Anthropic đã phát hiện ra các chiến dịch quy mô lớn của ba phòng thí nghiệm AI Trung Quốc — DeepSeek, Moonshot AI và MiniMax — nhằm khai thác bất hợp pháp các khả năng của Claude để huấn luyện các mô hình của riêng họ. Phương pháp được sử dụng là chưng cất: mô hình kém hiệu quả hơn được huấn luyện dựa trên dữ liệu đầu ra của mô hình mạnh hơn. Bản thân phương pháp này là hợp pháp, nhưng trong trường hợp này, nó được sử dụng để đánh cắp các thành quả trí tuệ.
Quy mô: hơn 16 triệu yêu cầu thông qua khoảng 24.000 tài khoản giả mạo.
Những gì đã bị lấy cắp và ai đứng sau các cuộc tấn công
DeepSeek (~150.000 yêu cầu): Nhắm vào các luận điểm và chuỗi suy nghĩ (chain-of-thought), sử dụng Claude làm mô hình đánh giá để huấn luyện bằng cách củng cố. Riêng biệt — tạo ra các câu trả lời "an toàn cho kiểm duyệt" về các chủ đề nhạy cảm về chính trị (những người bất đồng chính kiến, lãnh đạo đảng, chủ nghĩa độc tài) để huấn luyện các mô hình của họ tránh các chủ đề cấm kỵ. Các tài khoản đã được liên kết với các nhà nghiên cứu cụ thể của phòng thí nghiệm.
Moonshot AI / Kimi (~3,4 triệu yêu cầu): Tập trung vào tư duy đại lý, làm việc với các công cụ, viết mã, thị giác máy tính. Hàng trăm tài khoản giả mạo các loại khác nhau để ngụy trang. Ở các giai đoạn sau, họ đã cố gắng tái tạo trực tiếp các suy luận nội bộ của Claude. Phân bổ — thông qua siêu dữ liệu trùng khớp với hồ sơ công khai của các nhân viên cấp cao của Moonshot.
MiniMax (~13 triệu yêu cầu): Chiến dịch quy mô lớn nhất. Nhắm vào mã hóa đại lý và phối hợp các công cụ. Đã được phát hiện trước khi phát hành mô hình có thể huấn luyện, cho thấy bức tranh toàn cảnh về vòng đời của cuộc tấn công. Khi Anthropic phát hành mô hình mới, MiniMax đã chuyển hướng một nửa lưu lượng truy cập sang mô hình này trong vòng 24 giờ.
Cách họ truy cập
Anthropic không cung cấp quyền truy cập thương mại vào Claude ở Trung Quốc. Các phòng thí nghiệm đã vượt qua điều này bằng cách sử dụng các dịch vụ proxy bán lại quyền truy cập vào API. Các dịch vụ này sử dụng "kiến trúc hydra" — mạng lưới gồm hàng nghìn tài khoản giả mạo, phân phối lưu lượng truy cập trên các nền tảng khác nhau. Một proxy như vậy đã quản lý hơn 20.000 tài khoản cùng một lúc, trộn lẫn lưu lượng truy cập chưng cất với các yêu cầu thông thường.
Tại sao điều này lại nguy hiểm
Các mô hình chưng cất không có cơ chế bảo vệ — hàng rào chống lại việc tạo ra các hướng dẫn về vũ khí sinh học, tấn công mạng, thông tin sai lệch. Những khả năng này có thể lọt vào các hệ thống quân sự, tình báo và cảnh sát của các quốc gia độc tài. Khi mã nguồn được mở, rủi ro sẽ tăng lên gấp nhiều lần.
Ngoài ra, các cuộc tấn công như vậy làm suy yếu logic kiểm soát xuất khẩu: sự tiến bộ nhanh chóng của các phòng thí nghiệm Trung Quốc bị hiểu nhầm là bằng chứng cho thấy các biện pháp trừng phạt không hiệu quả, trong khi thực tế nó phần lớn dựa trên các thành tựu bị đánh cắp của Mỹ.
Các biện pháp đối phó của Anthropic
- Phát hiện — các bộ phân loại và hệ thống phân tích hành vi để phát hiện các mẫu chưng cất trong lưu lượng API.
- Trao đổi thông tin tình báo — các chỉ số kỹ thuật được truyền cho các phòng thí nghiệm AI khác, các nhà cung cấp dịch vụ đám mây và các cơ quan chức năng.
- Tăng cường xác minh — thắt chặt việc kiểm tra các tài khoản giáo dục, nghiên cứu và khởi nghiệp.
- Các biện pháp đối phó ở cấp độ mô hình — giảm khả năng sử dụng dữ liệu đầu ra cho chưng cất mà không ảnh hưởng đến người dùng thông thường.
Anthropic nhấn mạnh: không có công ty nào có thể tự mình giải quyết vấn đề này — cần có sự phối hợp giữa ngành công nghiệp, các nhà cung cấp dịch vụ đám mây và các cơ quan quản lý.