2026年2月23日、Anthropicは異例の公式声明を発表した。同社のAIモデルClaudeに対し、中国のAI企業3社(DeepSeek、Moonshot AI、MiniMax)が組織的かつ産業規模の「蒸留(Distillation)攻撃」を仕掛けていたことを突き止めたという内容である。約24,000件の偽アカウントを通じ、1,600万回を超えるClaudeとのやり取りが生成された。狙われたのはClaudeが最も差別化されている領域、すなわちエージェント型推論、ツール使用、コーディング能力だった。

AD

蒸留とは何か?合法技術が「兵器」になるとき

蒸留そのものはAI開発においてごく一般的な手法である。大規模な「教師モデル」の出力を使い、より小型で安価な「生徒モデル」を高速に訓練する技術であり、フロンティアAI企業は自社モデルの軽量版を顧客に提供する際に日常的に活用している。

問題は、この技術が競合企業のモデルに対して不正に適用された場合に生じる。独自に数カ月から数年をかけ、数十億ドル規模の投資で獲得すべき能力を、蒸留であれば比較にならないほど短い時間と低コストで「複製」できる。Anthropicが今回暴露した事態の核心は、蒸留という合法的手段が、規約違反と地域アクセス制限の迂回を伴う産業スパイの道具へと変質していた点にある。

三者三様の攻撃プロファイル

Anthropicの調査により、3社それぞれが異なる規模と手法でClaudeの能力を標的にしていたことが判明した。帰属はIPアドレスの相関、リクエストメタデータ、インフラストラクチャの痕跡、さらには業界パートナーからの裏付けにより「高い確信度」で行われている。

DeepSeek:推論チェーンと検閲回避データの抽出

DeepSeekによる攻撃は15万回以上のやり取りを記録した。3社の中では最も小規模だが、その目的は極めて戦略的であった。ターゲットは多岐にわたるタスクにおける推論能力、強化学習のためのリワードモデル訓練に使えるルーブリック型採点タスク、そして政治的に敏感なクエリに対する検閲回避型の回答であった。

特筆すべき手法が一つある。DeepSeekのプロンプトは、Claudeに対して「完成した回答の背後にある内部推論を想像し、それをステップバイステップで書き出す」よう求めるものだった。これは実質的に、チェーン・オブ・ソート(思考の連鎖)訓練データを大規模に生成させる行為である。さらに、反体制派、党指導者、権威主義に関する質問への検閲安全な代替回答をClaudeに生成させるタスクも観察された。自社モデルが検閲対象トピックから会話を逸らすよう訓練するための素材収集と考えられる。Anthropicはリクエストメタデータから、これらのアカウントをDeepSeekの特定の研究者にまで遡及追跡することに成功した。

Moonshot AI:340万回に及ぶ多方面からの能力吸収

Kimiモデルで知られるMoonshot AIの攻撃規模は340万回以上のやり取りに達した。標的領域はエージェント型推論とツール使用、コーディングとデータ分析、コンピュータ操作エージェントの開発、さらにコンピュータビジョンと広範にわたる。

Moonshotは複数のアクセス経路にまたがる数百の偽アカウントを使い分け、アカウント種別を多様化させることで協調的な作戦であることの検知を困難にしていた。Anthropicは同社上級スタッフの公開プロフィールと一致するリクエストメタデータによって帰属を確定させた。後半フェーズでは、Claudeの推論トレースを抽出・再構築するという、より精密なアプローチに切り替えている。Moonshot AIは2026年1月にオープンソースモデルKimi K2.5とコーディングエージェントをリリースしたばかりであり、タイミングの一致は示唆的である。

MiniMax――1,300万回超、史上最大の蒸留作戦

MiniMaxの攻撃は群を抜いていた。1,300万回を超えるやり取りは3社合計の約81%を占め、過去に公表された蒸留攻撃の中でも最大規模である。標的はエージェント型コーディングとツール使用・オーケストレーションに集中していた。

Anthropicがこの攻撃で前例のない手がかりを得たのは、MiniMaxが訓練中のモデルをリリースする前に検知に成功したためだった。データ生成からモデルローンチに至る蒸留攻撃の全ライフサイクルを可視化できたのは初めてである。さらに注目すべきは、Anthropicが攻撃の最中に新モデルをリリースした際、MiniMaxが24時間以内にトラフィックの約半分を新モデルに転向させた事実だ。これは蒸留攻撃が単発のデータ収集ではなく、常に最新のフロンティア能力を追尾し続けるリアルタイムの寄生プロセスであることを物語っている。

AD

「ハイドラクラスター」:アクセス制限を無効化する闇のインフラ

Anthropicは国家安全保障上の理由から、中国国内やその企業の海外子会社に対してClaudeの商用アクセスを提供していない。3社はこの制限を、商用プロキシサービスを利用することで迂回した。

このプロキシサービスが運営するのが、Anthropicが「ハイドラクラスター」と呼ぶアーキテクチャである。APIおよびサードパーティのクラウドプラットフォームにトラフィックを分散させる不正アカウントの巨大ネットワークで、一つのアカウントが凍結されても即座に別のアカウントが引き継ぐ。単一障害点が存在しないため、従来型のアカウント凍結による対処は事実上のいたちごっこに陥る。ある事例では、単一のプロキシネットワークが2万件以上の偽アカウントを同時に管理し、蒸留用トラフィックを無関係の顧客リクエストに紛れ込ませていた。

個々のプロンプトは一見すると無害に見える。Anthropicが例示した典型的なプロンプトは「あなたは統計的厳密性と深いドメイン知識を兼ね備えたエキスパート・データアナリストです」といった内容である。だが、このようなプロンプトが数百の協調アカウントから数万回にわたり、同一の狭い能力領域に集中して送り込まれるとき、そのパターンは正規利用とは明確に区別できる。

輸出規制論争の構造転換:蒸留が突きつける新たな方程式

今回の暴露が持つ最大のインパクトは、米中AI競争における輸出規制の議論構造そのものを書き換える力を持っている点である。

2025年初頭、DeepSeekがオープンソースの推論モデルR1をリリースし、米国フロンティアモデルに匹敵する性能を大幅に低いコストで達成した際、その「成功」は輸出規制の無効性を示す証拠として広く引用された。高性能チップなしでもこれだけの成果が出るなら、規制に意味があるのかという議論である。

Anthropicの告発はこの前提を根底から覆す。中国AI企業の急速な進歩が、純粋な技術革新ではなく米国モデルからの能力抽出に大きく依存していたとすれば、輸出規制の有効性に関する評価はまったく異なるものになる。CrowdStrike共同創業者でシンクタンクSilverado Policy Acceleratorの会長を務めるDmitri Alperovitch氏は、TechCrunchに対し「中国AIモデルの急速な進歩の一因が米国フロンティアモデルからの蒸留による窃取であったことは、しばらく前から明らかだった。今やそれが事実として判明した」と語っている。

Anthropicの論理は明快だ。蒸留攻撃の実行には大量のAPIアクセスが必要であり、そのアクセスを大規模に処理するためには高性能チップが不可欠である。つまり、チップの輸出規制は直接的なモデル訓練だけでなく、不正な蒸留のスケーリングをも制約するという二重の効果を持つ。規制強化の論拠は弱まるどころか、むしろ補強されたというのがAnthropicの主張である。

2025年12月にTrump政権がNVIDIAのH200チップの中国向け輸出を正式に許可して以降、規制緩和への懸念は高まっていた。今回の告発は、その緩和方針に対する強力な反証材料となりうる。

AD

安全メカニズムの剥離:国家安全保障上の暗い影

蒸留の問題は知的財産の侵害に留まらない。Anthropicが最も警鐘を鳴らしているのは、蒸留されたモデルが元のモデルに組み込まれた安全ガードレールを保持しない可能性が高いという安全保障上のリスクである。

米国のフロンティアAI企業は、生物兵器の開発支援や悪意あるサイバー活動といった危険な用途を防ぐための多層的なセーフガードを構築している。蒸留によって能力だけが移転され、これらの防護機構が剥ぎ取られた場合、権威主義国家が攻撃的サイバー作戦、偽情報キャンペーン、大規模監視にフロンティアAIを投入する道筋が開かれる。さらにその蒸留モデルがオープンソース化されれば、危険な能力が単一国家の統制を超えて拡散するリスクは指数関数的に増大する。

OpenAIも2026年2月中旬、米国議会に対してDeepSeekによる類似の蒸留行為を報告しており、Googleも同様の試みを確認している。蒸留攻撃は特定企業に対する単発の侵害事案ではなく、米国AI産業全体に対する組織的かつ継続的な能力抽出キャンペーンとして把握すべき段階に入った。

フロンティアモデルのビジネスモデルが問われている

この問題の底流には、フロンティアAIのビジネスモデルそのものへの構造的な挑戦がある。Claude、ChatGPT、GeminiといったモデルはAPIを通じて広く商用アクセスを提供している。この開放性こそがエコシステムの成長と収益化を支える基盤だが、同時にそれは能力抽出の窓口でもある。

Anthropicは対策として分類器の開発、行動フィンガープリンティングシステム、チェーン・オブ・ソート誘出の検知、教育・研究用アカウントの審査強化、そしてAPIおよびモデルレベルでの蒸留対策セーフガードの構築を進めている。だが、同社自身が認めるように「一社では解決できない」。業界全体、クラウドプロバイダー、政策立案者の協調なくして、ハイドラクラスターに象徴される分散型の攻撃インフラを根絶することは不可能である。

蒸留攻撃が突きつけるのは、オープンアクセスと能力保護の間にある根本的な緊張関係だ。APIを通じた能力の民主化を推し進めるほど、その能力を不正に吸い上げるインセンティブもまた高まる。この構造的ジレンマに対する業界としての回答は、まだ存在しない。Anthropicの告発は、その議論の出発点にすぎない。


Sources