本文来自微信公众号: 碳基智子 ,作者:碳基智子
今年2月份,Anthropic发了一份“详细报告”,指责DeepSeek、月之暗面和MiniMax三家公司对Claude发起了大规模“蒸馏攻击”。报告里写得事无巨细,数字也很具体:2.4万个所谓的虚假账户,1600万次交互,通过商业代理绕过地域限制,把Claude的输出喂给自家模型训练。
Anthropic CEO Dario态度一如往常,说这是"协调性的知识产权盗窃”。我还写了篇文章diss back,说《没见过Anthropic这么虚伪的》。
吃瓜群众马斯克也在X上留下了金句点评:
你偷来的东西被偷了。
意指Anthropic自己,不也是靠互联网上的公共数据训练出来的?原始创作者收到钱了吗?
这引出了一个争论不休的问题——蒸馏到底算不算偷?
1
最新的新闻是:
OpenAI、Anthropic、谷歌这AI领域的御三家,正在达成一个罕见合作共识,组建专项联盟,目标直指模型蒸馏行为,并计划通过技术水印、请求风控、行为溯源、跨平台数据共享等手段,全面封堵针对自家头部模型的蒸馏提取,同时推动全球范围内的技术产权界定,将非法蒸馏纳入技术窃取范畴。
深入聊这个话题之前,我想先分享一组数字。
根据EpochAI的数据,OpenAI 2024年光是研发相关的算力支出就大约50亿美元,其中最终训练环节只占总算力的10%左右,剩下的全烧在了实验、调参、失败的尝试上。
50亿美元,换来的是GPT系列模型的能力天花板。
而2025年引爆全球AI界,让开源模型挺直腰板的DeepSeek R1的最终训练成本是多少呢?大约560万美元。
当然,这个数字本身有水分,DeepSeek的实际投入肯定远不止这些,硬件采购、前期实验、团队成本都没算进去。但架不住这个对比太有冲击力了:一个烧了50亿做出来的东西,另一个花了560万就"学会"了大半能力。
于是,微软和OpenAI联手调查DeepSeek是否“不当蒸馏”ChatGPT就成了当时热议的新闻。让很多人嗤之以鼻的是,当时的OpenAI正被戏谑地称为CloseAI,一个闭源的收费的指责别人开源的,怎么看怎么虚伪。
2
咱先把"道德""公平""正义"这些大词放一边,看一个简单的商业逻辑。
OpenAI的目标是2030年之前在算力上投入600亿。整个前沿AI的商业模型建立在一个核心假设上:谁砸最多的钱做最好的模型,谁就能收最贵的API费用,进而回收研发投入。
蒸馏把这个假设给蒸馏了。
有一说一,蒸馏这个技术本身不新鲜。Hinton十多年前就提出了知识蒸馏的概念,用大模型的输出来训练小模型,这在学术界和工业界都是常规操作。沙克也干了,谁比谁高贵?
蒸馏到底算不算偷?没人答得上来,因为你从哪个角度出发都说得通,这是整件事里最让人抠脑壳的地方。
指控方Anthropic一边在报告里用"盗窃"这个词,一边在公开表态中承认"前沿实验室常规性地蒸馏自己的模型"。
蒸馏本身不是问题,问题是你(竞争对手)蒸馏了"我的"模型。
但你的模型又是用什么训练的?互联网上的公开文本、代码、图片、论文,这些数据的原始创作者签了授权协议吗?New York Times正在告OpenAI,Getty Images告过Stability AI,Reddit因为数据授权费跟Google打了多少回拉锯战。
法律界也没有共识。南洋理工大学的Erik Cambria教授给了一个判断:"合法使用和对抗性利用之间的边界往往是模糊的。"国内的法律分析也偏向这个方向,国浩律师事务所和君合律师事务所都有专业解读,大意是Anthropic的指控在现行法律框架下"站不太住":通过API访问模型并获取输出,跟"盗窃商业秘密”可差得远。
Anthropic当然知道这一点。所以它的策略不是走法律诉讼(到目前为止也没有起诉),而是走舆论战和政策游说。先发报告定性"这是盗窃",再推动政策制定者按这个定性来立规矩。
讲真,这招聪明。与其在法庭上拿现有法律打一场不确定的官司,不如直接推动立一部新法,把"蒸馏他人模型"直接定义为违法行为。谁掌握了定义权,谁就赢了。
3
规则制定权,才是真正的战场。
技术层面的反蒸馏措施,输出水印、流量检测、异常行为识别,说实话都是防君子不防小人的东西。你加水印,对方训练的时候加个去噪步骤就行了。你检测流量,对方用更多的代理账户分散请求就行了。这些技术措施提高了蒸馏的成本,但远远谈不上防住,事实也根本防不住。
大漂亮国已经在做类似的事情了,就像他们一直在做的一样。
真正的杀招在政策层面。
2026年3月18号,美国AI政策研究机构IAPS发了一份重磅报告,标题直接了当:《AI蒸馏攻击:定向政府干预的理由》。报告给出了三层建议:
第一层,把DeepSeek、月之暗面、MiniMax列入商务部实体清单。一旦上了这个名单,受《出口管理条例》约束的一切物品,包括AI模型开发和部署的关键器件,出口给这些公司都需要许可证,而审批的默认倾向是"拒绝"。更厉害的是2025年9月生效的关联规则:被列入清单的实体持股50%以上的关联公司,也会自动受到同等限制。
第二层,动用PAIP法案。这部《保护美国知识产权法》的制裁力度远超实体清单,一旦总统认定某外国实体参与了重大商业秘密盗窃且威胁国家安全,必须从12项制裁措施中选至少5项施加,包括对指定个人的全面资产冻结。PAIP法案的打击面还可以延伸到"提供重大财务、物资或技术支持的实体",大白话就是,帮这些公司做API代理的中间商也可能被波及。
2026年2月24号,PAIP法案已经做出了首批指定,先例已经立了。
第三层,让NIST(美国国家标准与技术研究院)牵头制定"AI蒸馏防御框架",把反蒸馏变成一个行业标准,从访问控制到检测监控再到应急响应,全链条规范化。
看出门道了吗?实体清单限制技术获取,PAIP法案实施经济制裁,NIST框架建立行业标准。三层防御,层层嵌套,核心目标只有一个:"蒸馏他人前沿模型"这件事必须被定义为非法的、会被制裁的、有代价的。
这让我想到两个历史先例。一个是DVD区域码,一张碟片在亚洲买的、在美国的播放器上放不了,技术上毫无道理,但通过行业标准加法律框架硬生生把全球市场切成了几块。另一个是SWIFT结算系统,表面上是全球银行间的通信协议,实际上谁被踢出SWIFT谁就在国际金融体系里消失了。
技术标准的背后永远是规则话语权。
谁定义了"非法蒸馏"的边界,谁就在事实上掌握了下一代AI竞争的准入门槛。今天的"反蒸馏"是为了保护50亿美元的研发投入,明天的"反蒸馏"可能变成一把筛选器,谁能用前沿模型的能力,谁不能用,由规则制定者说了算。
最近Anthropic的新模型Mythos火了,据说强到不能直接发布,强到给美国AI公司先用,去加强自己的防守能力。我看到的却是,这是一出加强美国AI行业竞争力,甚至引发AI网络攻防剑指国内的阳谋。
留给国内AI圈的时间窗口不多了,由衷希望我们能有更多的DeepSeek出现。