这篇要说的事,本周在 Ars Technica 上的评论数冲到了第一,155 条。这回不是因为又出了新模型,让评论炸出来的是一份写给美国参议员的信。
按 Ars Technica 6 月 25 日的报道,Anthropic 在参议院一场名为「AI 与美国梦」的听证会前一天,给共和党参议员 Tim Scott 和民主党参议员 Elizabeth Warren 送去一封信。信里附上了 Anthropic 所谓的「新机密证据」,声称这是他们迄今测量到的、规模最大的一次非法提取 Claude 能力的活动。
被点名的,是阿里。
据 Anthropic 在信中称,从 4 月 22 日到 6 月 5 日,与阿里及其 AI 实验室 Qwen 相关的运营者,用近 25,000 个「欺诈账号」与 Claude 进行了超过 2880 万次交互,专门冲着 agentic reasoning(智能体推理)、software engineering(软件工程)、long-horizon tasks(长周期任务)这些「Claude 最有价值的能力」去的。
需要先把边界划清楚:这些目前都是 Anthropic 单方面的指控。阿里否认了相关说法,并且在 Anthropic 发声前后,已经反过来把美国国防部告上法庭,理由是被错误列入「中国军方关联公司」清单。所以这篇文章不打算给阿里定罪,而是想拆一件更值得想的事——这一次的蒸馏争议,和几个月前马斯克那一次,味道完全不一样了。
这次不一样的地方,是「工厂」两个字
蒸馏(distillation)的原理,在之前那篇《马斯克承认蒸馏 OpenAI》里讲过,这里不重复。简单说,就是让强模型当老师,通过大量输入输出样本,把它的回答方式、判断偏好、推理路径「教」给一个更小更便宜的学生模型。
马斯克那次蒸馏争议,底色是个人戏剧性:一边起诉 OpenAI,一边让 xAI 偷偷用对方模型当老师。大家围观的重点是「打脸」,是道德位置被削弱。
阿里这次,Anthropic 描述的是一个完全不同的量级。不是几个工程师挂几个账号慢慢试,而是 2.5 万个账号、将近 2900 万次对话,用混淆技术和代理网络规避检测,针对的是模型最核心的几项能力。Anthropic 甚至专门造了个词,说围绕这种规避手法,已经长出了一个「circumvention economy」(规避经济)。
更有意思的是 Anthropic 自己点出的对比:就在几个月前,他们刚指控过 DeepSeek、Moonshot、MiniMax 用类似手法,当时是「约 24,000 个账号、超过 1600 万次交互」。阿里这次被指的 2880 万次,差不多翻了一倍。
Anthropic 想传递的信号很明确:他们要描述的,是一种正在工业化的操作模式。账号在变多,次数在翻倍,规避手法在成熟,甚至养出了专门的服务市场。当能力抽取变成一条流水线,「领先模型当训练材料」这件事,就从个案变成了产业。
真正让它变味儿的,是「违抗特朗普」这顶帽子
如果只是规模大,这还只是一桩商业纠纷。Anthropic 把它往另一个方向推了。
信里反复强调一个时间点:阿里的这波操作,发生在特朗普政府已经出手遏制「非法蒸馏」之后。今年 4 月,特朗普公开指控中国搞「工业规模的 AI 盗窃」。Anthropic 抓住的就是这个时间差——按他们的说法,阿里不是不知道这是红线,而是明知故犯。
更狠的是下面这层逻辑。阿里在纽交所上市,在美国有业务,对美国投资者和监管机构负责,却「在特朗普警告克隆不可接受之后的几周里」继续这么做。Anthropic 的话外音是:一个享受美国资本市场红利的公司,在帮美国的战略对手抽干美国的前沿能力。
把「蒸馏」和「违抗总统令」「国家安全」绑在一起,是这次争议最关键的一步。它意味着,模型能力的归属,正在从「谁抄了谁的作业」这种商业道德问题,被重新定义成国家战略资源问题。
Anthropic 顺势给国会提了三条立法建议:改反垄断法让 AI 公司能共享情报、加码芯片出口管制让对手「根本训练不起」、立法惩罚搞蒸馏的海外实验室。翻译成大白话就是:这事光靠我们一家公司挡不住,得动用国家力量。
阿里的反击,和「网络核武器」的比喻
阿里这边也没沉默,而且打的牌很硬。
就在 Anthropic 指控传开前后,阿里把美国国防部告了,要求撤销「中国军方关联公司」的认定。阿里的说法是,公司由独立董事会治理,没人有军方背景,产品是做零售、物流、企业 IT 的,跟武器情报不沾边,这个认定「没有事实和法律依据」。指控曝光当天,阿里股价跌了约 3%。
但 Anthropic 显然不打算接受这套说辞。他们真正担心的,是这波蒸馏会「帮中国更快达到 Mythos 的能力水平」。
Mythos 是 Anthropic 那个因为「太能找安全漏洞」而拒绝公开发布的网络安全模型。围绕它有一个叫 Project Glasswing 的计划,给 40 多家美国机构开了 Mythos 的预览权限,用来加固防御——把中国排除在外。
这件事在中国的反应,被《南华早报》记下来了。360 创始人周鸿祎在北京一场网络安全大会上,把 Mythos 称作「网络核武器」。他说 Mythos 在发现漏洞能力上的跃升是「恐怖的变化」,等于把网络攻击「民主化」了。最扎心的是这句:美国机构能用 Mythos 扫描你的漏洞,你连看一眼 Mythos 的资格都没有。他的结论是,中国只能自己也造一个,才能形成「相互确保毁灭」的威慑。
「相互确保毁灭」,是冷战核威慑的逻辑。当一个科技创始人开始用这个词谈 AI 模型,蒸馏这件事的性质就彻底变了。它已经被塞进了一套完整的军备竞赛叙事里,背后连着的是被当成战略武器的能力。
三个概念的关系,决定了这件事的分量
这篇文章里「蒸馏」「工业化」「政治化」几个词反复出现,但它们指的不是一回事,值得分开说。
蒸馏,说的是技术动作:用强模型的输出去训练另一个模型。它本身是中性的工程手段,问题出在你有没有得到授权、有没有违反服务条款。
工业化,说的是这个动作的规模和组织方式:从几个人挂几个账号,变成几万个账号、几千万次调用,再配上专门的规避服务和代理网络。工业化让蒸馏的效率和时间窗口发生了质变,领先模型的优势会被更快地稀释掉。
政治化,说的是这件事被装进什么框架去解决:Anthropic 没有只在法庭或 API 条款层面接招,而是直接把它送进参议院,绑上总统令、芯片管制和国家战略对手。一旦蒸馏被定义成国家安全议题,应对工具就从商业诉讼升级成了立法和出口管制。
这三者是层层递进的。蒸馏的技术动作一直存在,但当它被工业化,单个公司靠条款和技术封堵就已经力不从心;当它又被政治化,博弈的场域就从市场彻底转到了国家层面。阿里这次之所以分量不一样,正因为它是第一个同时踩中三层的事件:规模上像工厂,框架上被扣了「违抗总统令」的帽子,背后还连着 Mythos 这种被当成战略武器的能力。
这大概也是它比马斯克那次「个人打脸」式争议更值得认真看的原因。它指向一个更冷的事实:当前沿模型的能力可以被工业化地抽取,又被国家力量地争夺,「模型能力归谁」这个问题正在被重新书写答案。而那个答案,可能已经不在商业竞争的边界之内了。
参考来源
- Anthropic says Alibaba must be punished for largest Claude cloning attack(Ars Technica)
- 马斯克承认蒸馏 OpenAI:大模型护城河正在被自己瓦解(本博客,系列前文)
以上来源用于观察 Anthropic 的发布口径与社区反馈。其中涉及阿里行为的账号数、对话次数等数字,均出自 Anthropic 单方面提交给参议员的信件;阿里已否认相关指控,并另行起诉美国国防部要求撤销「中国军方关联公司」认定。本文所述不等于独立司法认定。