AI論争

アリババの蒸留スキャンダル:25,000のアカウントがClaudeをどのように複製したか

Anthropicは、Claudeの能力を複製するための2880万回のプロンプトを含む、AlibabaのQwenラボによる大規模なAIモデル蒸留攻撃を暴露した。

投稿日 2026/6/27

25,000の不正アカウントによる組織的な攻撃は、Anthropicのサーバーをハッキングしたり、暗号化を突破したり、物理的なハードドライブを盗んだりしたわけではなかった。その代わり、Alibabaに関連するオペレーターは、Claudeに2880万回の質問を単純に投げかけ、大規模な知的財産の窃盗において、その論理マトリックスを1バイトずつ吸収した。力任せのサイバー攻撃の時代は事実上終わりを告げ、地政学的規模の自動化された盗用へと取って代わられた。

AIモデルの蒸留とは何か?

AIモデルの蒸留とは、エンジニアが高度で高価な独自のモデル(教師)の出力を使用して、より小さく安価なオープンソースモデル(生徒)を迅速に訓練するプロセスである。これにより、企業は基礎的な研究開発に数十億ドルを費やすことなく、推論能力を複製することができる。

その根本的なメカニズムは、生徒が教室で一番頭の良い子供から解答用紙を書き写す、持ち込み可の試験のようなものである。AnthropicがClaudeを訓練した際、彼らはニューラルネットワークに高度なコーディング能力と長期的なタスク完了を教えるために、大規模な計算クラスターを消費した。AlibabaのQwen AIラボは、その高価で失敗しやすいプロセスを再現するのではなく、Claudeを執拗に尋問する自動化されたパイプラインを構築したとされている。

Claudeが複雑なプロンプトインジェクションのベクトルやエージェント的な論理の罠をどのように処理するかを分析することで、Qwenのエンジニアはモデルの神経経路をマッピングした。彼らはこれらの高度に洗練された出力を、直接自社のシステムに供給した。ここでの経済的インセンティブは巨大である。フロンティアモデルの訓練には数十億ドルが必要となるが、既存のモデルを蒸留するのにかかる計算コストはそのほんの一部で済む。

2880万プロンプト攻撃の内幕

2026年4月22日から6月5日までの間に、約25,000の不正アカウントによる組織的なネットワークがAnthropicのインフラストラクチャを攻撃した。これらの合成ユーザーは、深い論理と行動の境界を抽出するために特別に設計された約2880万の異なるプロンプトを体系的にClaudeに供給した。

この作戦の規模は、2026年2月のDeepSeekによるスクレイピング事件を凌駕している。これは受動的なデータスクレイピングではなく、攻撃的で構造化された抽出プロトコルであった。

指標2026年2月 Moonshot/DeepSeekの事件2026年4月〜6月 Alibabaの抽出
疑われる発信元分散型の自律的リサーチャーQwen AIラボのオペレーター (Alibabaグループ)
攻撃期間3週間にわたる散発的なバースト44日間の連続
アカウント数推定3,000確認された25,000の不正アカウント
プロンプト量約400万回のやり取り2880万回のやり取り
主なターゲット言語構文とコーディングのベンチマークエージェント的推論と長期タスク

2880万のプロンプト応答を抽出することで、膨大な合成データセットが生成される。その結果得られたコーパスにより、生徒モデルは、独自モデルの正確なリズム、論理の飛躍、および安全ガードレールの回避を模倣することができるようになる。この近道は、競争優位性が基本的なチャットインターフェースを通じて吸い取られるため、フロンティアモデルへの巨額の資本投資の脆弱性を浮き彫りにしている。

6月10日の上院銀行委員会への提出書類

2026年6月10日、Anthropicは上院銀行・住宅・都市問題委員会への書簡で、Alibabaの蒸留キャンペーンを正式に詳述し、委員長のTim Scott上院議員と筆頭委員のElizabeth Warren上院議員に直接通知した。

Anthropicはこれを単なる企業スパイ行為として提示したわけではない。提出書類では、この抽出を、地政学的な競争相手への米国の資本と知的財産の直接的な移転として位置付けている。Alibabaは25,000の偽アカウントを使用してClaudeの推論能力を吸い上げることで、事実上、米国のインフラを利用して自社のQwenオープンソースモデルの進化を助成したことになる。

この開示は、輸出管理に関してワシントンに再考を迫るものである。現在の規制は、中国企業へのNvidia GPUや高度な半導体の物理的な販売を制限することに重点を置いている。Anthropicの書簡は、海外の研究所がソフトウェアAPIを通じて最終的な洗練されたインテリジェンスを抽出できる場合、ハードウェアの出荷をブロックするだけでは不十分であることを証明している。モデルの重みと論理は、ハードウェアの禁輸措置を完全に回避して、国境をシームレスに越えることができるのである。

標準的なAPIレート制限が失敗した理由

標準的なAPIレート制限は、単一のユーザーまたはIPアドレスが特定の時間枠内に実行できるリクエストの数を制限する。このセキュリティアーキテクチャは、同時にクエリを実行する25,000の異なる認証済みアカウントの分散ネットワークに直面すると、完全に崩壊する。

オペレーターは、2880万プロンプトの抽出を何千もの合成IDに分散させたマイクロバーストに分割することで、量の制限を回避した。個々のアカウントは通常の利用パラメータ内で機能しているように見え、全体的な抽出の試みを隠蔽していた。ネットワークを監視するセキュリティチームは、プロンプト自体の非常に特異で合成的な性質を調査した時にのみ、そのパターンを検出した。

これを防御するには、リクエストの頻度だけでなく、入力のセマンティックな複雑さを追跡する行動分析が必要となる。APIエンドポイントが公開されている限り、正当なエンタープライズのパワーユーザーと高度に洗練された抽出ノードを区別することは、非対称な防御問題であり続ける。

重要なポイント

  • Alibabaに関連するオペレーターは、25,000の不正アカウントを利用して、AnthropicのClaudeに対する大規模なモデル蒸留攻撃を実行した。
  • このネットワークは2026年4月22日から6月5日の間に、エージェント的推論とソフトウェアエンジニアリングの論理を明確なターゲットとして、2880万のプロンプトを生成した。
  • AIモデルの蒸留により、競合他社は一次的な訓練計算に数十億ドルを費やすことなく、独自モデルの推論能力を複製することができる。
  • Anthropicは2026年6月10日、この事件を米国の上院銀行・住宅・都市問題委員会にエスカレーションした。
  • 標準的なAPIレート制限は、何千もの認証された合成IDを利用した分散型抽出攻撃に対しては効果がない。

FAQ

AIモデルの蒸留とは何か?

AIモデルの蒸留は、より小さく安価な「生徒」モデルが、より大きく高度な「教師」モデルによって生成された出力を使用して訓練される機械学習のプロセスである。これにより、開発者は、元のモデル訓練にかかる巨額の財政的および計算的コストを回避しながら、高度な推論とコーディング能力を複製することができる。

AlibabaはどのようにしてAnthropicのClaudeモデルを複製したとされるのか?

Anthropicの開示によると、Alibabaに関連するオペレーターは25,000の偽アカウントのネットワークを使用し、44日間にわたって2880万のターゲットを絞ったプロンプトをClaudeに送信した。これらの複雑な論理テストに対するClaudeの応答を記録することで、彼らは自社のQwenモデルを訓練するための大規模な合成データセットを抽出した。

人工知能における蒸留攻撃とは何か?

蒸留攻撃は、競合する事業体が独自のAIモデルに体系的にクエリを実行し、その知識ベースと推論パターンを抽出する際に発生する。攻撃者は得られたデータセットを使用して自社のモデルを訓練し、元の開発者の知的財産と競争優位性を事実上盗み出す。

AI企業はどのようにして自社のモデルを窃盗から保護しているのか?

AI企業は、レート制限、IPバン、および行動分析を使用して合成的な使用パターンを特定することにより、蒸留攻撃をブロックしようと試みている。しかし、洗練された攻撃者は、抽出プロンプトを数万の不正アカウントに分散させ、その活動を通常のユーザートラフィックとして偽装することで、これらの防御を回避する。

情報源

記事の続き

おすすめ記事