Anthropicが「中国AI企業のDeepSeek・Moonshot・MiniMaxは不正にClaudeの能力を抽出している」と非難

AIチャットボット・Claudeを開発するAnthropicが、「中国に拠点を置くAI企業のDeepSeek、Moonshot、MiniMaxが自社のモデルを改良するためにClaudeの能力を不正に抽出する大規模なキャンペーンを展開している」と自社ブログで主張しました。Anthropicは、問題の3社が約2万4000人分の不正アカウントを通じてClaudeとのべ1600万回以上のセッションを行い、利用規約および地域アクセス制限に違反したと述べています。

Detecting and preventing distillation attacks \ Anthropic
https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks

非難された3社は、より能力の高いモデルの出力を用いて自分のモデルを学習させる「蒸留」を行っていたとのこと。Anthropicは「蒸留は広く用いられる正当なトレーニング手法です。例えば、最先端のAI研究所では顧客向けに小型で低コストなバージョンを作成するため、自社モデルを日常的に蒸留しています。しかし蒸留は不正な目的にも利用されることがあります。競合他社はこれを用いて、他社AIモデルの強力な能力を、独自開発に要する時間やコストのほんの一部で獲得できるのです」と述べています。

by Tom Doel

Anthropicによれば、DeepSeekによるキャンペーンは15万回以上のやり取りに及んでいて、多様なタスクにおける推論能力や、Claudeを強化学習の報酬モデルとして機能させるためのルーブリックベースの評価タスク、さらにポリシーに関わる機密性の高いクエリに対する検閲を回避した代替案の作成を標的としていたとのこと。

DeepSeekは複数のアカウント間で同期されたトラフィックを生成し、同一のパターンや共通の支払い方法、調整されたタイミングを用いることで、スループットの向上と検出回避を目的とした「ロードバランシング」を行っていたとAnthropicは主張しています。特にDeepseekはClaudeに対して回答の背後にある内部的な推論を想像して段階的に書き出すよう求めるプロンプトを使用し、思考の連鎖(Chain-of-Thought)の学習データを大規模に生成していた、とAnthropicは非難しています。

また、反体制派や政党指導者、権威主義に関する政治的に敏感な質問に対して検閲を回避した回答を生成させ、自社モデルが検閲対象の話題から会話をそらすように学習させていたことも確認されたとのこと。これらのアカウントはリクエストのメタデータを通じて、DeepSeekの特定の研究者に紐付けられているとAnthropicは報告しました。

Moonshotによるキャンペーンは340万回以上のセッションで構成されているとのこと。対象となったのはエージェント推論やツールの使用、コーディングとデータ分析、コンピューター使用エージェントの開発、そしてコンピュータービジョンです。Moonshot(Kimiモデル)は複数のアクセス経路にわたる数百の不正アカウントを利用しており、多様なアカウントタイプを使い分けることで組織的な運用を検出されにくくしていた模様。

AnthropicはMoonshotがClaudeの推論の痕跡を抽出して再構築しようとする、より標的を絞ったアプローチも試みていたと指摘。また、リクエストのメタデータから、Moonshotの上級スタッフの公開プロフィールと一致したことから同社によるものと特定されたとAnthropicは報告しています。

MiniMaxによるキャンペーンは1300万回以上のセッションという最大規模で、標的となったのはエージェントによるコーディング、ツールの使用およびオーケストレーションだったとのこと。このキャンペーンはリクエストのメタデータやインフラの指標、公開されている製品ロードマップとの照合によって同社によるものと断定されています。

AnthropicはMiniMaxが学習中のモデルをリリースする前の活動中にこのキャンペーンを検知しており、データ生成からモデルのローンチに至るまでの蒸留攻撃のライフサイクルを詳細に把握することに成功したと報告しています。また、Anthropicが新しいモデルをリリースした際、MiniMaxは24時間以内にトラフィックの約半分を最新システムからの能力抽出に振り向けるという、極めて迅速な対応を見せたそうです。

Anthropicは「国家安全保障上の理由により、Anthropicは中国国内のClaudeおよび中国国外にある同社の子会社への商用アクセスを提供していません」述べ、Claudeをはじめとする最先端のAIモデルに中国からアクセスするための商用プロキシサービスが使われていると主張しました。

この商用プロキシサービスは「ヒドラクラスター」と呼ばれるアーキテクチャを実行しており、ネットワークが非常に広範囲に及んでいるため、システム全体を停止させるような単一障害点が存在しないという特徴があるとのこと。もし特定のアカウントが利用禁止になったとしても、即座に新しいアカウントが生成されてその代わりを務める仕組みになっているとAnthropicは指摘しました。

Anthropicは蒸留攻撃の実行を困難にし、検知を容易にするための防御策に多額の投資を継続すると述べました。具体的な取り組みとして、APIトラフィック内の攻撃パターンを特定するための分類器やフィンガープリントシステムの構築に加え、思考の連鎖を引き出す手法や大量のアカウントによる組織的な活動の検知を行っているとのこと。

また、技術的な指標を他のAIラボやクラウドプロバイダー、関係当局と共有して状況を包括的に把握するとともに、不正アカウントの作成に悪用されやすい教育用やスタートアップ向けアカウントの本人確認を強化すると述べています。

さらに、正規の利用者の利便性を維持しつつ、不当な蒸留に対するモデル出力の有効性を低下させる製品やAPI、モデルレベルの保護策の開発も進めています。Anthropicは一社のみでこの問題に対処することは不可能であると考え、AI業界全体やクラウドプロバイダー、および政策立案者による迅速で協調した対応を呼びかけ、そのための証拠を公開しています。