这是 Anthropic 迄今控诉的最大规模 " 模型蒸馏 " 案。

作者丨高允毅

编辑丨马晓宁

短短四个月，四家中国顶级 AI 公司被 Anthropic 接连点名，且没有停手的迹象。

这一次，轮到阿里。

2026 年 6 月 10 日，Anthropic 向美国参议院银行委员会递交了一封信，矛头直指阿里 Qwen 团队。报告披露了一串数字：从 4 月 22 日到 6 月 5 日，整整 45 天，阿里相关运营者利用 2.5 万个账号，完成了 2880 万次交互。

这是 Anthropic 迄今公开的最大规模 " 模型蒸馏 " 数据。

2880 万次对话是什么概念？放一个行业参照：目前主流的高质量 SFT（监督微调）数据集，规模通常在数十万到几百万条之间。2880 万次针对核心能力的定向交互，足以在特定任务域内，低成本 " 提纯 " 出一个极具竞争力的专用模型。

这引起了 Anthropic 的高度警惕。在他们看来，对方的行为目标极其精准，刀刀直指其最新旗舰模型 Mythos Preview 的核心底牌，软件工程与智能体推理能力。

Anthropic 在信中将其定性为 " 迄今为止，中国公司试图搭美国顶尖实验室便车的最大规模尝试 "。

梳理时间线可以发现，Anthropic 的反击正在显著升级。

2026 年 2 月 23 日，Anthropic 发布了一篇博客文章《Detecting and Preventing Distillation Attacks》，公开点名三家中国 AI 实验室：DeepSeek、月之暗面（Kimi）、MiniMax（稀宇科技）。

报告显示，约 2.4 万个中国相关账号对 Claude 发起了超过 1600 万次交互，其中 MiniMax 超 1300 万，月之暗面超 340 万，DeepSeek 超 15 万。

从 1600 万次到 2880 万次，规模在翻倍，Anthropic 的反击，也从 2 月份的 " 技术曝光 "，升级到 6 月份 " 政治施压 "。

而这次的收信人，银行委员会主席蒂姆 · 斯科特（Tim Scott）和首席成员伊丽莎白 · 沃伦（Elizabeth Warren），可以说是美国政坛里专门负责 " 对外经济制裁 " 和 " 对内金融监管 " 的两个狠角色。

Anthropic 的应对策略，从一开始就不是打官司，而是推动立法。

据彭 · 博社报道，信件递交后，美国参议员比尔 · 哈格蒂和安迪 · 金迅速跟进。他们计划推动一项修正案并纳入《国防法案》：对任何 " 不当获取美国 AI 模型输出以训练竞争系统 " 的中国公司，实施严厉制裁或直接列入黑名单。

事实上，不仅是在白宫，整个硅谷也在结成防御同盟。Anthropic、OpenAI 和谷歌已经暗中联手，开始共享关于违规数据抓取的情报。

在海外媒体报道中，美国官员曾做出过一个估计，这种未经授权的 " 工业级 " 蒸馏活动，每年给硅谷实验室造成的损失高达数十亿美元，直接威胁着 Anthropic 即将到来的天价 IPO。

所以，借由这一次次越发严厉的指控，Anthropic 真正想拿到的，不只是一家公司的商业维权，而是要在美国政界与产业界确立一条新的绝对红线：用 API 输出训练竞争模型，就是越界违法。

而在这场全方位的围堵中，美国政府的技术封锁也在急剧收紧，与前段时间业内轰轰烈烈的 "Fable 5 与 Mythos 5 紧急下架 " 事件暗中呼应。

与国会山上的剑拔弩张不同，在开发者聚集的 Reddit 等技术论坛上，面对 Anthropic 的控诉，技术圈的反应堪称群嘲。

最经典的就是 " 贼喊抓贼 " 的戏码。有人指出，Anthropic 自己就是靠 " 偷数据 " 起家的。早期训练模型时，它因抄袭并非法下载数百万册受保护的书籍，曾陷入美国历史上规模最大的 AI 侵权盗版案，最终被迫吞下 15 亿美元的天价和解金。

连马斯克都曾在今年 2 月份公开贴脸开骂，在 Anthropic 指控中国的 DeepSeek、月之暗面（Kimi）以及 MiniMax 发起蒸馏攻击，直指 Anthropic 才是北美最大的 " 偷子 "，伪善又虚伪。

还有网友直接翻出了业内的著名回旋镖，此前 Anthropic 发布的 Claude 4.8 模型在回答，透露自己其实是 " 由阿里巴巴开发的 Qwen 模型 "。" 业内互相洗数据、抄来抄去早已是常态，你身上流着通义千问的血，回过头来告阿里抄袭？"

还有网友表示，如果是正常的付费使用，那和其他普通用户的区别在哪，这只能算商业违约，怎么到了国会嘴里就变成‘恶意网络攻击’和‘危害国家安全’了？"

更有技术流网友对 Anthropic 的高管能力表示鄙视：" 遇到技术漏洞不想着怎么提升自家的 AI 防御层和反抓取能力，天天只知道跑去和特朗普政府打小报告。"

最让人啼笑皆非的却是一位重度用户的哀嚎：" 我真正关心的只有 Fable 5 还能不能回来？Anthropic 现在一边和白宫打小报告哭诉模型被抄，一边又希望模型解禁。照这个趋势看， Fable 5 大概是回不来了。"

再看技术层面，整场指控的核心落在一个词上：" 对抗性蒸馏 "。

什么是对抗性蒸馏？简单来说，就是借别人的脑子，替自己省钱。

原本，" 蒸馏 " 是 AI 训练中的正常操作：用一个已有的强大模型当 " 老师 "，让它回答问题，然后把 " 老师 " 的答案拿过来，训练一个更轻量的 " 学生 " 模型。学生模型只学到了老师回答问题的能力，但训练成本只有老师的一小部分。

Meta 的 LLaMA 早期版本用 ChatGPT 的输出来训练自己，这在行业里不是秘密。

而 Anthropic 控诉的 " 对抗性蒸馏 "，则是将这套思路发挥到了极致。不需要自己花几十亿美元买算力、自己做数据标注，只需要持续、大量地向目标模型发送精心设计的问题，把它的高质量回答批量保存下来，就拥有了一个现成的训练样本库。

这可省了一大笔钱。按 Claude 的公开 API 定价粗算，2880 万次交互的费用，哪怕按企业折扣计，也要几百万美元。但与从零开始训练一个具备同等软件工程能力的大模型相比，这笔数字可能只是预算单上的零头。

这就是 Anthropic 愤怒的主要原因，对方跳过了多年的技术积累和巨额投入，用几百万美元的调用成本，拿到了价值数十亿美元的能力。

而 Anthropic 在报告中特意强调另一个问题，直指" 安全 "。

AI 模型的核心能力分为两种，训练方式截然不同：

一种是 " 干活能力 "，比如写代码、做数学题、写文案 ...... 只要给足标准答案，模型就能快速学会，这部分能力是可以被 " 蒸馏 " 的。

另一种是 " 安全对齐 "，比如知道不该泄露用户隐私、不该协助犯罪、不该输出危险内容。这些安全规则不是靠反复刷题学来的，而是通过一套极其精细的 " 行为矫正 " 训练建立起来的。每一次模型试图越界，就会被训练师惩罚并矫正。

但蒸馏的过程，只复制成功，不复制拒绝。

在导出的 2880 万次对话里，那些被系统拦截、拒绝回答的高危问题，全被过滤掉了。结果就是，学生模型只学会了顶级的能力，却没学到 " 什么不该说 "。一旦部署到真实世界中，能力越强，失控的结果也会越严重。

而在 " 对抗性蒸馏 " 的暗面，则涉及到"API 安全 "。

这次 Anthropic 能检测出这 25000 个异常账号，其实依赖的是 " 行为模式分析 "，即找 " 破绽 "。比如这些账号的注册时间过于集中、IP 地址在地理位置上异常扎堆、提问的内容高度相似，且请求频率快得根本不像人类。

但这只是初级防御。当下，部分顶级 AI 实验室，已经在落地一种更具杀伤力的武器，叫 " 输出指纹 " 技术。它如同 " 隐形水印 "，它会在模型的每一次输出中嵌入统计学层面的隐性标记，只要有人拿这些内容去训练新模型，日后一经检测，就能被精准溯源追踪。

然而在真实的工程世界里，防御天然滞后于进攻。

所谓 " 道高一尺，魔高一丈 "。今天你封禁了 25000 个账号，明天对方就可以用无数个不同的虚拟信用卡和动态代理 IP，分散注册；你通过分析查询模式来抓机器账号，对方就可以在代码里刻意加入像真人一样的停顿和废话来做伪装；你种下隐形的 " 输出指纹 "，对方就能通过二次改写、翻译和增噪，把这些指纹彻底 " 洗 " 掉。

这场猫鼠游戏没有技术终局，只有成本的此消彼长。

但如果制裁清单落地，游戏规则就变了。到那时，这就不再是一个单纯的 " 反爬虫 " 或 "API 攻防 " 的技术问题，" 谁的模型训练数据来自哪里 "，将直接成为极其严苛的监管审查对象。

对所有在 LLM 工程链条上工作的人来说，这个结果将直接决定未来的合规边界：哪些数据来源是合法的？哪些模型的行为会被秋后算账？又有哪些公司，会因为训练数据 " 来路不明 " 而直接被列入致命的黑名单？

这才是 Anthropic 真正的野心所在——在废墟上建立一套由它定义、并由政治力量执行的全球 AI 新秩序。