← 返回文章列表

Anthropic 指控阿里巴巴「最大規模蒸餾攻擊」Claude:2880 萬次對話、估計成本 $8.6 萬,鎖定最值錢的能力

Nils Liu
Anthropic Alibaba AI Security Model Distillation Qwen Claude China-US AI AI Regulation

重點摘要

Anthropic 向美國參議院指控阿里巴巴以 2.5 萬個假帳號對 Claude 發動史上最大規模蒸餾攻擊,六週內完成 2880 萬次對話,定點蒸餾 Claude 最值錢的軟體工程與自主代理能力。攻擊成本可能低於 $9 萬,卻撬動了數億美元的模型訓練競爭優勢。

Anthropic 指控阿里巴巴「最大規模蒸餾攻擊」Claude:2880 萬次對話、估計成本 $8.6 萬,鎖定最值錢的能力

讀完 Anthropic 提交給參議院的文件,有一個核心問題一直沒有答案:這份指控能不能在法庭上成立?「API 輸出物被用作訓練資料」在現行美國法律框架下,到底算違約、算商業機密侵害、還是完全合法的技術蒐集行為?如果你在 API 安全、AI 法律或資料合規領域工作,歡迎把你的判斷帶進來,這篇文章沒有試圖回答這個問題。


六週之內發生了什麼

2026 年 4 月 22 日到 6 月 5 日,大約六週時間,Anthropic 的系統偵測到一批異常 API 活動。大量帳號透過商業代理服務繞過 Claude 的中國地區存取限制,系統性地對 Claude 發出精心設計的提示,收集回應,然後繼續下一批。

這批帳號總數大約 2.5 萬個,合計交換了 2880 萬次對話,超過 Anthropic 在 2026 年 2 月指控的三個中國 AI 實驗室的蒸餾量加總。Anthropic 在 6 月 10 日以信函形式告知參議院銀行委員會,同時副本知會白宮,點名幕後操盤者為阿里巴巴旗下的 Qwen AI 研究部門。

阿里巴巴對此沒有回應。

6 月 24 日,CNBC 率先報導這封信的內容。參議員 Bill Hagerty 和 Andy Kim 隨即宣布,將在必須通過的國防授權法案中推動修正案,條文草稿的方向是把美國前沿 AI 模型的輸出物列為受控技術出口品,適用類似出口管制半導體的授權要求。Senators Ted Cruz 和 Maria Cantwell 則聯合發表聲明,要求「立即採取行動」。

這些帳號鎖定蒸餾的目標極為精準:軟體工程能力自主代理任務推理,Anthropic 目前在企業市場最有競爭力的兩個賣點。通識問答和數學推理沒有被特別點名。

數字背後的真相

先做一個粗算。

Claude API 在 2026 年上半年的定價,每次 API 交換按平均輸入輸出計算大約在 $0.002 到 $0.004 之間。2880 萬次對話,最高成本估算大約 $8.6 萬到 $11.5 萬美元。阿里巴巴每年在 Qwen 相關研究上的投入按分析師估計在十億美元以上,這場攻擊的花費大概等於一次兩百人的工程師年會。

換到另一側來看。如果 Qwen 的下一個主要版本在程式碼生成和代理任務兩個維度的 benchmark 分數出現不成比例的跳升,而其他推理能力沒有相應提升,那這個不對稱就是可以觀察到的間接證據。目前沒有人能獨立驗證蒸餾攻擊直接改善了多少,包括 Anthropic 自己也沒辦法。

關於歸因的問題要說清楚。代理服務被大量商業用戶使用,$0 到 $200 月費可以買到企業級代理池。25,000 個帳號的行為模式看起來系統性,但從帳號登記到代理 IP,沒有一條鏈直接連回阿里巴巴的伺服器。Anthropic 的信函說是「與阿里巴巴及其 AI 實驗室有關聯的營運商」,這個用詞在法律上留了相當大的模糊空間。

蒸餾作為技術手法本身在法律上的定性也沒有先例。2015 年美國最高法院在 Oracle 對 Google 的判決裡認定 API 介面本身可以受版權保護,但 API 回應的內容是否受到相同保護,完全沒有被測試過。Anthropic 提交給參議院的文件明確要求立法,說明 Anthropic 自己也清楚現行法律沒辦法直接處理這個問題。

技術防禦的現實是:輸出水印技術已經有多年研究歷史,幾家主要的 AI 安全研究機構包括 Google DeepMind 都有相關專利。如果水印能在法庭上被接受為歸因證據,整個局面就會不同。現在這一步還沒到。

接下來值得觀察的指標

第一個指標是 Qwen 的下一個主要版本,預計在 2026 年 Q3 發布。重點看兩件事:軟體工程 benchmark 和代理任務成功率的提升幅度,相對於 Qwen 在數學推理和知識問答這些沒有被點名蒸餾的領域提升幅度是否不對稱。如果程式碼和代理任務明顯領先其他項目,這個不對稱是值得追蹤的信號,即使它不能構成法律證明。

第二個指標是立法進度。把 API 輸出物列為受控技術出口品,技術執行層面的問題比政治障礙更大。API 閘道沒辦法在請求進來的時候確認呼叫者是否中國實體;地理封鎖可以被代理服務繞過,就像這次一樣。如果到 2026 年底,相關條文在國防授權法案的最終版本裡仍然停留在「方向性聲明」,沒有具體罰則條款,說明立法者也意識到執行層面的困難。

第三個是 OpenAI 和 Google 是否會在未來 90 天內提交類似指控。Anthropic 的參議院信函現在等於是一個模板,且已被證明能有效獲得立法者的關注。如果其他 AI 實驗室跟進,整個態勢就從「一個公司的投訴」變成「系統性的中美 AI 情報戰敘事」,這個轉變對立法速度和外交談判桌的籌碼影響都很大。

如果這篇對你有幫助,訂閱電子報 可以第一時間收到 AI PM 實戰洞察與 GenAI 落地案例。

延伸閱讀:

訂閱最新分享

加入電子報,第一時間獲取關於金融 AI Agent 實戰與架構設計的最新文章。不訂閱你會慢別人一個週期!

絕不發送垃圾信。隨時皆可取消訂閱。