Anthropic beschuldigt Alibaba des größten Claude-Destillationsangriffs: 28,8 Mio. Anfragen, Senat plant Sanktionen
Kurzfassung
Anthropic informierte den US-Senat über den bislang größten Destillationsangriff auf Claude: 28,8 Mio. Anfragen über 25.000 Fake-Konten in sechs Wochen, gezielt auf Claudes wertvollste Fähigkeiten. Kosten: wahrscheinlich unter 90.000 Dollar. Extrahierter Wert: um ein Vielfaches höher.
Bevor wir zu den Zahlen kommen, eine offene Frage zum Diskutieren: Anthropic bezeichnet das Abgreifen von API-Antworten als Angriff und fordert neue Gesetze. Aber dieselbe Technik, Destillation von leistungsstarken Modellen auf kleinere, ist in der Open-Source-Gemeinschaft seit Jahren gängige Praxis. Wo liegt die Grenze zwischen legalem Transfer Learning und illegalem Geistigen Eigentumsstahl? Ich habe in diesem Artikel keine abschliessende Antwort, und ich vermute, das Rechtssystem auch nicht. Falls ihr Argumente habt, die diese Grenze schärfer ziehen, gerne in die Kommentare.
Was in sechs Wochen geschah
Vom 22. April bis zum 5. Juni 2026 registrierte Anthropics System eine anhaltende Anomalie im API-Verkehr. Tausende von Accounts, geroutet über kommerzielle Proxy-Dienste, um Claudes Zugangsbeschränkungen für China zu umgehen, sendeten systematisch konstruierte Prompts, sammelten die Antworten und wiederholten den Vorgang.
Das Ergebnis: rund 25.000 Accounts mit insgesamt 28,8 Millionen Austauschen mit Claude in sechs Wochen. Diese Zahl übersteigt die kumulierte Menge der drei chinesischen KI-Labore, die Anthropic im Februar 2026 ähnlicher Praktiken beschuldigt hatte.
Anthropic übermittelte am 10. Juni einen Brief an den US-Senatsausschuss für Bankwesen, Wohnungsbau und Stadtentwicklung, mit Kopie an das Weisse Haus, und nannte als Verantwortliche Betreiber, die mit Alibabas Qwen-KI-Forschungsabteilung in Verbindung stehen. CNBC berichtete am 24. Juni erstmals über den Inhalt des Briefes.
Alibaba hat sich zu den Vorwürfen nicht geäussert.
Die Senatoren Bill Hagerty und Andy Kim kündigten an, einen Zusatzantrag zu zwingend verabschiedender Verteidigungsgesetzgebung einzubringen, der chinesische Unternehmen auf eine schwarze Liste setzen oder mit Sanktionen belegen würde, wenn sie unrechtmässig auf US-amerikanische KI-Modellausgaben zugreifen. Senatoren Ted Cruz und Maria Cantwell forderten in einer gemeinsamen Erklärung sofortige Massnahmen. Vorentwürfe sehen vor, die Ausgaben von Frontier-KI-Modellen als kontrollierte Technologieexporte einzustufen, ähnlich den Exportkontrollanforderungen für fortschrittliche Halbleiter.
Die gezielt adressierten Fähigkeiten waren klar definiert: Softwareentwicklungs-Kompetenz und agentisches Schlussfolgern, genau die Bereiche, in denen Anthropic kommerziell am stärksten aufgeholt hat.
Was hinter den Zahlen steckt
Zunächst eine grobe Kostenschätzung.
Claudes API-Preise lagen Anfang 2026 bei etwa 0,002 bis 0,004 Dollar pro Austausch. Bei 28,8 Millionen Anfragen belaufen sich die Gesamtkosten auf maximal 57.600 bis 115.200 Dollar. Alibabas jährliches KI-Forschungsbudget für Qwen-bezogene Projekte wird von Analysten auf über eine Milliarde Dollar geschätzt. Der Angriff kostete in etwa so viel wie ein grösseres Team-Event.
Die Gegenseite: Wenn Qwens nächstes Hauptrelease unverhältnismässig starke Verbesserungen bei Code-Generierung und agentischen Aufgaben zeigt, während andere Bereiche wie allgemeines Schlussfolgern oder Faktenwissen kaum besser werden, wäre diese Asymmetrie ein indirektes Signal. Beweisen lässt sich die Kausalität nicht, aber verfolgen lässt sie sich.
Die Zurechnungsfrage verdient mehr Aufmerksamkeit. Kommerzielle Proxy-Dienste werden von Millionen legitimer internationaler Nutzer verwendet. Anthropics Brief spricht von Betreibern, die mit Alibaba in Verbindung stehen, was in der juristischen Praxis erhebliche Ambiguität lässt.
Der rechtliche Rahmen für diese Art von Aktivität existiert schlicht nicht. The Next Web hat festgestellt, dass kein Gericht bisher geprüft hat, ob das systematische Abgreifen von API-Ausgaben einen Diebstahl geistigen Eigentums darstellt. Das Urteil des US Supreme Court in Oracle v. Google aus dem Jahr 2021 betraf API-Schnittstellenrechte, nicht den Inhalt von API-Antworten. Dass Anthropic aktiv neue Gesetze fordert, ist ein indirektes Eingeständnis, dass das geltende Recht diese Lücke nicht schliesst.
Auf der technischen Abwehrseite: Output-Wasserzeichen sind seit Jahren ein aktives Forschungsfeld, mit Patenten bei mehreren KI-Sicherheitsgruppen. Wenn in Trainingsdaten oder Modellausgaben von Qwen Wasserzeichen aus Claudes Ausgaben nachweisbar wären, wäre das Zurechnungsproblem lösbar. Diese Reife hat die Technologie noch nicht erreicht.
Was als nächstes zu beobachten ist
Das erste konkrete Signal ist Qwens nächstes Hauptrelease, das für Q3 2026 erwartet wird. Entscheidend ist, ob die Benchmark-Verbesserungen bei Programmieraufgaben und agentischen Tasks unverhältnismässig stark ausfallen im Vergleich zu Bereichen, die Anthropic nicht als Ziel des Angriffs genannt hat. Eine 20- bis 30-prozentige Verbesserung beim Coding bei gleichzeitig flacher Kurve bei Mathematik oder Faktenwissen wäre mit gezielter Destillation vereinbar, ohne sie zu beweisen.
Der zweite Indikator ist der tatsächliche Verlauf der vorgeschlagenen Gesetzgebung. API-Ausgaben als kontrollierte Technologieexporte einzustufen stösst auf ein technisches Vollzugsproblem: Ein API-Gateway kann in Echtzeit nicht feststellen, ob eine Anfrage von einer chinesischen Entität kommt. Geografische Sperren werden von Proxy-Diensten umgangen, wie dieser Fall zeigt. Wenn die endgültige Fassung des National Defense Authorization Act nur Richtungsvorgaben enthält, aber keine durchsetzbaren Sanktionen, wird diese Lücke relevant.
Das dritte Signal: ob OpenAI und Google innerhalb der nächsten 90 Tage ähnliche Beschwerden beim Kongress einreichen. Anthropics Brief ist jetzt eine Vorlage, die nachweislich legislativen Druck erzeugt. Mehrere gleichlautende Beschwerden würden den Rahmen von einer einzelnen Unternehmensklage in ein systemisches Muster verschieben.
Wenn dieser Artikel hilfreich war, abonniere den Newsletter für wöchentliche KI-PM-Einblicke.
Weiterführende Quellen:
Verwandte Artikel
Anthropic fordert globalen KI-Stopp: Rekursive Selbstverbesserung rückt näher als gedacht
Claudes Aufgabenhorizont verdoppelt sich alle vier Monate. Anthropics Ingenieure liefern achtmal mehr Code als vor fünf Jahren. Das Unternehmen kurz vor seinem Milliarden-IPO fordert einen globalen Pause-Mechanismus.
Project Fetch Phase 2: Claude Opus 4.7 programmiert Roboterhund 37-mal schneller, der Ball bleibt liegen
Anthropic Project Fetch Phase 2: Claude Opus 4.7 schrieb autonom Steuercode für einen Roboterhund 37-mal schneller als das beste menschliche Team ohne KI-Unterstützung, mit einem Zehntel der Codezeilen. Der Roboterhund holte den Ball trotzdem nicht. Das Ergebnis ist Meilenstein und ehrliche Grenzmarkierung zugleich.