Alibaba vs Anthropic: как работает промышленная кража ИИ

# Alibaba vs Anthropic: как работает промышленная кража ИИ

С 22 апреля по 5 июня 2025 года операторы, предположительно аффилированные с Alibaba, отправили 28,8 миллиона запросов к Claude через 25 000 фейковых аккаунтов. Anthropic назвала это крупнейшей атакой по клонированию ИИ в своей истории и обратилась с письмом напрямую к сенаторам США.

Это не хакерство в классическом смысле. Это дистилляция — и она меняет правила игры в индустрии.

Что такое атака дистилляции и почему это работает

Дистилляция модели — это процесс, при котором одна модель (студент) обучается на выходных данных другой модели (учителя). В легитимном виде это стандартная практика машинного обучения: OpenAI сама так создавала ранние GPT-версии.

Атака дистилляции — это тот же процесс, но без разрешения. Схема простая:

1. Создаёшь тысячи аккаунтов (или покупаешь готовые).
2. Прогоняешь через API миллионы carefully crafted запросов — именно те задачи, которые хочешь воспроизвести.
3. Собираешь пары «запрос → ответ» в датасет.
4. Дообучаешь собственную модель на этом датасете.

Результат: твоя модель начинает вести себя похоже на модель-учителя — без десятков миллионов долларов на обучение с нуля.

В случае с Alibaba атака была направлена на три конкретные зоны: агентное рассуждение, разработку программного обеспечения и выполнение долгосрочных задач. Это не случайный выбор — именно эти возможности наиболее дороги в обучении и наиболее востребованы рынком.

Как обходили защиту: прокси, обфускация, ротация

Anthropic детектирует подозрительную активность по паттернам: одинаковые IP, слишком высокий RPM, однотипные запросы. Чтобы скрыться, атакующие использовали:

• Прокси-сети — тысячи разных IP-адресов, имитирующих органический трафик.
• Обфускацию запросов — вариации формулировок, чтобы избежать детекции по шаблону.
• Ротацию аккаунтов — ~25 000 аккаунтов позволяли распределять нагрузку так, чтобы каждый выглядел как обычный пользователь.

Anthropic предупреждает: вокруг этих методов формируется «растущая экономика обхода» — готовые инструменты, прокси-маркетплейсы и сервисы по созданию фейковых аккаунтов. Это самовоспроизводящаяся инфраструктура.

Почему это важно для бизнеса, а не только для политики

На первый взгляд это история про геополитику и санкции. Но для бизнеса, работающего с ИИ, здесь несколько практических выводов.

Если вы строите продукт на Claude или GPT:

Ограничения доступа для определённых регионов — это не паранойя. Провайдеры будут ужесточать верификацию аккаунтов, rate limiting и мониторинг паттернов. Ждите роста операционных требований при подключении к API.

Если вы конкурируете с китайскими ИИ-продуктами:

Модели, обученные через дистилляцию, могут неожиданно хорошо справляться с узкими задачами — при этом стоить в разы дешевле. Это уже конкурентное давление, а не гипотетическое.

Если вы оцениваете риски поставщиков:

Anthropic, OpenAI и Google уже публично зафиксировали атаки. Это означает, что защита API становится частью SLA и compliance — вопрос времени, когда это войдёт в стандартные due diligence чеклисты.

Что происходит дальше

Anthropic обратилась к сенаторам накануне слушаний по теме «ИИ и американская мечта», предоставив конфиденциальные доказательства. Трамп ещё в апреле назвал происходящее кражей ИИ «в промышленных масштабах».

По данным Anthropic, до Alibaba аналогичные атаки провели DeepSeek, Moonshot и MiniMax — совокупно более 16 миллионов запросов через ~24 000 аккаунтов. OpenAI и Google зафиксировали схожие инциденты со своими моделями.

Вектор очевиден: регуляторы будут требовать от провайдеров более жёсткого контроля, а API-доступ к топовым моделям станет дороже и сложнее. Для бизнеса это означает необходимость заранее диверсифицировать зависимость от одного провайдера и отслеживать изменения в политиках доступа.

---

*Разбираем ИИ-инструменты и автоматизацию в ContentRun Club.*