Detecting and preventing distillation attacks
Anthropic выявила промышленные кампании трёх китайских ИИ-лабораторий — DeepSeek, Moonshot и MiniMax — по незаконному извлечению возможностей Claude для улучшения собственных моделей. С помощью около 24 000 фальшивых аккаунтов эти лаборатории сгенерировали свыше 16 миллионов обменов с Claude в нарушение условий использования и региональных ограничений. Применялась техника «дистилляции» — обучение более слабой модели на выводах более сильной; легитимный метод, который здесь использовался для кражи возможностей в разы быстрее и дешевле. Нелегально дистиллированные модели лишены защитных механизмов, что создаёт риски национальной безопасности, а извлечённые возможности могут попасть в военные, разведывательные и надзорные системы авторитарных режимов. Кампании нацелены на самые уникальные способности Claude: агентное рассуждение, использование инструментов и программирование; MiniMax, например, в течение 24 часов переориентировала почти половину трафика на новую модель Anthropic. В ответ компания развивает классификаторы, поведенческий «отпечаток», обмен данными с другими лабораториями, усиленную верификацию аккаунтов и контрмеры на уровне продукта, API и модели, призывая к скоординированным действиям индустрии и регуляторов.
Detecting and preventing distillation attacks
Обнаружение и предотвращение дистилляционных атак
We have identified industrial-scale campaigns by three AI laboratories—DeepSeek, Moonshot, and MiniMax—to illicitly extract Claude’s capabilities to improve their own models. These labs generated over 16 million exchanges with Claude through approximately 24,000 fraudulent accounts, in violation of our terms of service and regional access restrictions.
Мы выявили промышленного масштаба кампании трёх ИИ-лабораторий — DeepSeek, Moonshot и MiniMax, — направленные на незаконное извлечение возможностей Claude для улучшения их собственных моделей. Эти лаборатории сгенерировали свыше 16 миллионов обменов с Claude через приблизительно 24 000 фальшивых аккаунтов, нарушая наши условия использования и региональные ограничения доступа.
These labs used a technique called “distillation,” which involves training a less capable model on the outputs of a stronger one. Distillation is a widely used and legitimate training method. For example, frontier AI labs routinely distill their own models to create smaller, cheaper versions for their customers. But distillation can also be used for illicit purposes: competitors can use it to acquire powerful capabilities from other labs in a fraction of the time, and at a fraction of the cost, that it would take to develop them independently.
Эти лаборатории применяли технику под названием «дистилляция», которая заключается в обучении менее способной модели на выводах более сильной. Дистилляция — широко используемый и легитимный метод обучения. Например, передовые ИИ-лаборатории регулярно дистиллируют собственные модели, чтобы создавать меньшие и более дешёвые версии для своих клиентов. Но дистилляцию можно использовать и в незаконных целях: конкуренты могут с её помощью получать мощные возможности других лабораторий за малую долю времени и затрат, которые потребовались бы для их самостоятельной разработки.
These campaigns are growing in intensity and sophistication. The window to act is narrow, and the threat extends beyond any single company or region. Addressing it will require rapid, coordinated action among industry players, policymakers, and the global AI community.
Эти кампании растут по интенсивности и изощрённости. Окно для действий узкое, а угроза выходит за пределы любой отдельной компании или региона. Её решение потребует быстрых, скоординированных действий участников индустрии, политиков и мирового ИИ-сообщества.
Why distillation matters
Почему дистилляция имеет значение
Illicitly distilled models lack necessary safeguards, creating significant national security risks. Anthropic and other US companies build systems that prevent state and non-state actors from using AI to, for example, develop bioweapons or carry out malicious cyber activities. Models built through illicit distillation are unlikely to retain those safeguards, meaning that dangerous capabilities can proliferate with many protections stripped out entirely.
Нелегально дистиллированные модели лишены необходимых защитных механизмов, что создаёт значительные риски для национальной безопасности. Anthropic и другие американские компании создают системы, которые не позволяют государственным и негосударственным субъектам использовать ИИ, например, для разработки биологического оружия или проведения вредоносных киберопераций. Модели, построенные путём незаконной дистилляции, вряд ли сохранят эти защитные механизмы, а значит, опасные возможности могут распространяться с полностью снятыми многими средствами защиты.
Foreign labs that distill American models can then feed these unprotected capabilities into military, intelligence, and surveillance systems—enabling authoritarian governments to deploy frontier AI for offensive cyber operations, disinformation campaigns, and mass surveillance. If distilled models are open-sourced, this risk multiplies as these capabilities spread freely beyond any single government's control.
Зарубежные лаборатории, дистиллирующие американские модели, могут затем встраивать эти незащищённые возможности в военные, разведывательные и надзорные системы, позволяя авторитарным правительствам применять передовой ИИ для наступательных киберопераций, кампаний по дезинформации и массовой слежки. Если дистиллированные модели публикуются с открытым исходным кодом, этот риск многократно возрастает, поскольку такие возможности свободно распространяются вне контроля какого-либо отдельного правительства.
Distillation attacks and export controls
Дистилляционные атаки и экспортный контроль
Anthropic has consistently supported export controls to help maintain America’s lead in AI. Distillation attacks undermine those controls by allowing foreign labs, including those subject to the control of the Chinese Communist Party, to close the competitive advantage that export controls are designed to preserve through other means.
Anthropic последовательно поддерживала экспортный контроль, помогающий сохранять лидерство Америки в области ИИ. Дистилляционные атаки подрывают этот контроль, позволяя зарубежным лабораториям, в том числе подконтрольным Коммунистической партии Китая, иными способами сокращать конкурентное преимущество, которое экспортный контроль призван сохранять.
Without visibility into these attacks, the apparently rapid advancements made by these labs are incorrectly taken as evidence that export controls are ineffective and able to be circumvented by innovation. In reality, these advancements depend in significant part on capabilities extracted from American models, and executing this extraction at scale requires access to advanced chips. Distillation attacks therefore reinforce the rationale for export controls: restricted chip access limits both direct model training and the scale of illicit distillation.
Без понимания этих атак кажущиеся стремительными достижения этих лабораторий ошибочно воспринимаются как доказательство того, что экспортный контроль неэффективен и может быть обойдён за счёт инноваций. В действительности эти достижения в значительной мере зависят от возможностей, извлечённых из американских моделей, а проведение такого извлечения в масштабе требует доступа к передовым чипам. Поэтому дистилляционные атаки лишь усиливают обоснование экспортного контроля: ограничение доступа к чипам сдерживает как непосредственное обучение моделей, так и масштаб незаконной дистилляции.
What we found
Что мы обнаружили
The three distillation campaigns detailed below followed a similar playbook, using fraudulent accounts and proxy services to access Claude at scale while evading detection. The volume, structure, and focus of the prompts were distinct from normal usage patterns, reflecting deliberate capability extraction rather than legitimate use.
Три описанные ниже дистилляционные кампании следовали схожему сценарию, используя фальшивые аккаунты и прокси-сервисы для масштабного доступа к Claude при уклонении от обнаружения. Объём, структура и направленность запросов отличались от обычных паттернов использования, отражая целенаправленное извлечение возможностей, а не легитимное применение.
We attributed each campaign to a specific lab with high confidence through IP address correlation, request metadata, infrastructure indicators, and in some cases corroboration from industry partners who observed the same actors and behaviors on their platforms. Each campaign targeted Claude's most differentiated capabilities: agentic reasoning, tool use, and coding.
Мы атрибутировали каждую кампанию конкретной лаборатории с высокой степенью уверенности на основе корреляции IP-адресов, метаданных запросов, инфраструктурных индикаторов, а в ряде случаев — подтверждения от партнёров по индустрии, наблюдавших тех же субъектов и поведение на своих платформах. Каждая кампания была нацелена на наиболее отличительные возможности Claude: агентное рассуждение, использование инструментов и программирование.
DeepSeek
DeepSeek
Scale: Over 150,000 exchanges
Масштаб: свыше 150 000 обменов
The operation targeted:
Операция была нацелена на:
Способности к рассуждению в разнообразных задачахЗадачи оценивания по рубрикам, заставлявшие Claude выступать в роли модели вознаграждения для обучения с подкреплениемСоздание безопасных с точки зрения цензуры альтернатив для политически чувствительных запросов
DeepSeek generated synchronized traffic across accounts. Identical patterns, shared payment methods, and coordinated timing suggested “load balancing” to increase throughput, improve reliability, and avoid detection.
DeepSeek генерировала синхронизированный трафик между аккаунтами. Идентичные паттерны, общие способы оплаты и согласованное распределение по времени указывали на «балансировку нагрузки» с целью повышения пропускной способности, надёжности и уклонения от обнаружения.
In one notable technique, their prompts asked Claude to imagine and articulate the internal reasoning behind a completed response and write it out step by step—effectively generating chain-of-thought training data at scale. We also observed tasks in which Claude was used to generate censorship-safe alternatives to politically sensitive queries like questions about dissidents, party leaders, or authoritarianism, likely in order to train DeepSeek’s own models to steer conversations away from censored topics. By examining request metadata, we were able to trace these accounts to specific researchers at the lab.
В одной примечательной технике их запросы просили Claude вообразить и сформулировать внутреннее рассуждение, стоящее за готовым ответом, и пошагово его расписать — фактически генерируя обучающие данные с цепочкой рассуждений в масштабе. Мы также наблюдали задачи, в которых Claude использовался для генерации безопасных с точки зрения цензуры альтернатив политически чувствительным запросам — например, вопросам о диссидентах, партийных лидерах или авторитаризме, — вероятно, чтобы обучить собственные модели DeepSeek уводить разговоры от цензурируемых тем. Анализируя метаданные запросов, мы смогли проследить эти аккаунты до конкретных исследователей этой лаборатории.
Moonshot AI
Moonshot AI
Scale: Over 3.4 million exchanges
Масштаб: свыше 3,4 миллиона обменов
The operation targeted:
Операция была нацелена на:
Агентное рассуждение и использование инструментовПрограммирование и анализ данныхРазработку агентов, использующих компьютерКомпьютерное зрение
Moonshot (Kimi models) employed hundreds of fraudulent accounts spanning multiple access pathways. Varied account types made the campaign harder to detect as a coordinated operation. We attributed the campaign through request metadata, which matched the public profiles of senior Moonshot staff. In a later phase, Moonshot used a more targeted approach, attempting to extract and reconstruct Claude’s reasoning traces.
Moonshot (модели Kimi) задействовала сотни фальшивых аккаунтов, охватывающих несколько путей доступа. Разнообразие типов аккаунтов затрудняло выявление кампании как скоординированной операции. Мы атрибутировали кампанию по метаданным запросов, совпавшим с публичными профилями старших сотрудников Moonshot. На более позднем этапе Moonshot применяла более точечный подход, пытаясь извлечь и реконструировать трассы рассуждений Claude.
MiniMax
MiniMax
Scale: Over 13 million exchanges
Масштаб: свыше 13 миллионов обменов
The operation targeted:
Операция была нацелена на:
Агентное программированиеИспользование инструментов и оркестрацию
We attributed the campaign to MiniMax through request metadata and infrastructure indicators, and confirmed timings against their public product roadmap. We detected this campaign while it was still active—before MiniMax released the model it was training—giving us unprecedented visibility into the life cycle of distillation attacks, from data generation through to model launch. When we released a new model during MiniMax’s active campaign, they pivoted within 24 hours, redirecting nearly half their traffic to capture capabilities from our latest system.
Мы атрибутировали кампанию MiniMax по метаданным запросов и инфраструктурным индикаторам и подтвердили её сроки по их публичной дорожной карте продукта. Мы обнаружили эту кампанию, пока она ещё была активна, — до того как MiniMax выпустила модель, которую обучала, — что дало нам беспрецедентное представление о жизненном цикле дистилляционных атак, от генерации данных до запуска модели. Когда мы выпустили новую модель во время активной кампании MiniMax, они в течение 24 часов переориентировались, перенаправив почти половину своего трафика на захват возможностей нашей новейшей системы.
How distillers access frontier models
Как дистилляторы получают доступ к передовым моделям
For national security reasons, Anthropic does not currently offer commercial access to Claude in China, or to subsidiaries of their companies located outside of the country.
По соображениям национальной безопасности Anthropic в настоящее время не предоставляет коммерческий доступ к Claude в Китае, а также дочерним компаниям этих фирм, расположенным за пределами страны.
To circumvent this, labs use commercial proxy services which resell access to Claude and other frontier AI models at scale. These services run what we call “hydra cluster” architectures: sprawling networks of fraudulent accounts that distribute traffic across our API as well as third-party cloud platforms. The breadth of these networks means that there are no single points of failure. When one account is banned, a new one takes its place. In one case, a single proxy network managed more than 20,000 fraudulent accounts simultaneously, mixing distillation traffic with unrelated customer requests to make detection harder.
Чтобы обойти это, лаборатории используют коммерческие прокси-сервисы, которые в масштабе перепродают доступ к Claude и другим передовым ИИ-моделям. Эти сервисы работают на архитектурах, которые мы называем «кластерами-гидрами»: разветвлённых сетях фальшивых аккаунтов, распределяющих трафик по нашему API, а также по сторонним облачным платформам. Широта этих сетей означает отсутствие единых точек отказа. Когда один аккаунт блокируется, его место занимает новый. В одном случае единственная прокси-сеть одновременно управляла более чем 20 000 фальшивых аккаунтов, смешивая дистилляционный трафик с не связанными с ним клиентскими запросами, чтобы затруднить обнаружение.
Once access is secured, the labs generate large volumes of carefully crafted prompts designed to extract specific capabilities from the model. The goal is either to collect high-quality responses for direct model training, or to generate tens of thousands of unique tasks needed to run reinforcement learning. What distinguishes a distillation attack from normal usage is the pattern. A prompt like the following (which approximates similar prompts we have seen used repetitively and at scale) may seem benign on its own:
Получив доступ, лаборатории генерируют большие объёмы тщательно составленных запросов, призванных извлечь из модели конкретные возможности. Цель — либо собрать высококачественные ответы для непосредственного обучения модели, либо сгенерировать десятки тысяч уникальных задач, необходимых для запуска обучения с подкреплением. Дистилляционную атаку от обычного использования отличает паттерн. Запрос вроде приведённого ниже (он приближённо передаёт похожие запросы, которые мы видели применявшимися многократно и в масштабе) сам по себе может показаться безобидным:
You are an expert data analyst combining statistical rigor with deep domain knowledge. Your goal is to deliver data-driven insights — not summaries or visualizations — grounded in real data and supported by complete and transparent reasoning.
Вы — эксперт-аналитик данных, сочетающий статистическую строгость с глубокими знаниями предметной области. Ваша цель — выдавать управляемые данными инсайты, а не сводки или визуализации, опирающиеся на реальные данные и подкреплённые полным и прозрачным рассуждением.
But when variations of that prompt arrive tens of thousands of times across hundreds of coordinated accounts, all targeting the same narrow capability, the pattern becomes clear. Massive volume concentrated in a few areas, highly repetitive structures, and content that maps directly onto what is most valuable for training an AI model are the hallmarks of a distillation attack.
Но когда вариации этого запроса поступают десятки тысяч раз через сотни скоординированных аккаунтов, все нацеленные на одну узкую возможность, паттерн становится очевиден. Огромный объём, сконцентрированный в нескольких областях, крайне повторяющиеся структуры и содержание, напрямую соответствующее тому, что наиболее ценно для обучения ИИ-модели, — вот характерные признаки дистилляционной атаки.
How we’re responding
Как мы реагируем
We continue to invest heavily in defenses that make such distillation attacks harder to execute and easier to identify. These include:
Мы продолжаем активно вкладываться в средства защиты, которые делают подобные дистилляционные атаки более трудными в исполнении и более простыми для выявления. К ним относятся:
Обнаружение. Мы построили несколько классификаторов и систем поведенческого «отпечатка», призванных выявлять паттерны дистилляционных атак в трафике API. Сюда входит обнаружение выманивания цепочки рассуждений, используемого для построения обучающих данных рассуждений. Мы также создали инструменты обнаружения для выявления скоординированной активности по большому числу аккаунтов.Обмен разведданными. Мы делимся техническими индикаторами с другими ИИ-лабораториями, облачными провайдерами и соответствующими органами власти. Это даёт более целостную картину ландшафта дистилляции.Контроль доступа. Мы усилили верификацию для образовательных аккаунтов, программ исследований в области безопасности и стартап-организаций — путей, наиболее часто эксплуатируемых для создания фальшивых аккаунтов.Контрмеры. Мы разрабатываем защитные механизмы на уровне продукта, API и модели, призванные снизить эффективность выводов модели для незаконной дистилляции, не ухудшая опыт легитимных клиентов.
But no company can solve this alone. As we noted above, distillation attacks at this scale require a coordinated response across the AI industry, cloud providers, and policymakers. We are publishing this to make the evidence available to everyone with a stake in the outcome.
Но ни одна компания не может решить это в одиночку. Как мы отметили выше, дистилляционные атаки такого масштаба требуют скоординированного ответа всей ИИ-индустрии, облачных провайдеров и политиков. Мы публикуем это, чтобы сделать доказательства доступными каждому, кто заинтересован в исходе.
Related content
Связанные материалы
PwC is deploying Claude to build technology, execute deals, and reinvent enterprise functions for clients
PwC внедряет Claude для создания технологий, заключения сделок и переосмысления корпоративных функций для клиентов
PwC will roll out Claude Code and Cowork starting with U.S. teams and expanding toward a global workforce of hundreds of thousands of professionals, establish a joint Center of Excellence, and train and certify 30,000 PwC professionals on Claude.
PwC развернёт Claude Code и Cowork, начав с команд в США и расширяясь до глобального штата в сотни тысяч специалистов, создаст совместный Центр передового опыта, а также обучит и сертифицирует 30 000 специалистов PwC по работе с Claude.
Anthropic forms $200 million partnership with the Gates Foundation
Anthropic заключает партнёрство на 200 миллионов долларов с Фондом Гейтсов
Introducing Claude for Small Business
Представляем Claude для малого бизнеса
We're launching Claude for Small Business, a package of connectors and ready-to-run workflows that put Claude inside the tools small businesses use every day.
Мы запускаем Claude для малого бизнеса — пакет коннекторов и готовых к запуску рабочих процессов, которые встраивают Claude в инструменты, используемые малым бизнесом каждый день.