Alibaba создала 25 000 фейков, чтобы скопировать Claude

С 22 апреля по 5 июня Alibaba и её AI-лаборатория Qwen якобы провели 28,8 миллиона диалогов с Claude через почти 25 000 фиктивных аккаунтов — крупнейшая задокументированная попытка скопировать топовую AI-модель. Об этом Anthropic сообщила в письме американским сенаторам 10 июня. Атака была направлена на самые ценные возможности Claude: агентное мышление, выполнение сложных многоэтапных задач и написание кода.

По данным Anthropic, атакующие использовали прокси-сети и техники маскировки, чтобы не попасть под обнаружение. Суть метода — «дистилляция»: задаёшь мощной модели миллионы вопросов, собираешь ответы, а потом обучаешь на этих данных свою, более дешёвую модель, которая ведёт себя похоже — но без трат на исследования и разработку. Предыдущая волна атак, приписанная DeepSeek, Moonshot и MiniMax, задействовала около 24 000 аккаунтов и 16+ миллионов обменов. Операция Alibaba почти вдвое превысила этот масштаб.

Почему такую атаку сложно остановить

Для дистилляционной атаки не нужны уязвимости в коде и физический доступ к железу. Нужны только аккаунты — тысячи штук — и терпение. Атакующие ведут себя ровно как обычные пользователи, только в огромных масштабах. Системы безопасности Anthropic не могут просто отличить реального разработчика, изучающего возможности Claude, от автоматизированной кампании, систематически их выкачивающей. Именно поэтому обнаружение требует статистического анализа миллионов сессий, а не простого правила на файрволе.

Anthropic представила происходящее как системную проблему: каждая успешная атака превращает сотни миллиардов долларов американских AI-исследований в бесплатный обучающий датасет. В письме Конгрессу компания просит о трёх вещах. Первое — обновить антимонопольные нормы, чтобы AI-компании могли легально обмениваться информацией об угрозах: сейчас координация защиты между конкурентами находится в правовой серой зоне. Второе — ужесточить экспортный контроль над чипами, чтобы усложнить обучение на собранных данных. Третье — ввести реальные санкции для лабораторий, проводящих такие атаки.

Что это значит для тех, кто строит на Claude

Если вы используете Claude через API или в Claude Code, ваш ежедневный опыт не меняется — но ставки за кулисами реальные. Конкурентное преимущество Anthropic — это исследования: безопасность, методы обучения, работа над надёжностью. Дистилляционные атаки позволяют соперникам перепрыгнуть эти инвестиции и прийти к похожему результату за долю цены. Это усиливает ценовое давление на легальных пользователей, потому что Anthropic вынуждена тратить больше на обнаружение и защиту, а сами модели становятся мишенью ровно в момент выхода.