生成AIの性能差が短期間で縮まるとき、その差分は独自研究なのか、他社モデルの出力を大量に学習した結果なのか。米ホワイトハウスのOffice of Science and Technology Policy(OSTP)は2026年4月23日、米国製フロンティアAIへの「敵対的蒸留」に関するNSTM-4を連邦機関向けに出し、中国を主な拠点とする外国主体が産業規模の抽出キャンペーンを進めていると主張した。対象はモデルそのものの侵入ではなく、数万の代理アカウントや脱獄手法を使って出力や能力を集める行為である。米中首脳会談を前にした時期に、AI企業の利用規約違反だった問題は、輸出管理、経済スパイ、責任追及策の検討へ移り始めた。

AD

NSTM-4は「モデルの盗難」をAPI利用の問題として扱った

2026年4月23日付のNSTM-4は、Michael J. Kratsios OSTP局長名で各省庁の長に送られた文書だ。文書は米国がAI技術で世界をリードしているとの認識を置いた上で、外国主体、とりわけ中国を主な拠点とする主体が、米国のフロンティアAIシステムを蒸留する意図的で産業規模のキャンペーンを実施していると記した。攻撃手段として挙げられたのは、検知を避けるための数万件規模の代理アカウントと、専有情報を露出させるための脱獄手法である。

NSTM-4の狙いは、サーバー侵入やソースコード窃取とは異なる経路を政策対象に入れた点にある。蒸留は通常、強いモデルの出力を使って小型モデルを訓練する機械学習手法で、正当な用途では自社の大規模モデルを軽量化するためにも使われる。OSTPはそのうち、無断で出力を集め、米国モデルの能力を選択的に再現する行為を「敵対的蒸留」と位置づけた。文書は、こうしたモデルが元の性能を完全には再現しない一方、一部ベンチマークでは低コストで同等に見える製品を出せると警告している。

OSTPが示した対応は4項目で、米AI企業への情報共有、民間部門の連携支援、検知・緩和・修復のベストプラクティス策定、外国主体に責任を負わせる措置の検討である。ここで明示されたのは、政府が民間AI企業のログや攻撃指標を政策判断に組み込む流れだ。従来は各社が利用規約違反としてアカウントを止める対応が中心だったが、NSTM-4は同じ事象を国家間競争の制度問題として扱う。実際の執行は未定で、どの法律や制裁権限を使うかは文書だけでは確定しない。

Anthropic、OpenAI、Googleの事例が政策転換の土台になった

2026年2月23日、AnthropicはDeepSeek、Moonshot AI、MiniMaxの3社がClaudeの能力を抽出する産業規模のキャンペーンを実施したと発表した。同社によれば、3社は約2万4000件の不正アカウントを通じて1600万件超のやり取りを生成し、規約と地域アクセス制限に反してClaudeの出力を集めた。Anthropicは、DeepSeekが15万件超、Moonshot AIが340万件超、MiniMaxが1300万件超の交換を行ったと分類している。対象能力にはエージェント推論、ツール利用、コーディング、データ分析、コンピューター操作エージェントが含まれた。

Anthropicの発表は、蒸留という一般的な訓練技術と、競合他社のAPIを使った能力抽出を分けて論じていた。DeepSeekの事例では、推論能力や評価用タスク、検閲に配慮した代替回答の生成が狙われたとされる。Moonshot AIでは複数のアクセス経路をまたぐ多数の不正アカウント、MiniMaxでは新モデル公開後24時間以内にトラフィックを切り替えた動きが記録されたという。これらは企業側の一方的主張であり、対象企業の反論や第三者検証を待つ必要があるが、数と手口は政策当局が無視しにくい規模だ。

OpenAIも2026年2月、米下院の対中戦略競争特別委員会に宛てた文書で、DeepSeekがOpenAIや他の米国フロンティアラボの能力にただ乗りするため、蒸留を試みていると訴えた。Reutersが確認したメモによれば、DeepSeek関係者と関連づけられるアカウントがアクセス制限を回避し、第三者ルーターなどで発信元を隠して米国AIモデルの出力を取得する手法を開発していたという。Googleについては、2026年2月にGeminiへ10万件超のプロンプトを投げ、推論能力の抽出を試みる活動があったとArs Technicaが報じた。NSTM-4は特定企業名を列挙していないが、各社の公開告発と同じ語彙で、蒸留をAI時代の知的財産問題として束ねている。

AD

輸出管理だけでは防げない「クラウド経由の技術移転」になる

米下院の中国特別委員会は2026年4月16日、「Buy What It Can, Steal What It Must」と題する調査を公表し、中国が半導体製造とAI開発で合法・違法の両経路を使っているとした。委員会は、中国が制限下でも先端AIチップを大量に合法調達し、密輸網で制限対象チップを入手し、米国AI開発者から産業規模の不正でフロンティア能力を抽出していると整理した。政策提言には、MATCH Act、AI OVERWATCH Act、SCALE Act、Remote Access Security Actが並び、チップ輸出、外国直接製品ルール、クラウドアクセスの規制強化が含まれる。

蒸留攻撃が輸出管理と結びつく理由は、モデルの重みや学習データを盗まなくても、API出力の大量収集で能力の一部を移せるためである。先端GPUの輸出を絞っても、国外企業がクラウド、代理サービス、第三者ルーターを介して米国モデルにアクセスできれば、計算資源の不足を外部モデルの出力で補える。Anthropicは、単一の代理ネットワークが2万件超の不正アカウントを同時管理した例を挙げ、アカウントを一つ止めても別の経路に置き換わる構造を「hydra cluster」と呼んだ。これは半導体の箱を止める政策より、利用者認証、API異常検知、クラウド再販管理に近い実務である。

法律面の焦点は、モデル出力の大量取得を既存の経済スパイ法やComputer Fraud and Abuse Actで扱えるか、あるいは新しい管理対象として定義するかである。Ars Technicaが引用した委員会報告は、Commerce DepartmentのBureau of Industry and Security(BIS)とDepartment of Justice(DOJ)に、モデル抽出を産業スパイとして扱う検討を促した。敵対的蒸留を管理対象の技術移転と明確化できれば、米国企業は疑わしいアクセスを止めやすくなり、政府は制裁や刑事手続きに進みやすくなる。反面、通常の研究、ベンチマーク、相互運用テスト、正当な蒸留との境界線は細く、過剰な規制はAPI利用やオープンモデル開発にも影響する。

中国は「中傷」と反発、米国側にも線引きの課題が残る

中国大使館のLiu Pengyu報道官はFinancial Timesに対し、ホワイトハウスの主張を「完全な中傷」と述べ、中国は協力と健全な競争を通じた科学技術の進歩を支持し、知的財産権の保護を重視していると反論した。米国側の主張はOSTP文書、議会報告、企業発表に支えられているが、NSTM-4自体は個別企業や具体的な証拠ファイルを公開していない。対象が中国拠点の主体とされるほど、米中首脳会談、半導体輸出、クラウド規制、AI企業の中国アクセス制限が同じ交渉材料に入りやすくなる。外交上は、技術保護と市場アクセスの問題が切り離しにくくなった。

AI企業側にも説明責任は残る。大規模モデルの学習過程では、Web上の著作物や公開データの利用をめぐる訴訟と批判が続いてきた。米国ラボが他者のデータ利用をめぐって攻められる一方、自社モデルの出力抽出を知的財産侵害として強く主張する状況は、規範づくりを難しくする。蒸留そのものは正当な技術であり、問題はアクセス権限、規約違反、規模、隠蔽、競合モデル訓練への転用にある。

2026年4月時点で、米政府の対応は「ただちに制裁」ではなく、情報共有と責任追及策の検討で止まっている。AI企業の実務では、利用者確認、代理サービスの検知、同一能力に集中する反復プロンプトの分類、出力の訓練利用を困難にする防御が優先される。開発者や企業利用者にとっての影響は、API審査やレート制限、利用目的確認の厳格化として表れる可能性が高い。米政府が敵対的蒸留を技術移転として扱うなら、フロンティアモデルへのアクセスは、料金を払えば使えるクラウドサービスから、国籍、拠点、用途を審査される戦略資産へ近づく。

Sources