AI

Как DeepSeek, Moonshot и MiniMax воровали Claude

Anthropic обнаружила масштабные кампании дистилляции: DeepSeek, Moonshot и MiniMax выкачивали возможности Claude через 24 000 фейковых аккаунтов.

Pavel Matveev

Pavel Matveev

3 min read
Как DeepSeek, Moonshot и MiniMax воровали Claude
TL;DR: Anthropic поймала три китайские лаборатории — DeepSeek, Moonshot и MiniMax — на систематической краже возможностей Claude. Через 24 000 фейковых аккаунтов они провели больше 16 миллионов запросов, выкачивая reasoning, agentic-мышление и кодинг. Всё это — чтобы обучить свои модели на чужих ответах.

Anthropic опубликовала отчёт, в котором прямо называет три AI-лаборатории, занимавшиеся «дистилляцией» Claude в промышленных масштабах. Если коротко — DeepSeek, Moonshot (создатели Kimi) и MiniMax месяцами гоняли через API Claude миллионы запросов, собирая ответы для обучения собственных моделей. И делали это через прокси-сервисы и поддельные аккаунты, потому что у Anthropic нет коммерческого доступа для Китая.

Что такое дистилляция и почему это проблема

Дистилляция — это метод обучения, при котором слабая модель учится на ответах сильной. Сама по себе техника легальная: все крупные лаборатории используют её, чтобы делать компактные версии своих моделей. Проблема начинается, когда конкурент выкачивает твою модель, чтобы ускорить свою разработку.

Это как если бы кто-то скопировал конспект отличника, переписал своим почерком и сдал как свою работу. Только в масштабах индустрии стоимостью в сотни миллиардов долларов.

Anthropic считает, что главная угроза даже не в коммерческих потерях. Дистиллированные модели теряют защитные фильтры, которые не дают использовать AI для создания биооружия или кибератак. А когда такую модель выкладывают в open source, всё это расходится бесконтрольно.

DeepSeek: 150 000 запросов и генерация цензуры

DeepSeek провёл, пожалуй, самую хитрую кампанию. 150 000 запросов — это немного на фоне остальных, но содержание впечатляет.

Во-первых, они просили Claude проговорить цепочку рассуждений по уже готовому ответу — фактически генерировали chain-of-thought данные для обучения. Во-вторых, использовали Claude как «учителя-оценщика» — модель выставляла оценки по рубрикам, что нужно для reinforcement learning.

Но самое интересное — DeepSeek заставлял Claude генерировать «безопасные для цензуры» ответы на политически чувствительные вопросы. Вопросы о диссидентах, партийных лидерах, авторитаризме. По сути, они тренировали свою модель уходить от неудобных тем, используя для этого американскую модель.

Anthropic утверждает, что по метаданным запросов удалось вычислить конкретных исследователей из DeepSeek.

Moonshot: 3,4 миллиона запросов через сотни аккаунтов

Moonshot AI (те самые, что делают Kimi) действовали масштабнее. 3,4 миллиона запросов через сотни фейковых аккаунтов на разных платформах — API, облачные сервисы.

Целились в agentic reasoning, tool use, computer use и компьютерное зрение. Короче, во всё, чем Claude выделяется среди конкурентов в сфере AI-агентов.

Вычислили их через метаданные запросов, которые совпали с публичными профилями руководителей Moonshot. Позже Moonshot переключился на попытки вытащить reasoning traces Claude, то есть внутренние рассуждения модели.

MiniMax: 13 миллионов запросов и пойманы «на горячем»

MiniMax — рекордсмен по объёму: 13 миллионов запросов, направленных на agentic coding и tool use.

Самое любопытное — Anthropic обнаружила эту кампанию до того, как MiniMax выпустил обученную модель. Они буквально видели весь цикл: от генерации данных до запуска продукта.

И вот ещё деталь: когда Anthropic выпустила новую модель прямо во время активной кампании MiniMax, те за 24 часа перекинули почти половину трафика на свежую версию. Ну, в оперативности им не откажешь.

Как прокси-сервисы помогают обходить ограничения

Anthropic не продаёт доступ к Claude в Китае. Поэтому лаборатории работают через прокси-сервисы, которые перепродают доступ к API.

Anthropic называет это «архитектурой гидры». Сети из тысяч фейковых аккаунтов, трафик размазан по API и облачным платформам. Забанили один аккаунт, на его место тут же встаёт новый. В одном случае единственная прокси-сеть держала 20 000 аккаунтов одновременно, подмешивая дистилляцию к обычным запросам для маскировки.

Отдельный запрос может выглядеть абсолютно нормально. Вот пример, который приводит Anthropic:

«Ты — эксперт-аналитик данных, сочетающий статистическую строгость с глубоким знанием предметной области. Твоя задача — формулировать выводы на основе данных, а не пересказы или визуализации».

Сам по себе промпт безобидный. Но когда его вариации приходят десятки тысяч раз с сотен координированных аккаунтов — паттерн очевиден.

Как Anthropic реагирует

Anthropic описывает четыре направления защиты. Во-первых, детекция: классификаторы и поведенческий анализ, которые ищут паттерны дистилляции в API-трафике, включая попытки извлечь chain-of-thought. Во-вторых, обмен разведданными с другими лабораториями, облачными провайдерами и, как деликатно пишут, «компетентными органами».

Дальше — контроль доступа: усилили верификацию образовательных аккаунтов и стартап-программ, через которые чаще всего заводили фейки. И наконец, контрмеры на уровне самой модели: чтобы ответы были менее полезны для дистилляции, но без ущерба обычным пользователям. Как именно это работает, не раскрывают.

Anthropic также подчёркивает связь с экспортным контролем. Мол, быстрый прогресс китайских лабораторий иногда воспринимают как доказательство, что ограничения на чипы не работают. А на деле значительная часть этого прогресса построена на украденных возможностях американских моделей.

Мой взгляд

16 миллионов запросов. Полноценная операция с координацией, прокси-сетями и переключением между моделями. И то, что Anthropic смогла дойти до конкретных людей и лабораторий, говорит о серьёзном уровне мониторинга.

Но есть нюанс. Дистилляция как таковая — это не хакерство и не взлом. Это использование публичного API способом, который нарушает условия сервиса. Грань между «интенсивным использованием» и «дистилляцией» иногда размытая. Мне кажется, что история с цензурными промптами DeepSeek — самая тревожная часть отчёта, потому что показывает не просто копирование возможностей, а создание инструментов цензуры с помощью западных моделей.

Публикация этого отчёта — в том числе политический жест. Anthropic давно лоббирует экспортный контроль на чипы, и доказательства промышленной дистилляции хорошо ложатся в этот нарратив. Не значит, что данные ненастоящие — но контекст стоит учитывать.

Что ещё почитать