В понедельник компания Anthropic обвинила трех ведущих китайских разработчиков передовых моделей ИИ в использовании крупномасштабной дистилляции для улучшения собственных моделей за счет возможностей Claude от Anthropic. В общей сложности DeepSeek, Moonshot и MiniMax совершили 16 миллионов обменов, используя 24 000 мошеннических аккаунтов. Дистилляция — это метод машинного обучения, при котором меньшая или менее мощная модель обучается на выводах более сильной модели вместо использования реальных данных. Это может сэкономить время, создать более дешевые, более специализированные модели, извлечь возможности у конкурентов и/или снизить требования к аппаратным возможностям. Хотя дистилляция, как правило, является законным методом, когда это делает организация из Китая, находящаяся под жесткими ограничениями, это нарушает как экспортный контроль США, так и соглашение о лицензировании конечного пользователя с Anthropic. «Дистилляция может быть законной: лаборатории ИИ используют ее для создания меньших и более дешевых моделей для своих клиентов», — говорится в заявлении Anthropic, опубликованном в X. «Но иностранные лаборатории, которые незаконно дистиллируют американские модели, могут отключить защитные механизмы, направляя возможности моделей в свои собственные военные системы, системы разведки и наблюдения». Американские компании, такие как OpenAI, давно обвиняют DeepSeek в использовании дистилляции для обучения некоторых своих передовых моделей с использованием результатов работы ChatGPT и других сервисов, но не предоставляли подробных объяснений, в отличие от Anthropic. По данным Anthropic, нарушители следовали одной и той же схеме: они использовали коммерческие сервисы, перепродающие доступ к передовым моделям, и создавали сети, которые компания называет «гидра-кластерами» — большие пулы аккаунтов, распределяющие трафик между API Anthropic и сторонними облачными платформами. В одном случае предполагалось, что одна прокси-настройка одновременно контролировала более 20 000 мошеннических аккаунтов. Чтобы избежать срабатывания тревоги, она смешивала трафик извлечения с обычными запросами на использование. Однако шаблоны ее запросов выделялись: очень большие объемы, тесно сфокусированные на определенных возможностях и высокоповторяющиеся. Такое поведение соответствовало обучению модели, но, безусловно, не было типичным взаимодействием конечного пользователя. По данным Anthropic, только DeepSeek сгенерировал более 150 000 обменов, нацеленных на задачи рассуждения, оценку по рубрикам, подходящую для моделей вознаграждения с обучением с подкреплением, и безопасные для цензуры перефразирования политически чувствительных запросов. Anthropic также обнаружила запросы, предназначенные для получения пошагового внутреннего рассуждения и, таким образом, раскрытия данных обучения «цепочки мыслей» (chain-of-thought). По данным Anthropic, Moonshot, известная своими моделями Kimi, осуществила более 3,4 миллиона обменов. Ее области внимания включали агентное рассуждение, использование инструментов, кодирование, анализ данных, компьютерные агенты и компьютерное зрение. Moonshot предположительно использовала сотни мошеннических аккаунтов, охватывающих несколько путей доступа, а затем пыталась извлечь и реконструировать следы рассуждений Claude. MiniMax провела самую крупную кампанию с более чем 13 миллионами обменов, нацеленных на агентное кодирование и оркестрацию. Anthropic заявляет, что обнаружила эту операцию, когда она еще продолжалась, поскольку MiniMax обучала свою будущую модель, что дает американской компании уникальное представление о жизненном цикле извлечения. После того как Anthropic выпустила новую модель Claude, MiniMax, по сообщениям, перенаправила почти половину своего трафика в течение 24 часов, чтобы захватить возможности новейшей модели. Чтобы бороться с будущими попытками дистилляции, Anthropic заявляет, что укрепляет защиту, чтобы сделать крупномасштабную дистилляцию более сложной для осуществления и более легкой для обнаружения. Компания внедрила классификаторы и системы поведенческого отпечатка для выявления шаблонов извлечения в трафике API, включая выявление «цепочки мыслей» и скоординированную активность с использованием нескольких аккаунтов. Компания также делится техническими индикаторами крупномасштабных операций дистилляции с другими лабораториями ИИ, поставщиками облачных услуг и властями, а также ужесточает проверку образовательных, исследовательских и стартап-аккаунтов, часто используемых для создания мошеннического доступа. Параллельно она разрабатывает меры защиты на уровне продукта, API и модели, чтобы снизить полезность результатов для незаконного обучения, не нанося вреда законным пользователям. В то же время компания признает, что противодействие атакам такого масштаба требует скоординированных действий отрасли и регуляторов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Anton Shilov
