2026 年 6 月 10 日,一封寄往美国参议院银行委员会的信件,将一场持续 44 天的隐秘 AI 能力提取行动推向了国会山聚光灯下。发信方是 Anthropic,收信人是参议员 Tim Scott(共和党,南卡罗来纳州)和 Elizabeth Warren(民主党,马萨诸塞州)。信中指控的对象,是全球市值最高的中国科技企业之一——阿里巴巴。
Anthropic 的措辞毫不含糊:阿里巴巴旗下的 Qwen AI 实验室在 2026 年 4 月 22 日至 6 月 5 日期间,通过约 25,000 个虚假账户,向 Claude 模型发起了超过 2,880 万次对话交互。Anthropic 将这一定性为「史上最大规模的已知蒸馏攻击」(the largest known distillation attack on Anthropic to date),指控对方 "brazenly and illicitly extract"(肆无忌惮地非法提取)Claude 的核心能力。
这起事件远不止是一桩服务条款违规(ToS violation)——它正在将 AI 模型蒸馏从技术伦理问题升级为国际贸易法与国家安全议题。
攻击的规模与精度:为什么这次不同
要理解 Anthropic 此次指控的分量,需要先回顾该公司在 2026 年第一季度的披露。今年 2 月,Anthropic 曾公开点名三家中国 AI 实验室——DeepSeek、Moonshot AI 和 MiniMax——指控它们通过约 24,000 个虚假账户累计发起了超过 1,600 万次 Claude 交互,用于蒸馏训练各自的模型。
阿里巴巴一案的数据令此前的纪录相形见绌:单一一家的攻击规模(2,880 万次交互)几乎是对三家前案总和(1,600 万次)的 1.8 倍,且压缩在短短 44 天内完成——日均约 65 万次交互。
CNBC 独家获取的信件全文显示,Anthropic 认定攻击者并非泛泛地收集 Claude 的通用输出,而是精准瞄准了 Claude 最具竞争力的三项核心能力:软件工程(software engineering)、智能体推理(agentic reasoning)和网络安全(cybersecurity)。TechTimes 引述信件内容指出,阿里巴巴的目标是「在不承担训练与研发成本的前提下」提取前沿模型的能力——这正是蒸馏攻击的本质:用强大模型的输出训练较弱模型,让后者在特定任务上逼近前者的水平。
值得注意的是,这次攻击发生在美国政府已明确就 AI 蒸馏问题发出警告之后。Ars Technica 的报道指出,Anthropic 特意强调行动的时间线——4 月 22 日至 6 月 5 日——暗示阿里巴巴是在明知白宫立场的情况下「顶风作案」。这一叙事将事件从疏忽或灰色地带操作,拉入了蓄意对抗的框架。
从 ToS 违规到贸易制裁:国会的反应
如果 Anthropic 只是发一篇博客或提起诉讼,这个故事还停留在行业层面。真正将事件推向临界点的是路径选择:Anthropic 没有去找法院,也没有单纯依赖监管机构——它直接致信参议院银行委员会,将蒸馏定性为「需要政府与行业协调行动」的威胁。
效果立竿见影。参议员 Bill Hagerty(共和党,田纳西州)和 Andy Kim(民主党,新泽西州)正在推动一项国防授权法案(NDAA)修正案,授权美国商务部将从事「对抗性蒸馏」(adversarial distillation)的中国企业列入黑名单并施加制裁。EasternHerald 的报道确认,修正案已被纳入必须通过的国防立法框架,这大幅提高了其通过的可能性。
这并非孤立行动。2026 年 4 月 22 日,众议院外交事务委员会已推动《2026 年遏制美国 AI 模型盗窃法案》(Deterring American AI Model Theft Act of 2026, DAAMTA),要求评估模型提取攻击、建立责任实体公开名单,并授权对其施加制裁。Just Security 的分析指出,白宫科技政策办公室(OSTP)也在 4 月发布了关于「美国 AI 模型对抗性蒸馏」的国家安全与技术备忘录(NSTM)。
MindCast AI 提出了一个三层分析框架来理解此次事件的法律维度:规模(2,880 万次交互远超任何过往案例)、归因(Anthropic 声称通过请求元数据将账户追溯到阿里巴巴 Qwen 实验室的具体研究人员)、法律响应(从 ToS 民事诉讼跃迁至贸易法与国家安全工具的动员)。这三个层面共同勾勒出一条清晰的轨迹:AI 知识产权正在被重新定义为一种可受贸易法保护的战略资产。
API 安全的结构性困境
如果 Anthropic 能够记录到如此规模的蒸馏攻击,那么逻辑推论令人不安:OpenAI、Google DeepMind、xAI、Meta 等所有通过 API 提供前沿模型访问的美国实验室,理论上都面临同样威胁。
这引出了一个结构性问题。当前主流 API 商业模式建立在「按 token 付费」的基础上——只要有有效的支付方式和注册信息,任何人都可以调用模型。蒸馏攻击者所做的,本质上是以合法付费用户的外表,从事被服务条款禁止的行为。区分「大量正常使用」与「系统性蒸馏」在操作层面极其困难:两者的 API 调用模式在流量特征上几乎没有区别。Anthropic 之所以能够归因,并非因为拦截了异常流量,而是通过对请求内容的元数据分析识别出了攻击模式。
这一发现对整个行业的 API 策略具有颠覆性影响。如果蒸馏威胁持续升级,前沿实验室可能被迫收紧访问策略——从开放 API 转向更严格的审核机制、用量配额、甚至仅限白名单访问。这将从根本上改变 AI 模型的商业分发模式,也可能延缓全球 AI 生态的发展速度。
Business Insider 获取的信件副本中,Anthropic 的警告更为直白:如果没有更强力的干预,蒸馏攻击将「帮助中国更快地达到 Mythos Preview 级别的能力」——这是 Anthropic 最新旗舰模型所代表的前沿水平。
阿里巴巴的沉默与中美 AI 竞赛的规则重塑
截至本文撰写时,阿里巴巴尚未对 Anthropic 的指控做出正式回应。BBC 的报道注意到了这一沉默,并将其置于更广阔的中美 AI 竞赛背景下:从芯片出口管制到模型权重限制,蒸馏攻击争议是两国在 AI 领域规则博弈的最新战线。
值得玩味的一个细节是,美国商务部工业与安全局(BIS)的关联方规则(Affiliates Rule)——该规则旨在防止受制裁实体通过持股关联企业规避出口管制——目前因美中贸易休战协议而暂停至 2026 年 11 月。这意味着,在美国政府最需要执法工具的时刻,其核心制裁机制的一部分正处于冻结状态。
Nikkei Asia 的报道将事件定性为美中 AI 竞争中的一个「引爆点」:蒸馏攻击争议将「什么是合法的技术学习」与「什么是非法的知识产权盗窃」之间的边界推到了前台。在传统软件领域,反向工程在特定条件下受到合理使用原则的保护;但在 AI 领域,通过 API 大规模提取模型输出来训练竞争模型的行为,其法律地位仍然极为模糊。
这正是 Anthropic 选择国会而非法院的根本原因——现有法律框架可能无法为「模型能力蒸馏」提供充分救济。通过推动立法,Anthropic 试图在法律空白地带创造新的规则。
结语:AI 知识产权的「威斯特伐利亚时刻」
Anthropic 诉阿里巴巴案的意义,不在于哪一方将在法庭或听证会上获胜——事实上,这场争议可能永远不会进入传统司法程序。它的真正重要性在于:AI 模型的能力正在被确立为一种新型的、可受国际规则保护的战略资产。
正如 1648 年《威斯特伐利亚和约》确立了民族国家主权这一国际关系基本原则,2026 年的蒸馏攻击指控与随之而来的国会制裁动议,可能正在为 AI 时代的知识产权划定第一条真正具有约束力的国际边界。这条边界的走向,将决定未来十年的全球 AI 格局是走向多极化还是由少数实验室垄断。
在这场「盗火」之战中,真正被置于天平之上的,是 AI 时代的知识获取规则本身。