A Anthropic identificou campanhas em grande escala de três laboratórios de IA chineses — DeepSeek, Moonshot AI e MiniMax — para extrair ilegalmente os recursos do Claude para treinar os seus próprios modelos. O método utilizado é a destilação: um modelo menos capaz é treinado com os dados de saída de um modelo mais forte. O método em si é legítimo, mas, neste caso, foi usado para roubar conhecimentos intelectuais.
Escala: mais de 16 milhões de consultas através de aproximadamente 24 000 contas falsas.
O que foi extraído e quem está por trás dos ataques
DeepSeek (~150 000 consultas): visavam raciocínios e cadeias de pensamento (chain-of-thought), usavam o Claude como modelo avaliador para treinar com reforço. Separadamente, geraram respostas «seguras para a censura» sobre temas politicamente sensíveis (dissidentes, liderança partidária, autoritarismo) para treinar os seus modelos a contornar temas proibidos. Conseguiram vincular as contas a pesquisadores específicos do laboratório.
Moonshot AI / Kimi (~3,4 milhões de consultas): Foco em pensamento agente, trabalho com ferramentas, escrita de código, visão computacional. Centenas de contas falsas de diferentes tipos para camuflagem. Nas fases finais, tentaram reproduzir diretamente os raciocínios internos do Claude. Atribuição — através de metadados que coincidiam com os perfis públicos dos funcionários seniores da Moonshot.
MiniMax (~13 milhões de consultas): a campanha mais ambiciosa. O objetivo era a codificação de agência e a orquestração de ferramentas. Foi descoberta antes mesmo do lançamento do modelo de aprendizagem, o que deu uma visão completa do ciclo de vida do ataque. Quando a Anthropic lançou o novo modelo, o MiniMax redirecionou metade do tráfego para ele em 24 horas.
Como eles obtiveram acesso
A Anthropic não fornece acesso comercial ao Claude na China. Os laboratórios contornaram isso através de serviços proxy que revendiam o acesso à API. Esses serviços utilizam uma «arquitetura hidra» — redes de milhares de contas falsas que distribuem o tráfego por diferentes plataformas. Um desses proxies controlava mais de 20 000 contas simultaneamente, misturando tráfego de destilação com solicitações normais.
Por que isso é perigoso
Os modelos destilados não têm mecanismos de proteção — barreiras contra a geração de instruções sobre armas biológicas, ciberataques e desinformação. Essas capacidades podem cair nas mãos de sistemas militares, de inteligência e policiais de Estados autoritários. Ao abrir o código-fonte, o risco aumenta exponencialmente.
Além disso, tais ataques minam a lógica do controlo de exportação: o rápido progresso dos laboratórios chineses é erroneamente interpretado como prova da ineficácia das sanções, quando na verdade se baseia em grande parte em desenvolvimentos americanos roubados.
Medidas de resposta da Anthropic
- Detecção — classificadores e sistemas de análise comportamental para identificar padrões de destilação no tráfego API.
- Partilha de informações de inteligência — indicadores técnicos são transmitidos a outros laboratórios de IA, provedores de nuvem e autoridades.
- Reforço da verificação — rigorização da verificação de contas educacionais, de investigação e de startups.
- Contramedidas ao nível do modelo — redução da adequação dos dados de saída para destilação sem prejudicar os utilizadores comuns.
A Anthropic enfatiza: nenhuma empresa conseguirá lidar com isso sozinha — é necessária a coordenação da indústria, dos provedores de nuvem e dos reguladores.