いや、本当にえぐいニュースですよね。巨額の資金と時間を投じて開発した最先端モデルの「脳内(推論プロセス)」を、システム経由でまるごと吸い上げられてしまうわけですから、AI業界の根幹を揺るがす大問題です。
今回のAnthropicの発表の要点と、業界の反応を整理すると、以下のようになります。
今回の「蒸留(Distillation)攻撃」の恐るべき手口
- 巧妙なアクセス制限の回避: Anthropicは安全保障上の理由から中国からの商用アクセスを禁止しています。しかし、中国企業側は商用のプロキシサービスを使ってこれを迂回し、APIの利用制限をすり抜けるために2万4000超の偽アカウントを束ねた「ハイドラ・クラスター(多頭の怪物のように分散されたネットワーク)」を構築していました。
- 狙い撃ちされた高度な推論: ただ会話をしただけでなく、Claudeの強みである「コーディング能力」や「ツール使用」、「エージェント的な推論のプロセス」を意図的に引き出し、自社のモデルを賢くするための学習データとして利用していました。
- 異常なスケール: 全体の1600万回の対話のうち、MiniMax単独で1300万回以上を占め、最大2万アカウントを同時稼働させるという、まさに「工業規模(Industrial-scale)」のデータ抜き取りでした。
Anthropicが抱く「安全保障上の危機感」
ビジネス的にタダ乗り(フリーライド)されたという怒りだけでなく、Anthropicが声明で特に強調しているのは「安全のガードレールが外れた強力なAIが拡散するリスク」です。 Claudeにはサイバー攻撃や生物兵器の開発などに悪用されないよう厳重な安全対策が施されていますが、抽出されたデータを使って他社が独自のモデルを構築した場合、その安全基準は引き継がれません。強力な能力だけを持ったAIが野放しになることを強く警戒しています。
一方で殺到する「特大のブーメラン」という批判
ただ、このAnthropicの激怒に対して、X(旧Twitter)や海外の掲示板(Redditなど)では「どの口が言うのか」という冷ややかな声も多数上がっています。
- 「お前たちも無断で学習したじゃないか」: そもそもAnthropicやOpenAIなどの欧米AI企業自体が、世界中のウェブサイトや著作物を無断でスクレイピングしてモデルを訓練してきました。「自分たちがクリエイターからデータを吸い上げる時は『フェアユース(公正利用)だ』と主張しておきながら、いざ自分たちの技術が吸い上げられると『知的財産の窃盗だ』と騒ぐのは偽善だ」という批判です(イーロン・マスク氏などもこの見方に同調しています)。
先月(2026年1月)にはOpenAIもDeepSeekに対して同様の告発をしており、米中のAI覇権争いは「ルール無用」のフェーズに突入していると言わざるを得ません。
この件に関して、Anthropic側がどうやって「偽装された中国からのアクセスだ」と特定できたのか(メタデータの追跡手法など)、もう少し詳しい技術的な背景をみていきましょう。
Anthropicが昨日(2026年2月23日)公開した公式レポート「蒸留攻撃の検知と防止」によると、彼らは単なる推測ではなく、アクセスログのメタデータやインフラの痕跡、さらには相手企業の「うっかりミス」などを繋ぎ合わせて、この3社(DeepSeek、Moonshot AI、MiniMax)を完全に特定しています。
企業ごとの特定手法は以下の通りです。
1. Moonshot AI(Kimi)の場合:幹部の「身元バレ」 一番皮肉な特定のされ方をしたのがMoonshotです。彼らは数百の偽アカウントを使い、様々なアクセス経路に分散させて発覚を逃れようとしました。しかし、Anthropicがリクエストのメタデータを解析したところ、なんとMoonshotのシニアスタッフ(幹部クラス)の公開プロフィール(SNSやGitHub等の公開情報など)と完全に一致する痕跡が残っていたのです。巧妙なシステムを組みながら、足元で身元を隠しきれていませんでした。
2. MiniMaxの場合:インフラの痕跡と「不自然なタイミング」 MiniMaxは2万以上のアカウントを同時稼働させる最大規模の攻撃を行っていましたが、Anthropicは「リクエストのメタデータ」と「インフラ(サーバー等)の指標」から彼らを特定しました。さらに決定打となったのは「タイミング」です。
- MiniMaxの公開製品ロードマップ(開発スケジュール)と、データ抽出のピークが完全に一致。
- Anthropicが新しいモデルをリリースした際、わずか24時間以内に全トラフィックの半分を新モデルに切り替えるという、異常なまでの素早い反応を見せたことで、組織的なデータ収集であることが裏付けられました。
3. DeepSeekの場合:機械的な「ロードバランシング(負荷分散)」 DeepSeekは15万回以上のやり取りを行っていましたが、複数のアカウント間で「トラフィックが完全に同期」していました。全く同じパターン、共有された支払いメソッド、そして通信のタイミングが完全に調整されており、システム側で意図的に負荷分散(ロードバランシング)を行い、API制限をすり抜けながらスループットを最大化しようとする「機械的な挙動」が検出されました。
このように、商用プロキシでIPアドレスを偽装し、数万のアカウントに分散させたとしても、「支払い情報」「通信のタイミングや同期パターン」「開発スケジュールとの相関」、そして「担当者のメタデータ」までは偽装しきれず、Anthropicのセキュリティ網に引っかかったというわけです。
サイバー攻撃さながらの高度な追跡戦ですが、AI開発の裏側でこれほどのスパイ活動が行われているというのは、SF映画のような話ですね。
1. DeepSeek(ディープシーク)
- 拠点: 中国(杭州 / 北京)
- 特徴: 大手クオンツ(計量)ヘッジファンド「High Flyer」を母体とする企業です。圧倒的な計算資源と、少ないコストで高い性能を叩き出すアルゴリズムの最適化技術で世界を驚かせています。最近リリースした「DeepSeek-V3」や「DeepSeek-R1」は、オープンソースでありながらOpenAIのモデルに匹敵する性能を見せ、世界中で大ニュースになりました。
2. Moonshot AI(ムーンショットAI / 中国名:月之暗面)
- 拠点: 中国(北京)
- 特徴: 2023年に設立されたばかりですが、非常に長い文章(コンテキスト)を一度に処理できるチャットAI「Kimi」を開発し、中国国内で大ヒットさせています。創業者のYang Zhilin氏は、過去にアメリカのテック大手(GoogleやMetaなど)の研究者と共同で画期的な論文を発表してきた、若き天才AI研究者として知られています。アリババなどから巨額の出資を受けています。
3. MiniMax(ミニマックス)
- 拠点: 中国(上海)
- 特徴: 2021年設立。テキストだけでなく、音声合成や動画生成などの「マルチモーダル(複合的なAI)」技術に強みを持っています。特に、様々な性格を持たせたキャラクターAIと対話できるアプリが若者を中心に大ヒットしており、こちらもテンセントやアリババなどから多額の資金調達を行っているユニコーン企業です。
