2026 年 6 月 24 日这一天,关于「Claude 与阿里」的两条线几乎同时出现,方向却完全相反。一边,Anthropic 被曝出已于 6 月 10 日致信美国参议院银行、住房与城市事务委员会,指控与阿里巴巴及其 AI 实验室「关联」的操作者大规模「非法提取」(illicitly extract)Claude 的能力,并称这是迄今针对它**「已知最大的一次蒸馏攻击」**;另一边,阿里 Qwen 团队的论文 Qwen-AgentWorld 当天登上 HuggingFace 的当日论文榜首,以 136 个赞领跑,论文摘要直言其模型「显著超越现有前沿模型」。一封信讲「你偷了我的能力」,一篇论文讲「我比你强」——这种对撞,本身就是这条新闻最值得记下的地方。
需要先把信源边界说清楚:这桩指控的原始出处是 Reuters(记者署名 Karen Freifeld,URL 日期标注 6 月 24 日),但该页面在抓取时返回「Access is temporarily restricted」反爬拦截,正文无法直接核验。所幸 CNBC 在同一天发布了独立报道,正文可完整读取,并确认了 Reuters 口径的全部关键数字。因此本条以 CNBC 的同日报道、以及 HuggingFace / arXiv 上可直接读到的论文页为事实基础;凡仅见于 Anthropic 单方信件、未经阿里确认的内容,均按「单方主张」处理。
发生了什么
据 CNBC(同日报道,记者 Kate Rooney 参与)援引其看到的信件:Anthropic 在致参议员 Tim Scott(共和党,南卡) 与 Elizabeth Warren(民主党,马萨诸塞) 的信中称,与阿里巴巴及其 AI 实验室关联的操作者在 2026 年 4 月 22 日至 6 月 5 日之间,用大约 25,000 个欺诈账户与 Anthropic 的模型进行了 2880 万次(28.8 million)交互,并把这次行动定性为「迄今对 Anthropic 已知最大的一次蒸馏攻击」。所谓「蒸馏」(distillation),CNBC 给的定义很朴素:用一个更强模型的输出,去训练或构建一个较弱的模型。
CNBC 还补了几个关键的上下文:Bloomberg 最先报道了这封信;Anthropic 发言人就此表态称「打击非法蒸馏的威胁需要政府与产业协同行动,我们将继续与国会和政府合作,以维持美国的 AI 领导地位」;阿里方面未立即回应置评请求。值得注意的是,这并非孤例——CNBC 提到,Anthropic 早在今年 2 月就点名过 DeepSeek、Moonshot(月之暗面)、MiniMax 三家的「工业级」蒸馏行动,当时它就在博客里说这类行动「强度和复杂度都在上升」。
而就在指控见报的同一天,阿里 Qwen 把一篇技术论文推上了 HuggingFace 的聚光灯下。Qwen-AgentWorld 的定位是「面向通用智能体的语言世界模型」(Language World Models for General Agents):用语言模型去预测「环境在某个动作之后会返回什么观测」,把这种「世界建模」能力作为智能体推理与规划的核心。论文(arXiv 与 HuggingFace 镜像页编号 2606.24597,标注 6 月 23 日)开源了两个模型——Qwen-AgentWorld-35B-A3B 与 Qwen-AgentWorld-397B-A17B,覆盖 7 类智能体环境域,基于超过 1000 万条真实环境交互轨迹,经 CPT → SFT → RL 三段式训练得到;并随附自建评测基准 AgentWorldBench。摘要原文称其「显著超越现有前沿模型」(significantly outperforms existing frontier models)。
这里要做一处严谨的区分:论文摘要本身并没有点名 Claude Opus 4.8 或 GPT-5.4,只说「超越现有前沿模型」;「超越 Claude」「超越 GPT」这类具体表述来自论文正文的榜单(及随后的官方传播口径),而 AgentWorldBench 是 Qwen 自己构建的基准。换句话说,「登顶」首先是登上了 HuggingFace 的社区点赞榜,而「超越前沿模型」是在一把自家尺子上的结论——两件事都真实,但都不等于「Qwen 当智能体已经比 Claude 强」。
关键数据:被指控的蒸馏规模(Anthropic 单方口径)
以下数字均来自 Anthropic 致参议员信件、经 CNBC 转述,阿里巴巴未予确认:
| 项目 | 数值 | 来源口径 |
|---|---|---|
| 被指控行动时间窗 | 2026.04.22 – 06.05 | Anthropic 信件 / CNBC |
| 欺诈账户数 | 约 25,000 个 | Anthropic 信件 / CNBC |
| 与模型的交互次数 | 2880 万次(28.8M) | Anthropic 信件 / CNBC |
| 定性 | 「迄今已知最大的一次蒸馏攻击」 | Anthropic 信件 / CNBC |
| 致信对象 | 参议院银行委员会(Tim Scott、Elizabeth Warren) | CNBC |
| 致信日期 | 6 月 10 日 | CNBC |
| 此前被点名主体(2 月) | DeepSeek、Moonshot、MiniMax | CNBC |
CNBC 同时给出了一条容易被忽略、但对理解时间点很关键的背景:就在 Anthropic 与政策方密集互动的这几周,它自己的前沿模型也正被本国监管收紧——Anthropic 称本月收到来自特朗普政府的出口管制指令,要求其暂停任何外国国民(无论身处美国境内外,包括外籍员工)访问其最新的 Fable 5 与 Mythos 5 模型,政府援引「国家安全权限」但未说明具体顾虑。Anthropic 派高管飞往华盛顿磋商,称「双方正快速推动解决」。也就是说,在 Anthropic 高调指控对手「窃取能力」的同一周,「国家安全」这把尺子也正反过来量到它自己头上。
关键数据:登顶 HuggingFace 的 Qwen-AgentWorld(论文页可核验)
下表来自 HuggingFace / arXiv 论文页,可直接核验;benchmark 对比分数则属论文正文口径,且基准为 Qwen 自建,引用时应打折看待:
| 项目 | 内容 | 核验状态 |
|---|---|---|
| 论文标题 | Qwen-AgentWorld: Language World Models for General Agents | HF/arXiv 已核验 |
| 发布日期 | 2026-06-23(指控见报前一天) | HF/arXiv 已核验 |
| HuggingFace 当日票数 | 136 赞(当日榜首) | HF 已核验 |
| 开源模型 | 35B-A3B、397B-A17B(MoE) | abstract 已核验 |
| 覆盖环境域 | 7 类 agent 环境 | abstract 已核验 |
| 训练数据 | >1000 万条真实环境交互轨迹 | abstract 已核验 |
| 训练范式 | CPT → SFT → RL(混合 rubric + rule 奖励) | abstract 已核验 |
| 自建基准 | AgentWorldBench(取自 5 个前沿模型在 9 个基准上的真实交互) | abstract 已核验 |
| 「超越前沿模型」 | 摘要原文 “significantly outperforms existing frontier models”,未点名 Claude/GPT | abstract 已核验 |
有一点必须替读者点破:AgentWorldBench 衡量的不是「智能体把任务做没做成」,而是「世界模型预测环境下一步观测的质量」——给定交互历史和一个动作,模型对「环境会返回什么」的模拟有多准。所以「在 AgentWorldBench 上超越前沿模型」,准确含义是「在预测环境输出这件事上、在 Qwen 自定义的基准上更准」,与「Qwen 做智能体比 Claude / GPT 更强」并不是一回事。至于论文宣称的、用世界模型「预热」带来的下游 agent 增益,目前主要见于论文与官方口径,尚待第三方榜单复现,本条不当作既成事实。
为何重要
把这两条线放回 6 月 24 日这一天看,它的分量不在任何单一数字,而在「同时性」本身。
第一,「非法」二字踩在一片法律空白上。 用约 2.5 万个伪造账户、绕过身份验证去工业化套取模型输出,这部分若属实,清清楚楚违反服务条款、甚至可能构成欺诈,几乎没有辩护空间——2880 万次的规模本身就说明这不是零散羊毛党,而是有组织的行为。但「通过付费 API 调用、再从输出里学习能力」这件事本身是否「非法」,在美国法下远未有定论:模型输出是否构成受保护的知识产权?违反条款的「正常付费调用」能否套用计算机欺诈相关法律?这些都没有现成判例。Anthropic 的修辞恰恰是把「账户欺诈」(明确违规)和「蒸馏」(法律灰色)焊进同一个词组「illicitly extract」,用前者的道德重量去给后者背书。
第二,这是闭源护城河的结构性问题。 闭源实验室的壁垒是权重,但它的输出对任何付费者都是可观测的;只要输出可观测,蒸馏在原理上就是可逼近的。Anthropic 在 2 月已点名 DeepSeek / Moonshot / MiniMax,如今再把阿里列为「最大一次」,说明它面对的不是某一家的偶发行为,而是一种针对「闭源 API 输出」的系统性套利。这把矛盾从「谁更坏」推向了「这套以可观测输出对外服务的商业模式,天然在邀请蒸馏」。
第三,叙事框架这一天压过了技术现实。 Qwen 的「登顶」首先是社区点赞榜的登顶,「超越前沿模型」是在自家世界模型基准上的窄口径结论;Anthropic 的指控是一封单方信件、且其自身前沿模型同期正被出口管制收紧。两件事的技术/事实内核都不算惊人,但叠在同一天,就被各方裁成截然不同的故事:对中国语境是「自主创新、被打压仍登顶」,对美国语境是「窃取能力、威胁国家安全」。真正在发生的格局变化,不是某个模型突然变强,而是「蒸馏」被正式抬进了参议院银行委员会的视野——它从「刷榜 / 套利」升格成了「技术转移、国家安全」议题。
我们的判断分三层,刻意不照搬任何一方的宣传口径,也提醒读者:本条最硬的一手原文(Reuters)我们没能直接核验,以下推理建立在 CNBC 同日报道与论文页之上,置信度中等。
第一层,把「欺诈」和「蒸馏」拆开,结论完全不同。 用约 2.5 万个伪造账户、绕过 KYC 去工业化套取 Claude,如果取证站得住,这就是实打实的账户欺诈与条款违反,2880 万次的体量说明它是有组织行为,没什么可洗。但「蒸馏」作为技术行为是否「非法」是另一个问题,目前没有判例支撑「模型输出 = 受保护 IP」。Anthropic 把两者捆进「illicitly extract」一个词,是聪明的修辞,读者要警惕这种焊接——你完全可以同时认为「账户欺诈该罚」且「从 API 输出蒸馏是否违法尚无定论」。
第二层,时间点比指控本身更值得玩味。 Anthropic 指控对手「窃能力、威胁美国 AI 领导地位」的同一周,它自己的 Fable 5 / Mythos 5 正因「国家安全」被本国出口管制要求对所有外国国民断访。这说明「安全」这把尺子这一周对所有人都举着,谁都不是纯粹的受害者或赢家。把这桩事读成单纯的「中国偷美国」或单纯的「闭源活该」,都漏掉了一半。同样,Qwen 选在指控见报当天让论文登顶,无论是否刻意,客观上都让「被打压 vs. 仍登顶」的叙事更好讲——但「登顶 HuggingFace 点赞榜」和「在自建基准上更准」,都离「智能体能力全面超越 Claude」很远,中文舆论场若读成「全面超越」就是误读。
第三层,也是最容易被「都是 Anthropic 自找的」这类爽文盖掉的反面 caveat:不能因为指控方姿态可议,就把事情整体判为无害。 如果 2880 万次、欺诈账户这些事实成立,这就是一次有组织、靠欺诈支撑、且与一个国家级实验室相邻的能力转移——这正是美国一定会按战略问题处理的那类事(它确实已被写进致参议员的信、并踩在白宫 OSTP 此前关于「工业级蒸馏」的备忘录上)。把它轻飘飘归结为「套利而已」,是低估了它的真实分量。
合起来,诚实的读法是:欺诈部分大概率违规且有害;蒸馏部分法律未定;而这一天真正改变的,是把这一切包裹起来的地缘政治框架——「蒸馏」被正式政治化了。 这对所有闭源前沿实验室都是坏消息:它们的护城河既可被原理逼近,又随时可能被对手反过来当成「你不让我学=打压」的叙事素材。而 Reuters 原文我们尚未核到,后续若有与 CNBC 口径不一致的细节,以可核验的一手信源为准。
接下来看什么
- Reuters / Bloomberg 原文与 Anthropic 是否公开技术证据。 目前公开的只是一封信和几个数字。账户指纹、prompt 模式、与 Qwen 训练数据的关联——有没有可核验的取证,是「illicit」站不站得住的试金石。停留在「致信参议员」层面,它就更像政策动作而非法律主张。
- 阿里 / Qwen 的官方回应。 是正面否认、技术反驳,还是沉默。回应的具体程度,比回应本身更有信息量。
- 会不会变成政策或判例。 商务部、国会是否把它推向针对外国实验室 API 访问的监管(类似出口管制式的 KYC 要求);以及「模型输出是否受保护」这个问题会不会第一次进法庭。这是本案最可能产生长期影响的方向。
- Anthropic 自家 Fable 5 / Mythos 5 的出口管制何时解除。 它与「指控对手」是同一周的两面,后续走向会反过来说明「国家安全」这把尺子到底怎么落到本土厂商头上。
- Qwen-AgentWorld 在中立第三方榜单上的真实 agent 表现。 别只看自报的 AgentWorldBench,去看独立榜单上 35B-A3B / 397B-A17B 的实际任务成功率,以及社区对开源权重的复现数据。