Anthropic、「AlibabaがClaude AIモデルの能力を違法に抽出した」
(reuters.com)- 米上院のAI公聴会を前に、AnthropicはAlibaba関連の活動が自社を標的とした同種の攻撃の中で 最大規模 だったと主張
- 中核的な手法は、より強いモデルの出力で弱いモデルを学習させる 蒸留(distillation) で、Anthropicは中国がMythos Preview級の能力により早く到達し得ると見ている
- 2026年4月22日から6月5日までにClaudeとのやり取りが 2,880万件以上 発生し、詐欺アカウントは約2万5千件だったと明らかにした
- Anthropicは、運営主体がAlibabaおよびAI研究所 Alibaba Qwen に連なると主張しており、AlibabaはReutersのコメント要請に直ちには応じなかった
- Anthropicは、米政府と民間AI企業の 脅威情報共有 と共同対応を支持する一方、同時期に自社のMythos・Fableモデルにもアクセス制限が課された
Alibaba関連の違法抽出疑惑
- Anthropicは、中国の技術・電子商取引企業 Alibaba がClaude AIモデルの能力を違法に抽出したと、米上院に送った書簡で主張
- Reutersが確認した書簡によれば、Anthropicは今回の活動を自社が確認した同種の攻撃の中で 最大規模 と判断
- AlibabaはReutersのコメント要請に直ちには応じなかった
蒸留手法と攻撃規模
- Anthropicは当該活動を 蒸留(distillation) の試みと規定
- 蒸留は、より強力なモデルの出力で、比較的弱いモデルを学習させる手法
- キャンペーン期間は 2026年4月22日〜6月5日
- この期間、Claudeを相手にしたやり取りは 2,880万件以上 と集計
- 使用された詐欺アカウントは約 2万5千件
- Anthropicは、蒸留が中国によるAnthropicの高度な Mythos Preview 能力への到達を早める方法だと見ている
Alibaba Qwenとの関連主張と書簡の受取人
- Anthropicは、このキャンペーンがAlibabaおよびAlibabaのAI研究所 Alibaba Qwen に関連する運営者によって実行されたと主張
- 書簡の日付は 6月10日
- 受取人は、米上院銀行委員会の委員長と筆頭委員である Tim Scott および Elizabeth Warren
- この書簡は、予定されていた AI公聴会 を前に送られた
以前の中国AI研究所の事例
- Anthropicは2026年2月にも、中国のAIスタートアップ DeepSeek と他の中国AI研究所2社が、Claude AIプラットフォームから能力を違法に抽出しようとしたキャンペーンを特定したと明らかにしていた
- 当時Anthropicが示した規模は以下の通り
- DeepSeek: 15万件以上のやり取り
- Moonshot AI: 340万件以上
- MiniMax: 1,300万件以上
- Anthropicは当時、こうしたキャンペーンの 強度と巧妙さ が増しており、業界・政策立案者・グローバルAIコミュニティによる迅速で協調した対応が必要だと述べていた
米政府の措置とAnthropicモデルの制限
- Anthropicは、米政府の対応努力を支持すると表明
- 民間AI企業との 脅威情報共有
- その他の共同対応活動が含まれる
- 2026年4月、ホワイトハウスは中国が米AI研究所の知的財産を 産業規模 で盗んでいると非難
- Alibabaは同月、米国防総省の 中国軍事企業リスト に追加され、Alibabaはこの指定を争っている
- 米商務省は、DeepSeekが政府合同委員会で国家安全保障リスクと見なされていたにもかかわらず、Beijingとの緊張激化を避けようとして、貿易ブラックリストへの掲載を保留
- Anthropicが書簡を送ってから2日後の 6月12日、米商務省はAnthropicの最新 Mythos および Fable AIモデルに制限を課した
- 当局は、これらのモデルが中国およびその他の懸念国の軍事情報利用者に配備され得ると懸念
- この制限により、Anthropicは当該モデルへのアクセスを 全世界で無効化 した
1件のコメント
Hacker Newsの意見
これを置いておく: 「AnthropicがLibGenのような海賊サイトから700万冊を超える本をダウンロードしたことは侵害だと裁判官が判断し、Anthropicの『研究目的』という抗弁も退けられた。『研究目的があると自分でお墨付きを与えたからといって、欲しい教科書を何でも持っていけるわけではない。』」
https://www.joneswalker.com/en/insights/blogs/ai-law-blog/wh...
蒸留には基本的に2種類ある。1) 質問を投げて答えを強化信号として使う大規模で雑な方式(ブラックボックス)、2) あるモデルが別のモデルを直接教え、学習させ、誘導する、より標的を絞った蒸留(RLAIF)
後者は実質的に、別のモデルの方向づけを使ってモデルをファインチューニングすることだ。多くの企業が毎日この方法でファインチューニングしている。中国の研究所もほぼ確実にこの方式を使っているはずで、単純な質問への単純な回答をかき集めるより、最終結果にずっと効果的だからだ
こうした蒸留への不満は、問題を実際以上に大きく見せようとしているもので、目的は保護主義的に米国政府に中国のモデル提供者を阻止または禁止させることにあるように見える。すでにチップ輸出規制の強化を求めていたが、DeepSeek v4がHuaweiのチップで動くよう設計されており、他の中国企業もそれに追随している点を考えると滑稽だ。だがそれを露骨には言えないので、蒸留モデルは自分たちのモデルほど安全ではないかもしれないから輸出規制をさらに強化すべきだと主張する。実際に自社モデルの安全装置を回避する脱獄を示されると、どんなモデルでも結局は脱獄できるのだから安全性は心配するなと言うのだろう
2) すべての脱獄に免疫を持つ大規模言語モデルを作ることは不可能である。これについても反証となる信頼できる証拠はないので、Anthropicは完全に正しい
1が誤りなら脱獄の詳細を公開すればよい。supposedly Fable 5でしか動作しないのだから、現実的な危険もない
2が誤りなら、別の大規模言語モデル研究所がすでに実現しているはずだ。複数の政府が、その種のプロジェクトに市場があることを明確にしているのだからなおさらだ
根本的に、人工知能モデルを有用なまま保ちながらこれを防ぐのは非常に難しい
1980年代後半、Steve JobsがMacのGUIを真似されたと不満を言っていた逸話を思い出す。本人はXerox AltoとStar OSで行われた仕事を公には認めていなかった
「俺がすでに盗んだものを、お前が盗もうとしてるんだろ!」
インターネット全体をクロールして巨大な大規模言語モデルを作っておきながら、コピーされたと文句を言っているようなものだ
情報は本当に自由になりたがっているが、AI企業は門番になりたがっている。長期的には、より持続可能なアプローチであるオープンウェイトが勝つと思う
Anthropicが「Claude AIモデルの能力を違法に抽出した」と不満を述べ、中国が「米国のAI研究所の知的財産を産業規模で盗んでいる」というホワイトハウスの非難を支持しているのは、本当に滑稽だ
Anthropic、OpenAI、Google、Microsoftなどは、手当たり次第にコンテンツを収集し、著作権者の権利を無視してモデルを学習してきた。今になって、そのうちの1社が、自分たち全員がやってきたことを他者がしたら不当だと叫んでいるのか
今起きているのはこういうことだ。中国のリセラーが、公式のAnthropic API価格より70〜90%安い価格でClaudeトークンを提供している。彼らはClaude Maxアカウントをプールして容量を再販し、決済詐欺を使い、モデル出力と推論チェーンを複数の中国研究所に転売することでそれを実現している。ユーザーログと推論の痕跡を受け取る見返りにモデルへのアクセスを補助し、それを学習データとして売ることで原価割れでも運営できる
ClaudeとChatGPTはどちらも中国でブロックされている。アクセスにはVPNが必要で、中国の銀行カードでは支払えない。そのためClaudeへのアクセスを望む大半の人はリセラー経由でアクセス権を買う。中国でAnthropicモデルにアクセスする最も簡単で安い方法だ
これらのリセラーは数万件のボットアカウントを運用しており、Anthropicがボット攻勢を遅らせるために本人確認を導入した理由もここにある
あるトークンリセラーは、Opus 4.8を公式API料金より93%引きで提供している: https://yunwu.ai/pricing?provider=Anthropic
これがDeepSeekやGLMの価格があれほど安い理由の一つだ。中国で信じられないほど低いトークン価格と競争しなければならないので、人に使ってもらうには価格を低く保つ必要がある
数か月前にもこの話を共有したが、ほとんど反応はなかった。中国のトークン再販経済を説明するすばらしい記事だ: https://www.chinatalk.media/p/how-to-buy-cheap-claude-tokens...
Anthropicが競争したいなら、自分たちの仕事をもっとうまくやるべきだとも学んだ。さもなければ誰かが勝つ
今や巨大な米国企業にはこの原則が適用されないのか
DeepSeekとGLMはオープンウェイトであり、米国の推論プロバイダーもずっと安い価格で売っている。価格が安いのは、モデルの方がより効率的だからだ
そうでないなら、「Anthropic/OpenAIが1,000ドル分のトークンを100ドルで売って大損している」という、AI弱気論者がよく持ち出す話のように聞こえる
Alibabaの行為は「蒸留」の試みとして説明されており、Anthropicはそれを、より強いモデルの出力でより弱いモデルを学習させることだと述べた
Claudeは、許可なくテラバイト級のコンテンツを使って自分のモデルを学習させ、それは問題ないとしていた。今になって、誰かがClaudeモデルの出力を使ってモデルを学習させると不当だと叫んでいる
Anthropicが学習データの出所を公開し、なぜ自分たちには反芻された学習データを顧客に有料提供する権利があるのに、Anthropicモデルで自分のモデルを学習したAlibabaにはそれがないのかを説明しなければならない裁判が楽しみだ
面白そうだ
Anthropicの行動はパフォーマティブなジェスチャーのように見える。他の人たちも、すでにその対象読者が誰かを推測していた
いったい何が違法だというのか
法的には、モデル出力は国内法であれ国際法であれ知的財産権として保護されえない。期待できる最大限は民事上の救済だが、自分たちがモデル学習に使ったやり方自体が文字通り違法だったことを考えれば、それすら無理だ
Anthropicは、自分たちが皆にしてきたのとまったく同じやり方で扱われただけだ。自分で作ったベッドなのだから、今はそこで寝るしかない
Alibabaの行為は、より弱いモデルをより強いモデルの出力で学習させる「蒸留」と呼ばれているが、何が悪いのか分からない。
Anthropicによれば、このキャンペーンは2026年4月22日から6月5日まで行われ、ほぼ25,000件の不正アカウントを通じてClaudeとの2,880万件を超えるやり取りが生成されたという。
何がそのアカウントを不正にするのか。合意された価格を払ったなら問題ないのではないか。金を払っていないなら、なぜAnthropicはサービスを提供したのか
蒸留は根本的には防げない。できるのは遅らせることだけだ。反論してみてほしい。
結局、中国企業はHoneyのような拡張機能を出して、実際の非中国系顧客の上に乗って、どうせすべてを中国に送ることになる。
終わりだ
ただしAI研究所は、潜在的な蒸留にさらされる形でモデルを公開しなくても、引き続き莫大な経済的価値を生み出せる。たとえば、モデルを社内でのみ使って治療薬を開発できる。
いつか他の人たちも最先端モデルにアクセスできる未来があってほしいとは思うが、蒸留による拡散を防ぐことのほうが重要だと判断されるなら、必須ではない。
[1]: https://dualuse.dev/posts/export-controls-on-fable の蒸留関連の参考
要するに、技術的な解決策はないかもしれないが、理論上は 政治的な解決策 があり得るということだ
Berkeleyの「False Promise of Imitating Proprietary LLMs」も、模倣はスタイルの差は素早く縮めるが、能力の差 は大きく残ると見ている。
https://arxiv.org/abs/2305.15717