内容来源：https://aibusiness.com/generative-ai/anthropic-alleges-alibaba-pilfered-claude-capabilities

内容总结：

谷歌云赞助内容：企业如何选择首个生成式AI应用场景

在生成式AI的起步阶段，企业应首先聚焦于能够改善人类信息获取体验的领域。然而，近期Anthropic指控中国AI巨头阿里巴巴对其模型Claude发动“蒸馏攻击”的事件，给业界敲响了警钟——企业在使用Claude、Gemini、GPT等AI模型时，必须更加审慎地对待所共享的信息与数据。

据《华尔街日报》率先报道，Anthropic于6月12日致信美国参议员，声称阿里巴巴创建了2.5万个虚假账户，从4月到6月间进行了近3000万次交互，窃取了包括智能推理、软件工程及长期任务规划在内的部分模型能力。阿里巴巴对此尚未回应。

所谓“蒸馏”是一种常见模型训练方式，即“学生”模型学习“教师”模型的能力。此前OpenAI也曾指控中国AI厂商DeepSeek从其模型中提取数据。对此，RPA2AI研究公司CEO卡什亚普·科姆佩拉指出，企业真正应当担忧的是自身AI数据泄露风险。“公共AI应用可能泄露商业逻辑、客户数据、文档、提示词、嵌入向量及专有工作流等敏感信息。”

科姆佩拉强调，一旦前沿模型通过API暴露，攻击面将远超传统网络安全范畴，“模型的输出本身就成了可能被他人捕获的战略资产”。因此，企业核心关切应是所使用的基础模型、生成的数据，以及输出结果是否会被存储并用于训练。

虽然Anthropic称阿里巴巴此次涉嫌蒸馏的规模为历史之最，但该实验室此前已多次指控中国厂商。今年2月，它就曾批评DeepSeek、MiniMax及Moonshot AI提取其模型的编码、推理及对齐能力。

不过，此次指控不太可能改变美国企业对阿里巴巴等中国厂商的既有看法。地缘政治因素本就使许多企业对中国模型持谨慎态度，这一新指控或将强化先入为主的印象。在金融、医疗等受监管行业，与中国AI供应商合作的风险认知可能持续存在。科姆佩拉表示：“对这些采购方而言，这不过是风险评估中的又一个数据点。”

但对于寻求在受控环境中尝试阿里通义千问等开源权重模型的企业，影响可能有限。“只要这些模型运行成本低、满足当前性能需求，企业仍可能继续使用。”科姆佩拉补充道，“采购决策的关键不在于阿里巴巴的抽象声誉，而在于模型部署地点、接触的数据类型、能否本地运行，以及组织的风险承受能力。”

此外，科姆佩拉建议，AI实验室如Anthropic也应加强自身管控，包括账户验证、异常检测、速率限制、水印标记及使用模式分析等。“我们预计将有更多的身份验证措施、更严格的违规用户清除机制、针对最强模型的企业专属访问层级，以及对高流量API使用（类似数据收割而非正常应用开发）的更严限制。”

中文翻译：

由 Google Cloud 赞助
选择您的首个生成式 AI 应用场景
要想上手生成式 AI，首先应聚焦于那些能够改善人类与信息交互体验的领域。

所谓的“蒸馏”指控表明，企业应对 AI 实验室如何处理其数据进行尽职调查。

Anthropic 指控中国 AI 巨头阿里巴巴策划了一次“蒸馏攻击”以获取 Claude 的能力，这一事件可能促使企业在使用 Claude、Gemini 和 GPT 等 AI 模型时，对所共享的信息和数据更加谨慎。

据《华尔街日报》首先报道，该 AI 实验室于 6 月 12 日致信美国参议员蒂姆·斯科特和伊丽莎白·沃伦，声称阿里巴巴创建了 25,000 个虚假账户来访问 Claude。据称，该中国厂商获取了该 AI 模型的部分能力，如智能推理、软件工程和长周期任务。Anthropic 还表示，与阿里巴巴的 Qwen AI 实验室相关的操作人员利用这些账户，在 4 月至 6 月期间进行了近 3000 万次交互。

阿里巴巴未立即回应置评请求。

蒸馏——一种 AI 模型训练方式，即“学生”模型向更大的“教师”模型学习——在一定程度上较为常见。Anthropic 的竞争对手 OpenAI 也曾声称中国 AI 厂商深度求索从其模型中提取数据。因此，据 RPA2AI Research 首席执行官兼创始人 Kashyap Kompella 表示，企业的主要教训应是：如何确保其向使用不同模型的 AI 实验室提供的信息得到保护。

Kompella 表示：“除了 Anthropic 与阿里巴巴之间的蒸馏指控，企业更应该关注自身的 AI 数据泄露风险。”

他补充道，面向公众的 AI 应用可能会泄露有关业务逻辑、客户数据、文档、提示词、嵌入向量和专有工作流等敏感信息。此外，蒸馏本身并非天生有害，企业、AI 实验室和研究人员也都在使用这一技术。

Kompella 说：“一旦前沿模型通过 API 暴露在外，攻击面就不仅仅是传统意义上的网络安全了——模型本身的输出也成了一种战略资产，其他人可能会试图获取。”

对企业来说，主要关注点应在于：他们所使用的是哪种教师模型、生成了哪些数据，以及这些输出是否可以被存储并用于训练。

尽管 Anthropic 表示阿里巴巴的所谓蒸馏攻击是迄今为止已知规模最大的，但该厂商对中国厂商的蒸馏攻击指控并不陌生。今年 2 月，该 AI 实验室曾指控深度求索以及中国 AI 厂商 Minimax 和 Moonshot AI 窃取了 Claude 的编码、推理和对齐能力。不过，Anthropic 仍表示阿里巴巴的所谓攻击是迄今已知最大的。

不过，Anthropic 的指控不太可能影响美国企业对阿里巴巴或其他中国厂商的看法。虽然地缘政治因素意味着许多企业不愿使用中国模型，但这一新指控更可能强化已有的成见。对于金融或医疗等受监管行业的企业来说，与中国 AI 厂商做生意的风险印象可能仍将存在。

Kompella 表示：“对这些买家来说，这可能成为其风险评估中的又一个数据点。”

但他补充道，对于其他希望在受控环境中尝试使用阿里巴巴 Qwen 等开放权重模型的企业来说，“影响可能较为有限”。他说，如果阿里巴巴的新开放权重模型运行成本低廉且能满足当前的性能要求，这些企业很可能仍会使用它们。

Kompella 继续说：“在这些情况下，采购问题与其说是阿里巴巴的抽象声誉，不如说是模型将部署在哪里、哪些数据会接触到它、模型能否在本地运行，以及组织的风险承受能力如何。”

此外，他还指出，虽然企业应更加关注其所使用的模型，但像 Anthropic 这样的 AI 实验室也需要加强其控制措施，例如账户验证、异常检测、速率限制、水印技术以及使用模式分析。

Kompella 表示：“我们预计会出现更多的身份验证、更积极地驱逐违反条款的用户、为最强大的模型设立仅限企业使用的访问层级，以及对高容量 API 使用行为（看似是数据收集而非普通应用开发）施加更多限制。”

英文来源：

Sponsored by Google Cloud
Choosing Your First Generative AI Use Cases
To get started with generative AI, first focus on areas that can improve human experiences with information.
The alleged distillation suggests that enterprises should conduct due diligence into how AI labs handle their data.
Anthropic’s accusation that Chinese AI giant Alibaba orchestrated a distillation attack to acquire Claude’s capabilities could spur enterprises to be more diligent about the information and data shared when using AI models like Claude, Gemini and GPT.
The AI lab sent a letter on June 12 to U.S. senators Tim Scott and Elizabeth Warren, claiming that Alibaba created 25,000 fake accounts to access Claude, as first reported by The Wall Street Journal. The Chinese vendor allegedly accessed some of the AI model’s capabilities, such as agentic reasoning, software engineering and long-horizon tasks. Anthropic also said that operators linked to Alibaba's Qwen AI lab used the accounts to run nearly 30 million exchanges from April to June.
Alibaba did not immediately respond to a request for comment.
Distillation -- a form of AI model training in which a “student” model learns from a larger “teacher” model -- is somewhat common. Anthropic rival OpenAI also claimed that Chinese AI vendor DeepSeek extracted data from its models. So, the main takeaway for enterprises should be how to ensure the information they provide to AI labs using the different models used is protected, according to said Kashyap Kompella, CEO and founder of RPA2AI Research.
“Beyond the Anthropic-Alibaba distillation allegation, enterprises should be more concerned about their own AI leakage risks,” Kompella said.
He added that public-facing AI applications can leak sensitive information about business logic, customer data, documents, prompts, embeddings and proprietary workflows. Moreover, distillation itself is not inherently bad and is used by enterprises, AI labs and researchers.
“Once a frontier model is exposed through an API, the attack surface is not only cybersecurity in the traditional sense,” Kompella said. “The model’s outputs themselves become a strategic asset that others may try to capture.”
For enterprises, the main concern should be about the teacher models they are using, the data that is generated and whether the outputs can be stored and used for training.
While Anthropic said Alibaba’s alleged distillation is the largest known to date, the vendor is no stranger to alleged distillation attacks by Chinese vendors. In February, the AI lab accused DeepSeek and Chinese AI vendors Minimax and Moonshot AI of harvesting Claude coding, reasoning and alignment capabilities. However, the Anthropic said Alibaba’s alleged attack is the largest known to date.
Nevertheless, it is unlikely that Anthropic’s allegations will affect U.S. enterprises’ perceptions of Alibaba or other Chinese vendors. While geopolitical considerations mean that many enterprises are averse to using Chinese models, this new allegation is likely to reinforce preconceived notions. For enterprises in regulated industries such as finance or healthcare, the perception that doing business with a Chinese AI vendor is risky may persist.
“For those buyers, this may become another data point in their risk calculations,” Kompella said.
However, for other enterprises seeking to experiment with open-weight models such as Alibaba’s Qwen in a controlled environment, “the impact may be more limited,” he added. He said that it is likely those enterprises will still use new open-weight models from Alibaba if they are inexpensive to run and meet current performance requirements.
“In those cases, the procurement question is less about Alibaba’s reputation in the abstract and more about where the model will be deployed, what data will touch it, whether the model can be run locally, and what the organization’s risk tolerance is,” Kompella continued.
Moreover, while enterprises should be more aware of the models they are using, AI labs like Anthropic will also need to be better at their controls, such as account verification, anomaly detection, rate limiting, watermarking and usage pattern analysis, he added.
“We should expect more ID verification, more aggressive booting of users who violate terms, more enterprise-only access tiers for the most capable models, and more restrictions on high-volume API usage that looks like harvesting rather than ordinary application development,” Kompella said.