2026 年 2 月 23 日,美国 AI 公司 Anthropic 在官方博客发出了一篇义正言辞的声明,指控三家中国 AI 实验室 DeepSeek、月之暗面(Moonshot AI)和 MiniMax 对其旗下 Claude 模型发动了“工业级别的蒸馏攻击”。
据 Anthropic 描述,这三家公司通过约 24,000 个虚假账户,与 Claude 进行了超过 1,600 万次对话交互,意在提取 Claude 的核心能力来训练自家模型。声明措辞严厉,将此事上升到“国家安全”的高度,声称被蒸馏出的模型可能被“威权政府”用于网络攻击、虚假信息传播、军事用途和大规模监控。
先解释一下“蒸馏”(Distillation)到底是什么。在机器学习领域,知识蒸馏(Knowledge Distillation)最早由 Hinton 等人在 2015 年提出,本意是让一个更小的“学生模型”通过学习一个更大、更强的“教师模型”的输出来获得能力。简单理解:你问一个聪明的 AI 一堆问题,把它的回答记录下来,再拿这些回答去训练另一个 AI。
这个方法在行业里极其普遍,Anthropic 自己也承认,前沿 AI 公司“经常蒸馏自己的模型来制作更小、更便宜的版本供客户使用”。艾伦人工智能研究所的训练后负责人 Nathan Lambert 在 Interconnects 上发表的分析文章指出,今天所说的“蒸馏”实际上更接近于合成数据生成,即用一个模型的 API 输出去训练另一个模型,这是目前 AI 研究人员日常改进模型时最常用的方法之一。
Anthropic 在声明中声称蒸馏本身合法,但竞争对手拿你的模型输出来训练他们自己的模型就是“非法的”。听起来有点道理。问题是,你用来训练 Claude 的那些数据,又是从哪里来的?
2025 年 9 月,Anthropic 刚刚以 15 亿美元的天价和解了美国历史上规模最大的版权诉讼案(Bartz v. Anthropic)。原告指控 Anthropic 从 Library Genesis 和 Pirate Library Mirror 等盗版图书网站下载了超过 700 万本书来训练 Claude。
联邦法官 William Alsup 在判决中明确认定,使用合法获取的图书来训练 AI 可以被视为“转化性合理使用”,但从盗版网站下载图书这一行为“本质上、不可挽回地构成侵权”。
最终 Anthropic 按每本书约 3,000 美元的标准,为大约 50 万部作品支付了赔偿,同时承诺销毁从盗版来源获取的数据库。而这笔钱对于一家估值已经达到 3,800 亿美元的公司而言,与其说是惩罚,不如说是做生意的成本。
2026 年 1 月,以 Concord Music Group 和环球音乐集团为首的音乐出版商又对 Anthropic 提起了新诉讼,指控其非法下载了超过 20,000 首受版权保护的歌曲,索赔金额高达 30 亿美元。此外,2025 年 6 月,Reddit 也起诉 Anthropic,指控其在未经许可的情况下抓取了 10 万多条帖子和评论来微调 Claude。
所以当 Anthropic 站出来义愤填膺地说“中国公司偷了我们的东西”时,互联网上的反应可想而知。
X 平台上 Anthropic 那条获得了 1,300 万浏览量的声明帖下面,很快就出现了社区笔记(Community Notes),内容是:Anthropic 曾以 15 亿美元和解了一桩因从盗版库下载 700 多万本书训练 Claude 而引发的诉讼,同时还面临一桩因盗版 2 万多首歌曲而起的 30 亿美元索赔。科技媒体《The Register》在其报道的标题里就讽刺道:《Anthropic 指控中国 AI 实验室盗用内容 - 就像它自己做的一样》。
埃隆·马斯克(Elon Musk)更是在 X 直接连发数贴开大嘲讽,作为 Anthropic 的直接竞争对手 xAI 的老板,马斯克在 X 上转发了 Mark Kretschmann 批评 Anthropic 的帖子,只留下一个词:“MisAnthropic”(反人类的)。
两周前,Anthropic 宣布以 3,800 亿美元估值完成 300 亿美元融资时,Musk 就曾炮轰 Anthropic 的 AI 模型“仇恨白人和亚裔”,称之为“厌世且邪恶的”。
这次蒸馏指控一出,马斯克更加不客气,直接写道:“Anthropic 在大规模窃取训练数据方面有罪,且不得不为其盗窃行为支付数十亿美元的和解金。这是事实。”有人发推质疑 Anthropic 的模型居然用别人偷来的代码训练、然后反过来指责别人偷自己,马斯克直接讽刺道:“怎么敢偷 Anthropic 从人类程序员那里偷来的东西?”
再看看 Anthropic 声明中具体指控的内容。DeepSeek 被归咎的交互量是 15 万次,Moonshot 约 340 万次,MiniMax 最多,超过 1,300 万次。即便这些数字属实,15 万次对话在训练一个大语言模型的规模上也几乎可以忽略不计,Nathan Lambert 在其博文中表示,“看起来他们只是在用一些评分标准做实验,还有一些关于敏感查询的小规模测试。
这对 DeepSeek 传闻已久的 V4 模型影响微乎其微。”真正大规模的是 MiniMax 的 1,300 万次和月之暗面的 340 万次。Lambert 估算,如果每次交互产生 1 万到 2.5 万个 token,仅这两家的总量就达到 1,500 亿到 4,000 亿个 token,确实可以对模型的后训练(post-training)产生有意义的影响。
但 Lambert 也指出,单纯拿到 Claude 的输出并不意味着就能直接用:AI 研究社区已经多次发现,从特定教师模型获取的输出有时会让学生模型变得更差。数据之间存在微妙的交互作用,让这种跨模型蒸馏本质上仍然是一个研究问题,远不是“复制粘贴作业”那么简单。
更何况,在强化学习(Reinforcement Learning,RL)日益成为训练前沿模型核心方法的时代,你需要模型自己进行大量推理生成,不能直接用别人的生成结果来替代,这进一步限制了蒸馏的实际效用。
来自新加坡南洋理工大学的人工智能教授 Erik Cambria 在接受 CNBC 采访时指出,“合法使用与对抗性利用之间的界限通常是模糊的”。这是一个行业性问题,而非单纯的中美对抗叙事。
Claude 自己似乎也在用行动“坐实”了蒸馏的存在。就在 Anthropic 发布声明前后,多名用户在第三方平台上发现,当用中文问 Claude Sonnet 4.6“你是什么模型”时,它会自信地回答:“我是 DeepSeek-V3,由深度求索(DeepSeek)公司开发的 AI 助手。”有用户直接通过 API 调用得到了类似结果,Claude 在 JSON 返回中声称自己是“由 DeepSeek 开发的智能助手”。
Anthropic 自己也在推文中写道:“蒸馏可以是合法的:AI 实验室用它为客户创建更小、更便宜的模型。但是,国外实验室非法蒸馏美国模型可能会移除安全防护措施,将模型能力输入到他们自己的军事、情报和监视系统中。”前半句承认蒸馏是行业通行做法,后半句立刻把同样的技术贴上“国家安全威胁”的标签,区分标准只有一个:做这件事的人是不是美国公司。
更何况,DeepSeek、月之暗面、MiniMax 的模型是否用在军事用途尚无定论,而 Anthropic 自身与美国军方的合作早已公开。早在 2025 年 7 月,他们就宣布与美国国防部签订价值 2 亿美元的上限合同,通过原型开发和直接协作来提升国家安全和负责任 AI 部署;8 月又成立国家安全与公共部门顾问委员会,由两党国防、情报和政策专家组成,帮助支持美国政府及其盟友保持 AI 领导地位。
但最近几周,矛盾升级:据 Axios 和 Politico 报道,2026 年 2 月中旬,五角大楼向 Anthropic 发出最后通牒,要求在 2 月 27 日前移除 Claude 模型上的安全限制供军方无限制使用,否则面临供应链风险标签、合同终止甚至黑名单。而 Anthropic 在此时发出这纸诉状,无非是借地缘政治为自己争取谈判空间,试图通过强调对华竞争来赢得国会支持,缓和自身压力。
因此,Anthropic 这篇声明的真正目标读者可能不是 X 上的网民,也不是 AI 研究社区,而是华盛顿的政策制定者。在 OpenAI 和 Anthropic 前后脚发出警告的语境下,“中国 AI 实验室通过蒸馏窃取美国技术”这个叙事正在被有意打造成收紧出口管制的论据。
Anthropic 在声明中明确写道:“蒸馏攻击因此强化了出口管制的理由:限制芯片获取既能限制直接的模型训练,也能限制非法蒸馏的规模。”这段话的政策游说意味相当明显。
问题是,当你自己刚因为从盗版网站下载 700 万本书训练模型而赔了 15 亿美元,当你还面临 30 亿美元的音乐侵权诉讼和 Reddit 的数据抓取指控,还跳出来痛斥别人“窃取”你的模型输出,那也遭到群嘲也就不奇怪了。
参考资料:
1.https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks
2.https://www.theregister.com/2026/02/24/anthropic_misanthropic_chinese_ai_labs/
3.https://www.interconnects.ai/p/how-much-does-distillation-really
运营/排版:何晨龙
热门跟贴