2026 年 6 月 10 日,Anthropic 向美国参议院银行委员会发出一封信函,指控阿里巴巴旗下通义千问(Qwen)实验室,通过约 2.5 万个虚假账户,在 4 月 22 日至 6 月 5 日期间对 Claude 发起了超过 2880 万次交互,意图系统性地提取其模型能力。Anthropic 称这是迄今为止最大规模的”模型蒸馏攻击”。
两个月前刚刚被美国政府点名警告的 DeepSeek、Moonshot、MiniMax 三家合计才 1600 万次交互。阿里一家,其规模接近前者的 18 倍。
这不是一个孤立事件。它是中美 AI 竞争从”暗中角力”走向”公开对抗”的一个标志性节点。
蒸馏的技术本质:为什么它如此难防
要理解这起事件的分量,需要先理解蒸馏(Distillation)在 AI 生态中的两面性。
蒸馏本身是一项成熟的技术:用大模型(教师)的输出作为训练数据,去优化一个小模型(学生)。在 AI 行业内部,蒸馏被广泛用于模型压缩、对齐调优、推理加速等合法场景。OpenAI 用它做 GPT-4o mini,Google 用它做 Gemini Nano,几乎没有一家主流 AI 公司不在用。
争议的焦点在于”对抗性蒸馏”(Adversarial Distillation)——即跨公司、跨境的、未经授权的系统性蒸馏。攻击者并非以使用服务为目的,而是以最大效率提取模型能力为唯一目标。Anthropic 在信中描述,阿里 Qwen 的操作者针对性地提取了 Claude 最核心的能力:软件工程和代理推理(Agentic Reasoning),这正是当前 AI 产品中商业价值最高的能力板块。
从技术视角看,对抗性蒸馏利用了一个基本矛盾:前沿模型必须在公开网络上提供服务,而一旦开放 API,输出就无法被物理性地保护。 调用频率限制和异常检测是当前唯一的防线,但它们在 2.5 万个分布在全球的虚假账户面前,效果有限。
信件的深层诉求:技术问题,寻求政治解决方案
这封信的收件人值得注意——不是 FBI,不是商务部,而是参议院银行委员会主席 Tim Scott 和资深委员 Elizabeth Warren。
这意味着 Anthropic 的诉求远不止于”告状”。
Anthropic 在信中提出了几项具体请求:澄清反垄断指引,允许美国 AI 实验室之间共享蒸馏情报;加强对中国获取先进算力的出口管制;对发起蒸馏攻击的外国实体实施惩罚性措施。
从商业角度看,这些诉求有其内在逻辑。当前美国 AI 公司之间存在一个集体行动的困境:任何一家公司单独打击蒸馏行为,效果都有限,因为蒸馏者可以转向另一家公司的 API。但如果行业内能共享威胁情报,防御效率将大幅提升。问题在于,美国反垄断法长期禁止竞争对手之间共享此类信息。Anthropic 实质上是在请求国会为 AI 行业开一个”特例”。
同时,这封信也带有鲜明的 IPO 前色彩。Anthropic 和 OpenAI 都在推进上市进程,而市场对 AI 公司的评估越来越看重其”技术护城河”的深度。能够将蒸馏攻击上升到国家安全层面,既向投资者证明了自身技术的稀缺性,也向政府展示了配合姿态——这可以理解为一个理性企业在当前政策环境下的战略选择。
但硬币的另一面是:就在这封信寄出两天后(6 月 12 日),美国商务部对 Anthropic 的最新模型 Mythos 和 Fable 5 实施了出口管制,要求禁止任何外国人访问,Anthropic 被迫全球关停。这说明求助于政府是一把双刃剑——政府在帮你打击对手的同时,也可以限制你。
阿里巴巴的处境与行为逻辑
截至本文写作时,阿里巴巴没有对此指控做出公开回应。
从公开事实来看,Anthropic 的指控中包含了一些可验证的细节:2.5 万个账户、2880 万次交互、45 天的时间窗口、针对软件工程和代理推理能力。如果这些数据属实——目前 Bloomberg 和 CNBC 均已独立看到信件副本并予以确认——那么这确实是一个系统性、有组织的蒸馏行为,明显违反了 Anthropic 的服务条款和地理限制政策。
但理解”为什么”同样重要。
中国 AI 行业的竞争格局非常残酷。过去两年,百川、零一万物等明星项目收缩或转型,市场对 AI 创业公司的耐心正在耗尽。在这样的环境下,阿里 Qwen 面临着巨大的交付压力——它需要用有限的资源尽快拿出有竞争力的产品。蒸馏提供了一条低成本、高效率的技术追赶路径。
更重要的是,这种做法的”示范效应”已经被验证过。2 月被 Anthropic 点名后,DeepSeek 并未因此受到实质性影响,其模型仍在广泛使用。在”谁先落地谁赢”的市场逻辑下,蒸馏是一个理性的短期策略。
这并不是在为蒸馏行为辩护,而是指出一个结构性的困境:当一个赛道上所有参与者都在加速,选择减速的人并不会让比赛变慢,只会让自己出局。 这不是阿里的问题,这是囚徒困境在 AI 竞争中的必然体现。
蒸馏暴露了 AI 行业一个更深层的矛盾
Anthropic 在信中警告说,蒸馏让中国公司以极低成本复制美国公司的前沿能力,而且蒸馏得到的模型往往缺少安全护栏。
这句话有道理,但还有一个更深层的问题它没有提及:蒸馏之所以如此有效,本身就在说明当前 AI 模型的技术护城河可能没有我们想象的那么深。
如果几千万次 API 调用就能逼近一个模型的多数能力,这意味着:
- 当前模型的核心竞争力更多来自规模(数据、算力)而非独特的架构创新
- 通用的 transformer 架构让不同模型之间的”知识迁移”门槛很低
- 真正的壁垒可能不在技术本身,而在品牌信任、生态绑定和持续迭代速度
这对整个行业来说是一个有些不安的信号。如果领先者的能力可以通过 API 被低成本复制,那么”先发优势”究竟能持续多久?这个问题的答案,将直接决定当前 AI 行业投融资逻辑的合理性。
一个更广泛的后果:全球 AI 生态的加速分裂
无论这起事件的最终结论如何,它的影响已经超越了 Anthropic 和阿里两家公司。
我们可以观察到几个正在发生的趋势:
模型越来越封闭。 OpenAI 和 Anthropic 都在收紧 API 使用政策,限制异常的调用模式。Google 也在加强 Gemini 的访问控制。这种”防御性封闭”会让合法开发者面临更多的使用限制和更高的成本。
跨境协作的成本在上升。 无论是学术研究中的模型评测、开源社区的跨平台贡献,还是跨国企业的内部 AI 部署,都将越来越难以绕开”这个模型能否在这个国家使用”的政治问题。
监管正在从”自愿”走向”强制”。 Anthropic 这封信本身就是对监管的呼吁。无论美国是否推出新的立法,全球主要经济体都会加速制定 AI 模型的使用和访问规则,而这些规则大概率是相互冲突的。
从更宏观的视角来看,AI 行业正从一个”技术定义规则”的阶段,进入一个”政治定义规则”的阶段。蒸馏攻击只是加速了这一进程的催化剂。
结语
Anthropic 对阿里的指控,从事实层面看是一个技术服务条款的争议——阿里是否通过虚假账户实施了对抗性蒸馏。但从产业层面看,它标志着 AI 竞赛进入了一个新的阶段:技术竞争正在被翻译为地缘政治博弈,商业策略越来越依赖政府工具,而全球 AI 生态的连通性在不可逆转地下降。
蒸馏不是偷窃,也不是创新。它是这个时代的信号——当一个技术的价值变得足够大时,围绕它的争夺就会从技术层面扩散到法律、政治和地缘层面。
理解这一点,比争论谁对谁错更有意义。
