Anthropic a découvert des campagnes à grande échelle menées par trois laboratoires chinois d'IA — DeepSeek, Moonshot AI et MiniMax — visant à extraire illégalement les capacités de Claude pour former leurs propres modèles. La méthode utilisée est la distillation : un modèle moins performant est formé à partir des données de sortie d'un modèle plus puissant. En soi, cette méthode est légitime, mais dans le cas présent, elle a été utilisée pour voler des acquis intellectuels.
Ampleur : plus de 16 millions de requêtes via environ 24 000 faux comptes.
Ce qui a été extrait et qui est derrière les attaques
DeepSeek (~150 000 requêtes) : ciblait les raisonnements et les chaînes de pensée (chain-of-thought), utilisait Claude comme modèle d'évaluation pour l'apprentissage par renforcement. Séparément, ils ont généré des réponses « sans risque de censure » sur des sujets politiquement sensibles (dissidents, direction du parti, autoritarisme) afin d'apprendre à leurs modèles à contourner les sujets interdits. Les comptes ont pu être associés à des chercheurs spécifiques du laboratoire.
Moonshot AI / Kimi (~3,4 millions de requêtes) : accent mis sur la pensée agentielle, l'utilisation d'outils, l'écriture de code, la vision par ordinateur. Des centaines de faux comptes de différents types pour le camouflage. À un stade avancé, ils ont tenté de reproduire directement les raisonnements internes de Claude. Attribution : via des métadonnées correspondant aux profils publics des cadres supérieurs de Moonshot.
MiniMax (~13 millions de requêtes) : la campagne la plus importante. Elle visait le codage agent et l'orchestration des outils. Elle a été découverte avant même la sortie du modèle d'apprentissage, ce qui a permis d'avoir une vue d'ensemble du cycle de vie de l'attaque. Lorsque Anthropic a lancé son nouveau modèle, MiniMax a redirigé la moitié du trafic vers celui-ci en 24 heures.
Comment ils ont obtenu l'accès
Anthropic ne fournit pas d'accès commercial à Claude en Chine. Les laboratoires ont contourné cette restriction grâce à des services proxy qui revendent l'accès à l'API. Ces services utilisent une « architecture hydra » : des réseaux composés de milliers de faux comptes qui répartissent le trafic sur différentes plateformes. Un de ces proxys gérait plus de 20 000 comptes en même temps, mélangeant le trafic de distillation avec les requêtes normales.
Pourquoi est-ce dangereux ?
Les modèles distillés sont dépourvus de mécanismes de protection — de barrières contre la génération d'instructions sur les armes biologiques, les cyberattaques, la désinformation. Ces capacités peuvent se retrouver dans les systèmes militaires, de renseignement et de police des États autoritaires. Lorsque le code source est ouvert, le risque augmente considérablement.
En outre, de telles attaques sapent la logique du contrôle des exportations : les progrès rapides des laboratoires chinois sont perçus à tort comme une preuve de l'inefficacité des sanctions, alors qu'ils reposent en grande partie sur des travaux américains volés.
Mesures de rétorsion d'Anthropic
- Détection — classificateurs et systèmes d'analyse comportementale pour identifier les modèles de distillation dans le trafic API.
- Partage de renseignements : les indicateurs techniques sont transmis à d'autres laboratoires d'IA, à des fournisseurs de services cloud et aux autorités.
- Renforcement de la vérification — renforcement du contrôle des comptes éducatifs, de recherche et de start-up.
- Contre-mesures au niveau du modèle — réduction de l'aptitude des données de sortie à la distillation sans nuire aux utilisateurs ordinaires.
Anthropic souligne qu'aucune entreprise ne peut y parvenir seule : une coordination entre l'industrie, les fournisseurs de services cloud et les régulateurs est nécessaire.