 | Anthropic | 發布部落格,揭露三家中國實驗室 |
三家美國 AI 巨頭在 11 天內同步揭露蒸餾攻擊。
背景是什麼?川普政府 2026 年 1 月正式允許 Nvidia 向中國出口 H200 晶片。批評者認為這削弱了出口管制。而 Anthropic 的報告直接寫:「蒸餾攻擊強化了出口管制的理由。」
Implicator.ai 的分析說得最精準:「攻擊是真的。編排也是真的。」(The attacks are real. So is the choreography.)
攻擊確實發生了,數據確實存在。但三家公司同步曝光的時機,顯然也帶有政策遊說的意圖。這兩件事可以同時為真。
偷竊還是雙重標準?社群炸了
Anthropic 的文章發出來不到幾小時,社群就分成了兩派,而且批評方的聲量明顯更大。
Elon Musk 在 X 上直接開砲:
「Anthropic 在大規模竊取訓練數據方面有罪,已經不得不支付數十億美元的和解金。」
IO.Net 共同創辦人 Tory Green:
「你用公開網路訓練,然後別人從你學就叫『蒸餾攻擊』。」
Reddit r/LocalLLaMA 上的高讚留言:
「很難認真看待,當每個基礎模型都建立在未經同意爬取的網路數據上。」
The Register 的標題更直接:「Anthropic 指控中國 AI 實驗室抄襲內容——就像它自己做的那樣。」
說實話,這些批評不是完全沒道理。Anthropic 確實面臨多起版權訴訟(Reddit v. Anthropic、Bartz v. Anthropic 等),而且用公開網路數據訓練模型的合法性到今天還在法庭上打。
但我覺得這個討論很容易滑入一個假二元對立。
爬取公開網路數據和針對性提取商業 API 的專有能力,在性質上還是不同的。打個比方:去圖書館讀書學習,和闖進一家公司的辦公室偷拍他們的研究筆記,就算「學到的東西」很像,行為的性質也不一樣。
更具體地說:
- 公開網路數據被廣泛視為接近「公共財」(雖然也有爭議)
- 蒸餾攻擊使用假帳號、違反服務條款、繞過地區限制——這些是明確的違規行為
- 蒸餾是高度針對性的:不是泛泛地學習,而是精準提取推理、coding、tool use 這些最值錢的能力
- 蒸餾可能移除安全護欄,讓被提取的能力失去安全限制
所以我的看法是:Anthropic 的「偽善」指控有部分道理,但它不構成對蒸餾行為的完整辯護。真正的問題不是「Anthropic 是不是虛偽」——而是蒸餾的經濟不對稱讓這件事幾乎無法靠道德呼籲來解決。
法律?幾乎是真空地帶
法律層面的情況比大多數人以為的更模糊:
| 問題 | 現狀 |
|---|---|
| AI 模型輸出有版權嗎? | 沒有。 美國著作權局 2025/1 明確要求人類創作 |
| 蒸餾是 IP 盜竊嗎? | 從未被法院測試過。 白宮和 OpenAI 認為是,法律界有分歧 |
| 違反 ToS 算違法嗎? | 民事違約,不是刑事犯罪 |
| 用公開數據訓練合法嗎? | 傾向合理使用(2025/6 兩個判例支持),但也有反例 |
UC Law SF 的一篇學術論文分析了蒸餾的版權問題,結論是:「模型輸出——尤其是預測、補全或生成的回應——更可能被視為事實性或功能性數據,而非表達性作品,因此可能不受保護。」
翻成白話:你問 Claude 一個問題,Claude 的回答在法律上可能不受版權保護。用這些回答來訓練另一個模型,在現行法律下不一定違法——雖然違反了服務條款。
CSIS 建議國會填補這個法律空白,甚至考慮將蓄意蒸餾刑事化。但在那之前,Anthropic 手上最強的武器還是 ToS 和出口管制的政策遊說。
所以接下來會怎樣?
這件事揭示了前沿 AI 模型的一個根本矛盾:你要讓模型有用,就必須提供 API。但只要有 API,蒸餾就是可能的。
短期內,我們會看到 API 存取收緊——更嚴格的速率限制、行為指紋偵測、身份驗證。Anthropic 已經在做了:部署了 chain-of-thought 偵測分類器、協調活動偵測工具,還加強了教育帳號的驗證。
但說到底,這是一場打地鼠遊戲。只要蒸餾的 ROI 還是 400 倍、1000 倍,經濟動機就不會消失。
graph TD A[前沿模型需要 API 才能商業化] --> B[API 存取讓蒸餾成為可能] B --> C[蒸餾 ROI 極高: 1000-10000x] C --> D[經濟動機驅動持續蒸餾] D --> E[收緊 API → 傷害合法用戶] D --> F[不收緊 → 持續被蒸餾] E --> G[根本矛盾: 無完美解] F --> G
幾個值得觀察的方向:
模型級防禦。 在輸出中嵌入浮水印或「毒丸」——讓蒸餾出來的模型帶有可追蹤的特徵,或在特定條件下性能下降。這在技術上可行但會增加複雜度。
法律武器。 美國國會可能推動蒸餾相關立法。如果 AI 輸出被賦予某種 IP 保護,整個遊戲規則就會改變。
能力許可模式。 也許未來前沿模型不只是賣 API,而是賣「能力許可」——允許你用模型的推理能力但限制你用輸出來訓練。技術上怎麼做到是個大問題。
開源的尷尬位置。 蒸餾指控可能溢出到開源社群。當一個開源模型的表現「太像」某個閉源模型,質疑聲就會出現。DeepSeek 即將發布的 V4 據報導在 coding 上可能超越 Claude 和 ChatGPT——到時候一定會有人問:多少是自研的?多少是蒸餾的?
寫在最後
回到開頭的那個數字:$50 萬 vs $2 億。
這不只是一個「中國公司偷美國技術」的故事。它揭示的是 AI 產業的一個結構性問題——前沿能力的價值和保護它的難度之間,存在巨大的鴻溝。
Anthropic 的揭露是真實的。三家公司的蒸餾行為確實違反了服務條款。
但政策遊說的編排也是真實的。11 天內三家美國公司同步行動,時機剛好卡在晶片出口管制辯論的節骨眼。
而社群對「雙重標準」的質疑也有部分道理——雖然爬取公開數據和針對性提取商業 API 在性質上確實不同。
最終,這不是一個「誰對誰錯」就能解決的問題。蒸餾的經濟激勵太強,道德呼籲和 ToS 擋不住 1000 倍的 ROI。它需要技術防禦、法律框架、國際協調同時到位——而這三樣東西目前都還在起步階段。
三家中國公司截至今天都沒有正式回應。DeepSeek V4 據說即將發布。這個故事還遠沒結束。
延伸閱讀
- Anthropic 官方部落格:Detecting and preventing distillation attacks
- Google GTIG AI Threat Tracker 報告
- Epoch AI:前沿模型訓練成本分析
- Quanta Magazine:蒸餾如何讓 AI 模型更小更便宜
- CSIS:保護我們的優勢——貿易秘密與全球 AI 軍備競賽
- Implicator.ai:攻擊是真的,遊說也是真的
- Ars Technica:攻擊者用 100,000+ 提示嘗試克隆 Gemini
- UC Law SF:從 Prompt 到 Clone——AI 模型蒸餾的版權挑戰
本文最初發布於 HackMD @BASHCAT。
留言
張貼留言