Anthropic 在一封被 Reuters 看到的信中指控阿里巴巴「非法提取」(illicitly extracted)其 Claude 模型的能力,并称这是迄今针对它规模最大的一次蒸馏攻击。据 Reuters(记者 Karen Freifeld,6 月 24 日发稿)与 CNBC、Business Today 等多家媒体的一致报道,这次行动发生在 2026 年 4 月 22 日至 6 月 5 日之间,通过近 25,000 个欺诈账户与 Claude 产生了超过 2880 万次(28.8 million)对话,操作者被指与阿里巴巴及其 AI 实验室阿里 Qwen「有关联」。Anthropic 声称该行动的目标是「加速中国复刻其先进 Mythos Preview 模型的能力」,并已于 6 月 10 日将此事致信美国参议院银行委员会的 Tim Scott 与 Elizabeth Warren 两位参议员。阿里巴巴未立即回应置评请求。
这桩指控之所以是「标志性」的,不在于它本身有多新——OpenAI 早在 2025 年初就以同样的理由点名过 DeepSeek——而在于它撞上的时间点:几乎同一周,阿里 Qwen 高调发布 Qwen-AgentWorld,自报在自家基准上超过 Claude 与 GPT;法国财政部则因「亲中倾向」叫停 Qwen 测试改投本土 Mistral。蒸馏的合法边界、闭源 API 的套利结构、开放权重的 IP 保护、中美 AI 竞争,在同一个新闻周期里被压成了一桩事。Hacker News 上的讨论冲到 799 分、1297 条评论,而风向几乎一边倒地在质疑 Anthropic 的「非法」二字。
发生了什么
Anthropic 的核心主张是「蒸馏」(distillation):用一个更强模型的输出,去训练或改进一个较弱的模型。具体到这次,它指阿里方面的关联操作者大规模批量调用 Claude——尤其是其最强档位 Mythos Preview——把模型的回答与推理产物作为「教师信号」收集起来,用于追赶自家模型的能力。
Anthropic 给出的量级,远超它今年 2 月披露的几起同类事件。据多家媒体援引该信:DeepSeek 的相关操作涉及超过 15 万次对话,**Moonshot AI(月之暗面)**超过 340 万次,MiniMax 超过 1300 万次;而阿里这一次的 2880 万次,几乎是前三者之和的体量,被 Anthropic 称为「迄今已知最大的一次」。
值得注意的是,这件事并非孤立发生,而是嵌在一条更紧的时间线里。据 Global Banking & Finance Review,Anthropic 6 月 10 日致信参议院后,美国商务部在 6 月 12 日对 Anthropic 自家的 Mythos 与 Fable 模型施加了限制,迫使 Anthropic 一度关闭这两个模型的全球访问。这与 Anthropic 官方随后在 X 上的表态吻合——它称「自 6 月 12 日起与美国政府密切合作」,逐步恢复 Mythos 5、Fable 5 对一批运营关键基础设施的美国机构的访问。换句话说,在 Anthropic 高调指控对手「窃取能力」的同一周,它自己的前沿模型也正因网络安全顾虑被本国监管收紧——「安全」这把尺子,这一周对所有人都举着。
关键数据:被指控的蒸馏规模
Anthropic 今年披露的几起「蒸馏」事件,按其口径的规模对比如下(均为 Anthropic 单方主张,阿里等未确认):
| 主体 | 披露 / 发生时间 | 交互次数(Anthropic 口径) | 备注 |
|---|---|---|---|
| DeepSeek | 2026.02 披露 | > 15 万 | 早期案例 |
| Moonshot AI(月之暗面) | 2026.02 披露 | > 340 万 | |
| MiniMax | 2026.02 披露 | > 1300 万 | |
| 阿里 / Qwen | 2026.04.22–06.05 | 2880 万,约 2.5 万个账户 | 称迄今最大 |
时间线(交叉自 Reuters / CNBC / Global Banking & Finance / 法国媒体):
- 4 月 22 日 – 6 月 5 日:被指控的蒸馏行动持续期。
- 6 月 5 日:行动被发现 / 终止。
- 6 月 10 日:Anthropic 致信参议员 Tim Scott、Elizabeth Warren。
- 6 月 12 日:美国商务部对 Anthropic 的 Mythos / Fable 施加限制,Anthropic 一度关闭全球访问,随后与政府合作恢复。
- 6 月 23 日:法国国库总司(Direction générale du Trésor)叫停 Qwen 测试。
- 6 月 24 日:Mistral 接替 Qwen 进入法国财政部;Reuters 发布指控报道;Qwen-AgentWorld 发布。
- 6 月 25 日起:全球媒体跟进,HN 讨论冲上 799 分 / 1297 评论。
关键数据:撞期的 Qwen-AgentWorld「超越 Claude」
指控见报几乎同时,阿里 Qwen 发布了 Qwen-AgentWorld——一个「原生语言世界模型」,用单一模型模拟 MCP / Search / Terminal / SWE / Web / OS / Android 共 7 类 agent 环境,开源了 Qwen-AgentWorld-35B-A3B(MoE,35B 总参 / 3B 激活,256K 上下文)以及旗舰 397B-A17B,并随附自建基准 AgentWorldBench。官方宣称在该基准上超过 Claude Opus 4.8 与 GPT-5.4。
据其 arXiv 论文(2606.24597)Table 5,旗舰版的总分确实居首,但领先幅度极小,且这是一把自己造的尺子:
| 模型 | AgentWorldBench 总分 |
|---|---|
| Qwen-AgentWorld-397B-A17B | 58.71 |
| GPT-5.4 | 58.25 |
| Claude Opus 4.8 | 56.59 |
| Gemini 3.1 Pro | 54.57 |
这里有个极易被宣传话术抹掉的关键区别:AgentWorldBench 衡量的不是「agent 把任务做成了没有」,而是「世界模型预测环境下一步观测的质量」——即给定交互历史和某个动作,模型对环境会返回什么的模拟有多准,按 Format / Factuality / Consistency / Realism / Quality 五个维度打分。所以「超过 Claude Opus 4.8」准确的意思是:在「预测环境会输出什么」这件事上、在 Qwen 自己定义的基准上、以 0.46 分之差压过 GPT-5.4、约 2.1 分压过 Claude——这跟「Qwen 当 agent 比 Claude 强」是两回事。
至于 Qwen 宣传的、用世界模型「预热」带来的下游 agent 提升(Terminal-Bench 2.0 +6.3、SWE-Bench +3.4、WideSearch +12.8 等),目前仅见于官方发布线程,均为厂商自报数字,尚无独立第三方榜单复现,正文不宜直接当作既成事实。
展开:Qwen-AgentWorld 方法与自报下游增益(厂商口径,待第三方复现)
- 训练范式:从持续预训练阶段起就把「环境建模」作为训练目标(CPT → SFT → RL),而非在通用 LLM 上做事后适配;核心思路是「先预测环境、再行动」(predict before you act)。
- Controllable Sim RL:以语言世界模型作为环境做强化学习,奖励为「rubric(LLM 评审五维,区间 [5,25])+ rule(二值 0/1 缩放到 [0,25])」按 9:1 混合;论文称效果超过在真实环境中训练。
- 自报跨基准增益(世界模型预热):Terminal-Bench 2.0 +6.3、SWE-Bench +3.4、WideSearch +12.8、Claw-Eval +11.3、QwenClawBench +9.7、BFCL v4 +9.0,称无需 agent 专项训练即可零样本迁移。
- 开源:Qwen-AgentWorld-35B-A3B、397B-A17B 与 AgentWorldBench 数据集均已公开。
(以上除 AgentWorldBench 总分取自 arXiv 论文 Table 5 外,跨基准增益均为 Qwen 官方发布线程数字,Anthropic 的指控亦为其单方主张。)
关键数据:法国财政部的「亲中倾向」弃用
同一周第三条线,把「Qwen 可信吗」的问题从 IP 推到了内容安全。据法国媒体 Clubic、Traders Union、Brief IA 报道:法国国库总司(隶属经济与财政部)自 6 月初起向约 100 名公务员试用阿里 Qwen 模型,处理部分国家机密数据;在多名用户反映其涉华议题回答「有明显倾向」后,6 月 23 日叫停测试,次日由一款 Mistral 模型接替。
报道援引澳大利亚战略政策研究所(ASPI)的研究称,Qwen 在维吾尔族、西藏独立等议题上,中英文版本回答的分歧最为显著;独立测试还显示 Qwen 将台湾称为中国「不可分割的一部分」,并对 1989 年 6 月 3 日天安门事件触发安全报错。这一替换恰逢法国「Notre IA」计划发布:预算初期 70 万欧元、年成本估在 200–400 万欧元,目标把一款 Mistral 驱动的对话助手推广到超过 100 万名国家公务员。
为何重要
把这三条线放在一起,才能看清这桩争端的真正分量:它同时是一场法律之争、一场商业模式之争、一场叙事之争。
第一,「非法」二字踩在一片法律空白上。大规模注册欺诈账户、绕过身份验证、可能伴随支付欺诈——这部分若属实,清清楚楚违反 Anthropic 服务条款,甚至可能构成欺诈,几乎没有辩护空间。但「通过 API 查询、再从输出里学习能力」这件事本身是否「非法」,在美国法下远未有定论:模型输出是否构成受保护的知识产权?CFAA(计算机欺诈与滥用法)能否套用于「正常付费调用但违反条款」?商业秘密法是否适用于「可被任何付费者观测到的输出」?这些都没有判例。Anthropic 的修辞策略恰恰是把「账户欺诈」(明确违法)和「蒸馏」(法律灰色)焊在一起,用前者的道德重量去给后者的国家安全叙事背书。
第二,这是闭源护城河的结构性裂缝,而且部分是 Anthropic 自己挖的。闭源实验室的壁垒是模型权重,但它的输出对任何付费者都是可观测的;只要输出可观测,蒸馏在数学上就是可逼近的——HN 上甚至有人搬出 Stone-Weierstrass 定理论证「给定足够多的输入输出对,逼近一个函数是可行的」。更要命的是商业模式层面的套利:HN 高赞讨论(社区主张,未经官方证实)称,转售商以约 200 美元/月买下 Max 订阅(内含约 2800 美元的 API token 价值),再以 7–9 折的折扣池化转售,身份验证则外包给低收入地区、每个账户成本不到 30 美元。如果这套算术成立,那么是 Anthropic 用「低价包月换增长」的定价,亲手制造了 10 倍以上的套利空间——你不能既用补贴的统一资费去抢消费级用户,又抱怨有人一次买走两万五千个账户。
第三,叙事战的权重,这一周压过了技术现实。Qwen 的「超越 Claude」是在自家世界模型基准上、以 0.46 分险胜 GPT-5.4 的窄口径胜利;法国弃用是内容安全与主权焦虑;Anthropic 的指控是单方信件。三件事的技术/事实内核都不大,但叠在一起,就被各方裁剪成了截然不同的故事:对中国语境是「自主可控、被打压仍超越」,对美国语境是「窃取能力、威胁国家安全」,对欧洲语境是「不可信、要主权」。真正改变格局的不是哪个 benchmark 数字,而是「蒸馏」这件事被正式抬进了参议院银行委员会和商务部的视野——它从「刷榜作弊」升格成了「技术转移 / 国家安全」。
我们的判断分三层,刻意不站任何一方的宣传口径。
第一层,把「欺诈」和「蒸馏」拆开看,结论完全不同。 用近 2.5 万个伪造账户、绕过 KYC、可能叠加支付欺诈去工业化套取 Claude,如果 Anthropic 的取证站得住,这就是实打实的账户欺诈和条款违反,没什么可洗的——规模本身(2880 万次)就说明这不是个别羊毛党,而是有组织的行为。但「蒸馏」作为技术行为,是否「非法」是另一个问题,目前没有判例支撑「模型输出 = 受保护 IP」。Anthropic 聪明地把两者捆成一个词「illicitly extracted」,让前者的违法性给后者的合法性争议「染色」。读者要警惕这种焊接:你可以同时认为「账户欺诈该罚」和「从 API 输出蒸馏是否违法尚无定论」。
第二层,HN 那记回旋镖很疼,但不是免责金牌。 「你们自己也是未经许可在全网数据上训练出来的,凭什么不让别人学你的输出」——这个反诘在道德观感上极具杀伤力,也确实戳中 Anthropic 仍深陷版权诉讼的软肋。但「你也偷过」在法律上不是辩护理由,两个灰色不能相互抵销。真正成立的批评是结构性的那一条:Anthropic 用补贴包月制造了套利空间,又在 pre-IPO 阶段默许转售换增长,如今再回头喊「被薅」,姿态上站不住。这不是「谁更坏」的问题,而是「这套商业模式本身就在邀请蒸馏」。
第三层,也是最容易被「都是 Anthropic 自找的」这种爽文叙事盖掉的反面 caveat:不能因为 Anthropic 姿态难看,就把事情整体判为无害。 如果 2880 万次、欺诈账户、身份外包这些事实成立,这就是一次有组织、靠欺诈支撑、且与一个国家级实验室相邻的能力转移——这正是美国一定会按战略问题来处理的那类事。把它轻飘飘归结为「闭源活该」「套利而已」,是低估了它被写进参议院信件、引来商务部动作的真实分量。同样,Qwen「超越 Claude」要打足够的折扣:那是自定义基准上的世界模型模拟质量,0.46 分之差,跟「当 agent 更强」是两码事,中文舆论场把它读成「全面超越」是误读。
合起来,诚实的读法是:欺诈部分大概率违法且有害;蒸馏部分法律未定且部分是 Anthropic 自身定价的副产品;而真正在做最重活的,是把这一切包裹起来的地缘政治框架。 这一周真正发生的格局变化,不是某个模型变强了,而是「蒸馏」被正式政治化了——这对所有闭源前沿实验室都是坏消息,因为它们的护城河第一次被证明既可被数学逼近,又可被自家定价出卖,还可被对手反过来当成「你不让我学=打压」的叙事素材。
接下来看什么
- Anthropic 是否拿得出技术证据。 目前公开的只是一封信和几个数字。账户指纹、prompt 模式、与 Qwen 训练数据的关联证据——有没有可核验的取证,是「illicit」这个词站不站得住的试金石。停留在「致信参议员」层面,它就更像政策动作而非法律主张。
- 阿里 / Qwen 的官方回应。 是正面否认、技术反驳,还是沉默。回应的具体程度,比回应本身更有信息量。
- 会不会变成政策或判例。 商务部、国会是否会把它推向针对外国实验室 API 访问的监管(类似出口管制的 KYC 要求);以及「模型输出是否受保护」这个问题会不会第一次进法庭。这是本案最可能产生长期影响的方向。
- Qwen-AgentWorld 在中立第三方榜单上的真实 agent 表现。 别看自报的 AgentWorldBench,去看 Terminal-Bench 官方榜、SWE-bench Verified 这些独立榜单上的实际任务成功率,以及 35B-A3B 开源版被社区跑出来的复现数据。
- 更多政府买家是否跟进法国。 内容安全 / 主权焦虑这条线,会不会从法国财政部扩散到更多欧洲与第三方政府采购,成为压在 Qwen 出海路上的第二重阻力。