Anthropic、中国AI企業によるClaudeへの不正な蒸留攻撃の検知と対応を公開

Anthropicは、DeepSeek、MiniMax、Moonshot AIの中国AI企業3社がClaudeの能力を不正に抽出していたと正式に発表しました。

攻撃規模
3社は合計24,000件の偽アカウントを作成し、Claudeと1,600万件を超える対話を生成しており、これはAnthropicの利用規約と地域アクセス制限に明確に違反するものです。

各社の特徴は次のとおりです。DeepSeekは15万件を超える対話を通じて、基礎的な論理およびポリシーに敏感なクエリに関する能力の確保に集中しました。MiniMaxは全体の80％超にあたる1,300万件を生成し、エージェント型コーディング、ツール利用、オーケストレーションに重点を置き、Anthropicはこれをリアルタイムで検知してMiniMaxがモデルを公開する前に把握しました。特にAnthropicが新モデルを公開すると、MiniMaxは24時間以内にトラフィックの半分を新モデルへ切り替える機敏さを見せました。

攻撃手法
中国国内では国家安全保障上の理由からClaudeへのアクセスが遮断されているため、数万件の偽アカウントを運用するプロキシサービス（“hydra cluster”アーキテクチャ）を通じて迂回しました。単一のプロキシネットワークが20,000件を超える偽アカウントを同時運用した事例もあり、検知を困難にするため一般ユーザーのトラフィックと混在させて送信していました。

Anthropicの対応
行動ベースの検知（behavioral fingerprinting）や、チェーン・オブ・ソート抽出パターン検知などの分類器を構築し、技術指標を他のAI企業・クラウドプロバイダー・関係当局と共有しています。また、教育アカウントやスタートアップアカウントなど、偽アカウント開設に頻繁に悪用される経路の認証を強化しました。

国家安全保障の観点
Anthropicはこれを単なる規約違反ではなく、国家安全保障上の脅威と位置づけました。不正に蒸留されたモデルは、生化学兵器開発の防止やサイバー攻撃の遮断といった安全装置が取り除かれる可能性が高く、これは米国のAI輸出規制政策を無力化すると主張しました。「どの企業も単独では解決できない」として、業界、クラウドプロバイダー、政策立案者による共同対応を呼びかけています。
先立ってOpenAIもDeepSeekの類似行為を議会に通報しており、米国AI産業全体での共同対応の議論が本格化するとみられます。