Anthropic menemukan kampanye besar-besaran yang dilakukan oleh tiga laboratorium AI Tiongkok — DeepSeek, Moonshot AI, dan MiniMax — untuk secara ilegal mengambil kemampuan Claude untuk melatih model mereka sendiri. Metodenya adalah distilasi: model yang kurang cakap dilatih menggunakan data keluaran dari model yang lebih kuat. Metode ini sendiri sah, tetapi dalam kasus ini digunakan untuk mencuri hasil kerja intelektual.
Skala: lebih dari 16 juta permintaan melalui sekitar 24.000 akun palsu.
Apa yang diekstraksi dan siapa yang berada di balik serangan
DeepSeek (~150.000 permintaan): Menargetkan penalaran dan rantai pemikiran (chain-of-thought), menggunakan Claude sebagai model penilai untuk pelatihan dengan penguatan. Secara terpisah — menghasilkan jawaban yang "aman dari sensor" untuk topik yang sensitif secara politik (para pembangkang, kepemimpinan partai, otoritarianisme) untuk melatih model mereka menghindari topik terlarang. Akun-akun tersebut berhasil dihubungkan dengan peneliti laboratorium tertentu.
Moonshot AI / Kimi (~3,4 juta permintaan): Fokus pada pemikiran agen, kerja dengan alat, penulisan kode, penglihatan komputer. Ratusan akun palsu dari berbagai jenis untuk penyamaran. Pada tahap-tahap akhir, mereka mencoba mereproduksi secara langsung pemikiran internal Claude. Atribusi — melalui metadata yang cocok dengan profil publik karyawan senior Moonshot.
MiniMax (~13 juta permintaan): Kampanye terbesar. Bertujuan pada pengkodean agen dan orkestrasi alat. Ditemukan bahkan sebelum model yang dapat dilatih dirilis, yang memberikan gambaran lengkap tentang siklus hidup serangan. Ketika Anthropic merilis model baru, MiniMax mengalihkan setengah dari lalu lintas ke model tersebut dalam waktu 24 jam.
Bagaimana mereka mendapatkan akses
Anthropic tidak menyediakan akses komersial ke Claude di Tiongkok. Laboratorium mengatasinya melalui layanan proxy yang menjual kembali akses ke API. Layanan ini menggunakan "arsitektur hydra" — jaringan yang terdiri dari ribuan akun palsu yang mendistribusikan lalu lintas ke berbagai platform. Satu proxy semacam itu mengelola lebih dari 20.000 akun secara bersamaan, mencampur lalu lintas distilasi dengan permintaan biasa.
Mengapa hal ini berbahaya
Model distilasi tidak memiliki mekanisme perlindungan — penghalang dari pembuatan instruksi senjata biologis, serangan siber, dan disinformasi. Kemampuan ini dapat jatuh ke tangan sistem militer, intelijen, dan kepolisian negara-negara otoriter. Ketika kode sumber dibuka, risikonya meningkat berkali-kali lipat.
Selain itu, serangan semacam itu merusak logika kontrol ekspor: kemajuan pesat laboratorium Tiongkok secara keliru dianggap sebagai bukti ketidakefektifan sanksi, padahal kemajuan tersebut sebagian besar didasarkan pada hasil penelitian Amerika yang dicuri.
Tindakan balasan Anthropic
- Deteksi — pengklasifikasi dan sistem analisis perilaku untuk mengidentifikasi pola distilasi dalam lalu lintas API.
- Pertukaran intelijen — indikator teknis dikirimkan ke laboratorium AI lain, penyedia layanan cloud, dan pihak berwenang.
- Penguatan verifikasi — pengetatan pemeriksaan akun pendidikan, penelitian, dan startup.
- Tindakan balasan di tingkat model — mengurangi kesesuaian data keluaran untuk distilasi tanpa merugikan pengguna biasa.
Anthropic menekankan: tidak ada perusahaan yang dapat melakukannya sendiri — diperlukan koordinasi antara industri, penyedia layanan cloud, dan regulator.