AnthropicがAlibabaを名指ししたとされる今回の告発は、生成AIの競争で「モデルの出力」そのものがどこまで守れるのかを問う出来事である。問題になっているのは、Web上の学習データを巡る一般的な議論ではない。Claudeに大量のプロンプトを投げ、ソフトウェア開発、エージェント推論、長い作業の遂行といった高価な能力を引き出し、別のモデル開発に利用した疑いだ。
Financial Timesが入手したとする6月10日付のAnthropic書簡によれば、AlibabaのQwen AIラボに関連するオペレーターは、4月下旬から6月上旬にかけて約2万5,000件の不正アカウントを使い、Claudeとのやり取りを2,880万回超発生させた。Anthropicはこれを、Claudeの能力を不正に抽出する過去最大規模のキャンペーンと位置づけ、対象能力としてエージェント推論、ソフトウェアエンジニアリング、長期タスクを挙げたとされる。書簡は一般公開されていないため、数字は同書簡を読んだ媒体が伝えた内容に限られる。
今回の話を「未公開書簡を巡る騒動」として片づけると、技術的な意味を取り逃がす。Anthropicは2月にも、DeepSeek、Moonshot、MiniMaxの3社がClaudeの能力を抽出しようとしたと公表していた。その際の規模は、約2万4,000件の不正アカウントと1,600万回超のやり取りだった。今回報じられたAlibaba案件は、アカウント数ではほぼ同規模、やり取りの数ではそれを大きく上回る。Anthropicの主張が正しければ、攻撃側は一度きりの実験ではなく、フロンティアモデルの出力を継続的に集める産業的な運用に近づいている。
抽出攻撃は「蒸留」そのものではなく、アクセスの偽装が問題になる
蒸留は、AI開発で広く使われる正当な手法である。大きなモデルの振る舞いを小さなモデルへ移し、推論コストや応答速度を改善する。Anthropic自身も、蒸留を全面的に否定しているわけではない。問題は、利用許諾を得ていない相手の商用モデルに大量アクセスし、その出力を訓練材料として集める行為である。
Anthropicの2月の説明では、こうした抽出キャンペーンは通常の利用と異なる痕跡を残す。大量の不正アカウント、プロキシサービス、似た構造のプロンプト、特定能力に集中したリクエストが組み合わさるためだ。同社はこれを「hydra cluster」と呼ぶ分散的なアカウント網として説明し、単一のアカウントを止めても別のアカウントが置き換わる構造を問題視している。
この構図では、守る対象はモデルのパラメータだけではない。APIの応答、推論時の挙動、ツール利用の判断、コード修正の手順、長い文脈での計画能力も、十分な量を集めれば別モデルの訓練信号になり得る。Anthropicが2月に挙げた標的も、推論、ツール利用、コーディング、データ分析、コンピューター操作エージェントなどだった。今回報じられたAlibaba案件でエージェント推論やソフトウェア開発が再び中心に置かれたのは、この能力群が商用AIの価値を決める領域になっているからである。
Qwenの公開ロードマップと、狙われた能力は重なっている
Alibaba側の公開情報を見ると、この緊張がなぜ強まるのかが分かる。QwenチームはQwen3で、思考モードと非思考モードを切り替えられる設計、数学・コーディング・論理推論の強化、外部ツールと連携するエージェント能力を前面に出している。Qwen3はMoEモデルの235B-A22Bと30B-A3B、複数のDenseモデルを公開し、119の言語・方言への対応も掲げた。
Qwen3.6-35B-A3Bのモデルカードは、より直接的に「Agentic Coding」とリポジトリ単位の推論を強調している。同モデルは35B総パラメータ、3B活性化のMoEで、ネイティブ262,144トークン、拡張時は100万トークン超の文脈長をうたう。ベンチマーク表にはSWE-bench、Terminal-Bench、MCPMark、QwenWebBenchなど、開発作業やツール連携に近い評価が並ぶ。これは、Anthropicが抽出対象として警告する能力と同じ市場を向いている。
この重なりは、QwenがClaudeの出力を取り込んだことを意味しない。公開情報だけで訓練由来を断定することはできない。ここで見るべきは、フロンティアAI企業が今どこで競争しているかである。単純なチャット性能や知識量だけでなく、コードベースを読み、ツールを呼び出し、長い作業を分解し、数十万トークン規模の文脈を保つ能力が価値を持つ。だからこそ、出力を大量に集める攻撃が成立する余地も大きくなる。
Anthropicの規約は、競合モデル訓練と中国向けアクセスを明確に縛っている
Anthropicの商用規約は、同社サービスを使って競合製品やサービスを構築すること、競合AIモデルを訓練すること、サービスをリバースエンジニアリングまたは複製することを禁じている。利用ポリシーも、検知回避を目的に複数アカウントを協調させる行為、自動化されたアカウント作成、サポート対象外の地域・主体へのClaudeアクセス提供、入力や出力を無断でAIモデル訓練に使う行為を禁じている。
地域面でも、Anthropicは商用APIとClaude.aiを提供する国・地域の一覧を公開しており、中国本土はそのリストに含まれていない。2月の蒸留攻撃に関する説明では、同社は中国国内だけでなく、中国企業の国外子会社にも商用Claudeアクセスを提供していないと明記した。同社の主張では、プロキシや不正アカウントを通じたアクセスは通常の過剰利用ではなく、地域制限と競合利用制限を同時に回避する行為になる。
規約で禁じることと、技術的に止めることは別である。大規模言語モデルはAPIとして提供される限り、正規の入力と抽出目的の入力を完全に分けることが難しい。Anthropicは分類器、行動フィンガープリント、アカウント検証、業界内の指標共有、出力の悪用を下げる対策を進めるとしている。それでも、モデル出力が製品価値そのものである以上、攻撃側は「一見普通の質問」を大量に並べて境界を曖昧にできる。
Fable 5とMythos 5の停止が示したもう一つの緊張
今回の告発は、Anthropicが米政府とFable 5、Mythos 5のアクセス停止を巡って対立した直後に出てきた。Anthropicは6月12日、米政府が国家安全保障上の権限を根拠に、外国籍の利用者や従業員を含むすべての外国人に対してFable 5とMythos 5へのアクセスを停止するよう指示したと発表した。同社は対象者をリアルタイムに分ける運用が難しいため、両モデルをすべての顧客に対して無効化した。
Anthropicはその声明で、政府が懸念したとするFable 5の回避手法について、特定のコードベースを読ませて既知の小さな脆弱性を見つける程度の狭い手法だったと反論した。ここでも争点は、モデルの能力とアクセス制御の境界である。政府は危険な能力を持つモデルへの外国人アクセスを止めようとし、Anthropicは一律停止が過剰だと主張した。一方で、AnthropicはClaudeの抽出が政策対応を要する問題だと米議会に訴えている。
この二つは矛盾というより、同じ問題の別面である。最先端モデルがコード解析、脆弱性探索、長期計画、ツール操作に使えるようになるほど、どの国・企業・研究者に、どの能力を、どの経路で提供するかが政治問題になる。モデルのパラメータを国外に出さなくても、API出力を大量に集められれば能力の一部は移転し得る。逆に、過度に広いアクセス停止は、正規顧客や研究者の利用まで巻き込む。
次の争点は、証拠公開と業界横断の検知共有だ
Anthropicの告発が政策を動かすには、公開できる証拠の粒度が問われる。アカウント数、リクエスト数、時期、対象能力だけでは、外部の読者は技術的帰属を検証できない。かといって、IP相関、決済情報、プロンプト構造、検知ロジックを詳しく出しすぎれば、次の攻撃者に回避方法を教えることになる。フロンティアAI企業は、法執行や議会には詳細を渡しつつ、市場には限定的な説明しか出せないという難しい位置にいる。
Alibaba側の反応も焦点になる。6月25日時点で、同社が今回のAnthropic書簡に対して具体的な反論を出した公式発表は見当たらない。Qwenはすでに開発者向けモデル、長文脈モデル、エージェント向けモデルを広く展開しているため、Alibabaがどこまで独自開発と公開データ、合成データ、正規ライセンスの範囲を説明するかが、今後の信頼に関わる。
短期的には、米議会が中国企業による不正なモデル出力利用に制裁やブラックリストを結びつけるかが焦点になる。中期的には、AI企業同士が不正アカウント網やプロキシ業者の指標を共有できるか、クラウド事業者がどこまで協力するかが問われる。モデル競争がエージェントとコーディングに移った今、APIの利用規約は紙の防波堤にとどまれない。実際の検知、アカウント審査、出力の再利用を巡る監査が、フロンティアAIの競争条件そのものになりつつある。