阿里被指 2.5 万账号工业化蒸馏 Claude：蒸馏战为什么升级成了国家议题

Sat, 27 Jun 2026 10:00:00 +0800

这篇要说的事，本周在 Ars Technica 上的评论数冲到了第一，155 条。这回不是因为又出了新模型，让评论炸出来的是一份写给美国参议员的信。

按 Ars Technica 6 月 25 日的报道，Anthropic 在参议院一场名为「AI 与美国梦」的听证会前一天，给共和党参议员 Tim Scott 和民主党参议员 Elizabeth Warren 送去一封信。信里附上了 Anthropic 所谓的「新机密证据」，声称这是他们迄今测量到的、规模最大的一次非法提取 Claude 能力的活动。

被点名的，是阿里。

据 Anthropic 在信中称，从 4 月 22 日到 6 月 5 日，与阿里及其 AI 实验室 Qwen 相关的运营者，用近 25,000 个「欺诈账号」与 Claude 进行了超过 2880 万次交互，专门冲着 agentic reasoning（智能体推理）、software engineering（软件工程）、long-horizon tasks（长周期任务）这些「Claude 最有价值的能力」去的。

需要先把边界划清楚：这些目前都是 Anthropic 单方面的指控。阿里否认了相关说法，并且在 Anthropic 发声前后，已经反过来把美国国防部告上法庭，理由是被错误列入「中国军方关联公司」清单。所以这篇文章不打算给阿里定罪，而是想拆一件更值得想的事——这一次的蒸馏争议，和几个月前马斯克那一次，味道完全不一样了。

这次不一样的地方，是「工厂」两个字

蒸馏（distillation）的原理，在之前那篇《马斯克承认蒸馏 OpenAI》里讲过，这里不重复。简单说，就是让强模型当老师，通过大量输入输出样本，把它的回答方式、判断偏好、推理路径「教」给一个更小更便宜的学生模型。

马斯克那次蒸馏争议，底色是个人戏剧性：一边起诉 OpenAI，一边让 xAI 偷偷用对方模型当老师。大家围观的重点是「打脸」，是道德位置被削弱。

阿里这次，Anthropic 描述的是一个完全不同的量级。不是几个工程师挂几个账号慢慢试，而是 2.5 万个账号、将近 2900 万次对话，用混淆技术和代理网络规避检测，针对的是模型最核心的几项能力。Anthropic 甚至专门造了个词，说围绕这种规避手法，已经长出了一个「circumvention economy」（规避经济）。

更有意思的是 Anthropic 自己点出的对比：就在几个月前，他们刚指控过 DeepSeek、Moonshot、MiniMax 用类似手法，当时是「约 24,000 个账号、超过 1600 万次交互」。阿里这次被指的 2880 万次，差不多翻了一倍。

Anthropic 想传递的信号很明确：他们要描述的，是一种正在工业化的操作模式。账号在变多，次数在翻倍，规避手法在成熟，甚至养出了专门的服务市场。当能力抽取变成一条流水线，「领先模型当训练材料」这件事，就从个案变成了产业。

真正让它变味儿的，是「违抗特朗普」这顶帽子

如果只是规模大，这还只是一桩商业纠纷。Anthropic 把它往另一个方向推了。

信里反复强调一个时间点：阿里的这波操作，发生在特朗普政府已经出手遏制「非法蒸馏」之后。今年 4 月，特朗普公开指控中国搞「工业规模的 AI 盗窃」。Anthropic 抓住的就是这个时间差——按他们的说法，阿里不是不知道这是红线，而是明知故犯。

更狠的是下面这层逻辑。阿里在纽交所上市，在美国有业务，对美国投资者和监管机构负责，却「在特朗普警告克隆不可接受之后的几周里」继续这么做。Anthropic 的话外音是：一个享受美国资本市场红利的公司，在帮美国的战略对手抽干美国的前沿能力。

把「蒸馏」和「违抗总统令」「国家安全」绑在一起，是这次争议最关键的一步。它意味着，模型能力的归属，正在从「谁抄了谁的作业」这种商业道德问题，被重新定义成国家战略资源问题。

Anthropic 顺势给国会提了三条立法建议：改反垄断法让 AI 公司能共享情报、加码芯片出口管制让对手「根本训练不起」、立法惩罚搞蒸馏的海外实验室。翻译成大白话就是：这事光靠我们一家公司挡不住，得动用国家力量。

阿里的反击，和「网络核武器」的比喻

阿里这边也没沉默，而且打的牌很硬。

就在 Anthropic 指控传开前后，阿里把美国国防部告了，要求撤销「中国军方关联公司」的认定。阿里的说法是，公司由独立董事会治理，没人有军方背景，产品是做零售、物流、企业 IT 的，跟武器情报不沾边，这个认定「没有事实和法律依据」。指控曝光当天，阿里股价跌了约 3%。

但 Anthropic 显然不打算接受这套说辞。他们真正担心的，是这波蒸馏会「帮中国更快达到 Mythos 的能力水平」。

Mythos 是 Anthropic 那个因为「太能找安全漏洞」而拒绝公开发布的网络安全模型。围绕它有一个叫 Project Glasswing 的计划，给 40 多家美国机构开了 Mythos 的预览权限，用来加固防御——把中国排除在外。

这件事在中国的反应，被《南华早报》记下来了。360 创始人周鸿祎在北京一场网络安全大会上，把 Mythos 称作「网络核武器」。他说 Mythos 在发现漏洞能力上的跃升是「恐怖的变化」，等于把网络攻击「民主化」了。最扎心的是这句：美国机构能用 Mythos 扫描你的漏洞，你连看一眼 Mythos 的资格都没有。他的结论是，中国只能自己也造一个，才能形成「相互确保毁灭」的威慑。

「相互确保毁灭」，是冷战核威慑的逻辑。当一个科技创始人开始用这个词谈 AI 模型，蒸馏这件事的性质就彻底变了。它已经被塞进了一套完整的军备竞赛叙事里，背后连着的是被当成战略武器的能力。

三个概念的关系，决定了这件事的分量

这篇文章里「蒸馏」「工业化」「政治化」几个词反复出现，但它们指的不是一回事，值得分开说。

蒸馏，说的是技术动作：用强模型的输出去训练另一个模型。它本身是中性的工程手段，问题出在你有没有得到授权、有没有违反服务条款。

工业化，说的是这个动作的规模和组织方式：从几个人挂几个账号，变成几万个账号、几千万次调用，再配上专门的规避服务和代理网络。工业化让蒸馏的效率和时间窗口发生了质变，领先模型的优势会被更快地稀释掉。

政治化，说的是这件事被装进什么框架去解决：Anthropic 没有只在法庭或 API 条款层面接招，而是直接把它送进参议院，绑上总统令、芯片管制和国家战略对手。一旦蒸馏被定义成国家安全议题，应对工具就从商业诉讼升级成了立法和出口管制。

这三者是层层递进的。蒸馏的技术动作一直存在，但当它被工业化，单个公司靠条款和技术封堵就已经力不从心；当它又被政治化，博弈的场域就从市场彻底转到了国家层面。阿里这次之所以分量不一样，正因为它是第一个同时踩中三层的事件：规模上像工厂，框架上被扣了「违抗总统令」的帽子，背后还连着 Mythos 这种被当成战略武器的能力。

这大概也是它比马斯克那次「个人打脸」式争议更值得认真看的原因。它指向一个更冷的事实：当前沿模型的能力可以被工业化地抽取，又被国家力量地争夺，「模型能力归谁」这个问题正在被重新书写答案。而那个答案，可能已经不在商业竞争的边界之内了。

参考来源