會原 
Anthropicが、中国のAI企業3社による大規模な「蒸留(distillation)」攻撃を検出したとする内容を公式ブログで公表しました。The Vergeが伝えています。
告発の対象は、DeepSeek、Moonshot AI、MiniMaxの3社です。Anthropicによると、3社は合計で約2万4000の不正アカウントを通じて、同社のAIモデル「Claude」と1600万回を超えるやりとりをしていたとのことです。
蒸留とは、高性能なAIモデルの出力を利用して別のモデルの性能を引き上げる手法です。AI開発で広く使われる正当な技術ではあるものの、競合他社のモデルから無断で知識を抽出する不正利用の手段にもなり得ます。独自開発なら膨大な時間とコストがかかる能力を、短期間かつ低コストで手に入れられてしまうためです。
各社の利用規模には大きな開きがあります。Anthropicによれば、DeepSeekが15万回以上、Moonshot AIが340万回以上、MiniMaxが1300万回以上のやりとりをそれぞれClaudeと交わしました。3社はいずれも、エージェント推論やツール使用、コーディングといった差別化要素に関わる能力の抽出を狙っていたといいます。
Anthropicは、IPアドレスの相関やリクエストメタデータ、インフラ指標の分析などで各キャンペーンの帰属を高い確度で特定したと説明しています。MiniMaxのケースでは、Anthropicが新モデルを公開すると24時間以内に、蒸留目的のトラフィックの「ほぼ半分」を最新モデルの能力抽出へ切り替えたといいます。蒸留攻撃ではプロキシサービス経由でアクセスする例もあり、単一のプロキシネットワークが2万件超の不正アカウントを同時に管理し、蒸留目的の通信と無関係な顧客リクエストを混在させて検知を逃れようとするケースもあったそうです。
DeepSeekのキャンペーンでは、推論能力の抽出に加えて、政治的に敏感な話題について「検閲に抵触しない代替回答」を作らせるプロンプトも確認したとAnthropicは述べています。反体制派や党指導者、権威主義といったテーマを、検閲対象から外れる形で処理するよう自社モデルを訓練する狙いがあった可能性があるとも指摘しました。
今回の告発は、米国でAIチップの対中輸出規制をめぐる議論が続く時期とも重なります。Anthropicは、米国のAI分野での優位性維持のため輸出規制を一貫して支持してきたとし、蒸留攻撃の存在は規制の根拠を補強するとの考えです。利用規約の遵守だけでは防ぎきれない面があるとして、技術面と政策面の両輪での対応を呼びかけています。
