Anthropic: „Alibaba hat Fähigkeiten der Claude-AI-Modelle rechtswidrig extrahiert“

 (reuters.com)
1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Vor einer KI-Anhörung im US-Senat behauptete Anthropic, die mit Alibaba verbundenen Aktivitäten seien der größte derartigen Angriff gewesen, der gegen das Unternehmen gerichtet war
  • Der zentrale Mechanismus sei Destillation (distillation), bei der ein schwächeres Modell mit den Ausgaben eines stärkeren Modells trainiert wird; Anthropic geht davon aus, dass China dadurch schneller Fähigkeiten auf dem Niveau von Mythos Preview erreichen könnte
  • Vom 22. April 2026 bis zum 5. Juni gab es mehr als 28,8 Millionen Interaktionen mit Claude; dabei seien fast 25.000 betrügerische Konten verwendet worden
  • Anthropic erklärte, die Betreiber seien mit Alibaba und dem KI-Forschungslabor Alibaba Qwen verbunden; Alibaba reagierte nicht sofort auf eine Bitte von Reuters um Stellungnahme
  • Anthropic unterstützt den Austausch von Bedrohungsinformationen und gemeinsame Gegenmaßnahmen zwischen der US-Regierung und privaten KI-Unternehmen, zugleich wurden im selben Zeitraum aber auch Zugriffsbegrenzungen für die eigenen Modelle Mythos und Fable verhängt

Vorwürfe der rechtswidrigen Extraktion im Zusammenhang mit Alibaba

  • Anthropic erklärte in einem an den US-Senat gerichteten Schreiben, dass das chinesische Technologie- und E-Commerce-Unternehmen Alibaba Fähigkeiten der Claude-AI-Modelle rechtswidrig extrahiert habe
  • Laut dem von Reuters eingesehenen Schreiben bewertet Anthropic diese Aktivität als den größten derartigen Angriff, den das Unternehmen bislang festgestellt hat
  • Alibaba reagierte nicht sofort auf eine Bitte von Reuters um Stellungnahme

Destillationsmethode und Umfang des Angriffs

  • Anthropic bezeichnete die Aktivität als Versuch der Destillation (distillation)
    • Destillation ist ein Verfahren, bei dem ein relativ schwächeres Modell mit den Ausgaben eines leistungsfähigeren Modells trainiert wird
  • Der Zeitraum der Kampagne war 22. April 2026 bis 5. Juni
  • In diesem Zeitraum wurden gegen Claude mehr als 28,8 Millionen Interaktionen gezählt
  • Verwendet wurden fast 25.000 betrügerische Konten
  • Anthropic sieht in der Destillation einen Weg, mit dem China schneller die fortgeschrittenen Fähigkeiten von Mythos Preview von Anthropic erreichen könnte

Behauptete Verbindung zu Alibaba Qwen und Empfänger des Schreibens

  • Anthropic behauptete, die Kampagne sei von Akteuren durchgeführt worden, die mit Alibaba und Alibabas KI-Forschungslabor Alibaba Qwen verbunden seien
  • Das Schreiben ist auf den 10. Juni datiert
  • Empfänger sind der Vorsitzende und die ranghöchste Demokratin des US-Senatsausschusses für Bankenwesen, Tim Scott und Elizabeth Warren
  • Das Schreiben wurde im Vorfeld einer geplanten KI-Anhörung versandt

Frühere Fälle mit chinesischen KI-Forschungslabors

  • Anthropic erklärte, bereits im Februar 2026 eine Kampagne identifiziert zu haben, bei der das chinesische KI-Startup DeepSeek und zwei weitere chinesische KI-Forschungslabors versucht hätten, Fähigkeiten von der Claude-AI-Plattform rechtswidrig zu extrahieren
  • Die von Anthropic damals genannten Größenordnungen waren wie folgt
    • DeepSeek: mehr als 150.000 Interaktionen
    • Moonshot AI: mehr als 3,4 Millionen
    • MiniMax: mehr als 13 Millionen
  • Anthropic erklärte damals, dass Intensität und Raffinesse dieser Kampagnen zunähmen und eine schnelle sowie koordinierte Reaktion von Industrie, politischen Entscheidungsträgern und der globalen KI-Community nötig sei

Maßnahmen der US-Regierung und Beschränkungen für Anthropic-Modelle

  • Anthropic erklärte, die Reaktionsbemühungen der US-Regierung zu unterstützen
    • einschließlich des Austauschs von Bedrohungsinformationen mit privaten KI-Unternehmen
    • sowie weiterer gemeinsamer Gegenmaßnahmen
  • Im April 2026 beschuldigte das Weiße Haus China, geistiges Eigentum von US-KI-Forschungslabors in industriellem Maßstab zu stehlen
  • Alibaba wurde im selben Monat auf die Liste chinesischer Militärunternehmen des US-Verteidigungsministeriums gesetzt; Alibaba ficht diese Einstufung an
  • Das US-Handelsministerium verzichtete trotz der Einstufung von DeepSeek als Risiko für die nationale Sicherheit in einem behördenübergreifenden Ausschuss auf eine Aufnahme in die Handels-Blacklist, um eine weitere Eskalation der Spannungen mit Beijing zu vermeiden
  • Zwei Tage nachdem Anthropic das Schreiben versandt hatte, am 12. Juni, verhängte das US-Handelsministerium Beschränkungen für die neuesten KI-Modelle Mythos und Fable von Anthropic
    • Die Behörden befürchten, dass diese Modelle bei militärischen Nachrichtendienstnutzern in China und anderen besorgniserregenden Ländern eingesetzt werden könnten
    • Aufgrund dieser Beschränkungen deaktivierte Anthropic den Zugang zu diesen Modellen weltweit

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Hacker-News-Kommentare

  • Ich lasse das mal hier: „Ein Richter entschied, dass Anthropics Herunterladen von mehr als 7 Millionen Büchern von Piraterieseiten wie LibGen eine Verletzung darstellte, und verwarf auch Anthropics Verteidigung mit dem ‚Forschungszweck‘: ‚Man kann nicht einfach selbst den Forschungszweck absegnen und sich dann beliebige Lehrbücher nehmen, die man will.‘“
    https://www.joneswalker.com/en/insights/blogs/ai-law-blog/wh...

    • In den frühen Tagen des Musik-Streamings füllten viele Neueinsteiger ihre Dienste mit riesigen Bibliotheken aus Raubkopie-Inhalten. Die Gewinner schlossen danach Verträge mit Rechteinhabern und verfolgten den Rest später
    • Ist es nicht lustig, wie diese Modelle plötzlich urheberrechtlich geschütztes Material aus dem Gedächtnis holen, wenn man nach Songtexten fragt?
    • Hätte man dann aber nicht auch die mit diesen Büchern trainierten Modelle verwerfen müssen?
    • Wie viel „Fähigkeit“ wurde wohl aus diesen Büchern „extrahiert“?
    • „Du versuchst doch nur, das zu entführen, was ich völlig rechtmäßig gestohlen habe!“

  • Es gibt im Wesentlichen zwei Arten von Distillation. 1) die groß angelegte, dumme Methode der Blackbox, bei der man Fragen stellt und die Antworten als Verstärkungssignal nutzt, 2) die stärker zielgerichtete Distillation, bei der ein Modell ein anderes direkt anleitet, trainiert und steuert (RLAIF)
    Letzteres ist im Grunde nichts anderes, als ein Modell anhand der Orientierung eines anderen feinzujustieren. Unzählige Unternehmen machen täglich genau so Fine-Tuning. Chinesische Labore nutzen diese Methode mit ziemlicher Sicherheit ebenfalls, weil sie für das Endergebnis viel wirksamer ist als bloß simple Antworten auf simple Fragen abzugreifen
    Diese Beschwerden über Distillation sollen das Problem größer erscheinen lassen, als es ist, und scheinen dem protektionistischen Ziel zu dienen, die US-Regierung dazu zu bringen, chinesische Modellanbieter zu blockieren oder zu verbieten. Man hat bereits schärfere Chip-Exportkontrollen gefordert, was angesichts von DeepSeek v4, das für den Betrieb auf Huawei-Chips ausgelegt wurde, und anderer chinesischer Firmen, die nachziehen, schon fast komisch ist. Aber das kann man nicht offen sagen, also behauptet man, dass distillierte Modelle womöglich nicht so sicher seien wie die eigenen und man deshalb mehr Exportkontrollen brauche. Wenn man dann Jailbreaks vorführt, die die Sicherheitsmaßnahmen des eigenen Modells umgehen, heißt es wiederum, man solle sich keine Sorgen um Sicherheit machen, weil letztlich jedes Modell jailbreakt werden könne

    • Der Teil mit „Beschwerden über Distillation blähen das Problem größer auf, als es ist“ stimmt, aber leider beteiligt sich schon der Reuters-Artikel selbst an genau dieser Dramatisierung. Gleich im ersten Absatz wiederholt er ohne Anführungszeichen Anthropics Formulierung, Distillation sei ein „Angriff“, sodass Leser kaum erkennen können, dass dieses Framing eine Unternehmensbehauptung ist. Distillation ist kein Angriff
    • Vielleicht eine dumme Frage, aber ich dachte, diese Modelle würden mit Daten im Petabyte-Bereich trainiert. Die Menge an Frage/Antwort-Paaren, die man durch Abfragen eines größeren Modells wie Claude extrahieren kann, dürfte doch ziemlich begrenzt sein — ist das im Vergleich zum Trainingsdatensatz nicht nur ein Tropfen auf den heißen Stein?
    • https://research.nvidia.com/labs/lpr/slm-agents/ — Distillation-Daten fallen beim Einsatz solcher Modelle ganz natürlich als Nebenprodukt an. Es gibt keine wirksame Abwehr. Anthropic verlangsamt das Ganze und versucht, das Innenleben des Modells zu verbergen, indem es Gedankenblöcke zu Zusammenfassungen degradiert, aber mathematisch gibt es am Ende keine Lösung, und im Maßstab multinationaler Konzerne/Großunternehmen funktioniert es gut genug. In dem Moment, in dem Kosten Priorität haben, verschwindet der Lock-in-Effekt, der Kunden festhalten soll
    • Sie behaupten zwei Dinge. 1) Ein bestimmter öffentlicher Jailbreak für Fable 5 sei nicht gefährlich, mehrere Experten hätten das bestätigt, und es gebe keine glaubwürdigen gegenteiligen Belege. Insofern hat Anthropic wahrscheinlich recht
      2) Es sei unmöglich, ein Large Language Model zu bauen, das gegen alle Jailbreaks immun ist. Auch dafür gebe es keine glaubwürdigen Gegenbelege, also hat Anthropic hier vollständig recht
      Falls 1 falsch ist, könnte man einfach die Jailbreak-Details veröffentlichen. Er funktioniert angeblich nur bei Fable 5, also besteht auch kein mögliches Risiko
      Falls 2 falsch ist, hätte ein anderes LLM-Labor das längst geschafft haben müssen. Mehrere Regierungen haben ja klar gemacht, dass es für solche Projekte einen Markt gibt
    • Wenn man evaluiert, trainiert man das Modell zwar nicht, aber praktisch ist es fast dasselbe wie RLAIF. Man schaut sich nur die Ergebnisse an
      Grundsätzlich ist es sehr schwer, das zu verhindern und ein KI-Modell zugleich nützlich zu halten

  • Das erinnert mich an Steve Jobs in den mittleren bis späten 1980ern, als er sich beschwerte, dass der Mac-GUI kopiert worden sei. Dabei erkannte er die Arbeit, die bereits in Xerox Alto und dem Star-Betriebssystem geleistet worden war, öffentlich nicht an
    „Du willst doch nur etwas kopieren, das ich schon kopiert habe!“
    Es wirkt genauso, wenn man das ganze Internet crawlt, riesige Large Language Models baut und sich dann darüber beschwert, kopiert zu werden

    • Vermutlich war dieses Bill Gates zugeschriebene Zitat gemeint: „Also, Steve, ich glaube, man kann das nicht so eindimensional sehen. Es ist eher so, als hätten wir beide diesen reichen Nachbarn namens Xerox gehabt, und als ich bei ihm einbrechen wollte, um den Fernseher zu klauen, habe ich festgestellt, dass du ihn schon mitgenommen hattest.“
    • Apple hatte Xerox vor diesem Meeting das Recht eingeräumt, Aktien im Wert von 1 Million Dollar vor dem Börsengang zu kaufen
    • Ja, die gesamte KI-Branche besteht nur aus Leuten, die voneinander kopieren. Sie begann damit, dass KI-Firmen die Informationen verschlangen, die technische oder altruistische Menschen in den letzten 40 Jahren ins Internet gestellt hatten, um anderen zu helfen; dann fraßen sie Piraterie- und urheberrechtlich geschütztes Material, und jetzt kopieren die KI-Firmen einander
      Informationen wollen wirklich frei sein, aber KI-Unternehmen wollen Türsteher sein. Langfristig wird sich meiner Meinung nach der nachhaltigere Ansatz mit offenen Gewichten durchsetzen
    • Alle Large Language Models halten Jon Skeet für einen Gott
    • „Du versuchst doch nur, das zu entführen, was ich völlig rechtmäßig gestohlen habe!“

  • Es ist wirklich lächerlich, wie Anthropic sich darüber beschwert, dass „die Fähigkeiten des Claude-AI-Modells illegal extrahiert wurden“, und damit die Vorwürfe des Weißen Hauses stützt, China stehle „im industriellen Maßstab geistiges Eigentum amerikanischer AI-Labore“
    Anthropic, OpenAI, Google, Microsoft usw. haben ihre Modelle trainiert, indem sie wahllos Inhalte eingesammelt und dabei die Rechte der Urheber ignoriert haben. Und jetzt ruft eines von ihnen plötzlich, es sei unfair, wenn jemand anderes genau das tut, was sie alle selbst getan haben

    • AI-Unternehmen scheinen zu glauben, dass alles im Internet kostenlos ist, außer ihr eigenes Zeug. Es ist in Ordnung, mit AI-Crawlern wahllos auf Websites einzuhämmern, robots.txt zu ignorieren und die Bandbreitenkosten in die Höhe zu treiben. Aber wenn Datensammlungspraktiken Kosten für AI-Anbieter verursachen, dann soll das plötzlich völlig inakzeptabel sein
    • Nach geltendem Recht sind Claude-Ausgaben Gemeingut, also ist es nicht exakt derselbe Fall. Deshalb hat die chinesische Seite hier nichts gestohlen
    • Deins ist meins, und meins bleibt weiterhin meins
    • Unter Dieben gibt es keine Ehre

  • Das, was gerade passiert, sieht so aus: Chinesische Wiederverkäufer bieten Claude-Token zu Preisen an, die 70–90 % unter den offiziellen Anthropic-API-Preisen liegen. Sie erreichen das, indem sie Claude-Max-Konten bündeln und deren Kapazität weiterverkaufen, Zahlungsbetrug einsetzen und Modellausgaben sowie Reasoning-Ketten an mehrere chinesische Institute weiterverkaufen. Sie erleichtern den Modellzugang im Austausch gegen Nutzerprotokolle und Inferenzspuren und können unter Einstandskosten arbeiten, weil sie diese als Trainingsdaten verkaufen
    Claude und ChatGPT sind beide in China gesperrt. Für den Zugriff braucht man ein VPN, und mit chinesischen Bankkarten kann man nicht bezahlen. Deshalb kaufen die meisten, die Zugang zu Claude wollen, ihre Zugangsrechte über Wiederverkäufer. Das ist in China der einfachste und billigste Weg, an Anthropic-Modelle zu kommen
    Diese Wiederverkäufer betreiben Zehntausende Bot-Konten, und genau deshalb hat Anthropic eine Identitätsprüfung eingeführt, um die Bot-Wellen zu verlangsamen
    Ein Token-Wiederverkäufer bietet Opus 4.8 mit 93 % Rabatt gegenüber den offiziellen API-Tarifen an: https://yunwu.ai/pricing?provider=Anthropic
    Das ist einer der Gründe, warum DeepSeek- und GLM-Preise so niedrig sind. Sie müssen in China mit absurd niedrigen Tokenpreisen konkurrieren, also müssen sie die Preise niedrig halten, damit die Leute sie überhaupt nutzen
    Ich habe das vor ein paar Monaten schon geteilt, aber kaum Reaktionen bekommen. Das ist ein großartiger Artikel, der die chinesische Token-Wiederverkaufsökonomie erklärt: https://www.chinatalk.media/p/how-to-buy-cheap-claude-tokens...

    • Gut für den Wettbewerb. Dass ein chinesischer Anbieter eine billigere Lösung anbietet, genau das habe ich im Wirtschaftsstudium als freien Markt gelernt
      Ich habe auch gelernt, dass Anthropic seine Arbeit besser machen muss, wenn es konkurrieren will. Sonst gewinnt eben jemand anderes
      Gilt dieses Prinzip jetzt nicht mehr für große US-Konzerne
    • Die Erklärung, DeepSeek und GLM seien billig, weil sie mit absurd niedrigen Tokenpreisen in China konkurrieren müssten, überzeugt mich überhaupt nicht
      DeepSeek und GLM sind Open Weights, und auch US-Inferenzanbieter verkaufen viel günstiger. Der Grund für die niedrigen Preise ist, dass die Modelle effizienter sind
    • Wenn die Rede davon ist, dass sie Claude-Max-5x-Konten bündeln, Kapazität weiterverkaufen, Zahlungsbetrug begehen und Modellausgaben an mehrere chinesische Institute verkaufen: Ist das denn billiger, als sich den eigenen Account direkt zu besorgen
      Wenn nicht, klingt das nach dem typischen Gerede von AI-Bären, dass „Anthropic/OpenAI 1.000 Dollar an Token für 100 Dollar verkauft und dadurch riesige Summen verliert“
    • Anthropic könnte Mythos wohl hierauf ansetzen und das Wiederverkäuferproblem frontal angehen. Man müsste nur über Wiederverkäufer mehrere Konten kaufen, Nachrichten mit UID verschicken, diese in den Anthropic-Logs aufspüren, dann die Konten schließen und über Metadaten verknüpfte Konten identifizieren — in einer Schleife
    • Diese Wiederverkäufer verkaufen in Wirklichkeit einfach Kimi K2.5 oder GLM5.1 als Opus getarnt. Chinesen kennen sich seit Langem mit dem Fälschungsspiel in vielen Branchen aus

  • Alibabas Vorgehen wird als Versuch der „Destillation“ beschrieben, und Anthropic sagte, das bedeute, ein schwächeres Modell mit den Ausgaben eines stärkeren Modells zu trainieren
    Claude hat Terabytes an Inhalten ohne Erlaubnis zum Training des eigenen Modells verwendet, und das soll in Ordnung gewesen sein. Jetzt schreit man auf, weil jemand die Ausgaben des Claude-Modells zum Training eines Modells benutzt hat

    • Es war nicht in Ordnung. Es mussten 1 Milliarde Dollar gezahlt werden

  • Ich freue mich auf einen Prozess, in dem Anthropic die Herkunft seiner Trainingsdaten offenlegen und erklären muss, warum es selbst das Recht haben soll, wiedergekäute Trainingsdaten gegen Bezahlung an Kunden auszugeben, Alibaba aber nicht das Recht haben soll, sein Modell mit Anthropic-Modellen zu trainieren
    Könnte unterhaltsam werden

    • Wurde bereits offengelegt, und es wurden 1,5 Milliarden Dollar gezahlt: https://authorsguild.org/advocacy/artificial-intelligence/wh...
    • Wenn auch nur ein einziges Stück GPL-Quellcode darin steckt, müssten die Gewichte unter einer GPL-Lizenz veröffentlicht werden
    • Aggressiv und laut zu sein ist profitabler, als logisch konsistent zu sein
    • Ich kann dieses Gefühl nachvollziehen, aber angesichts der internationalen Stellung der Beteiligten und ihrer komplexen Beziehungen scheint ein tatsächlicher Prozess eher unwahrscheinlich
      Das Verhalten von Anthropic wirkt wie eine performative Geste. Andere haben bereits vermutet, wer das Zielpublikum dafür sein dürfte

  • Was genau daran soll eigentlich illegal sein
    Rechtlich können Modellausgaben weder nach nationalem noch nach internationalem Recht als geistiges Eigentum geschützt werden. Das Äußerste, was man erwarten kann, ist zivilrechtliche Abhilfe, und selbst das erscheint fraglich, wenn man bedenkt, dass die Art, wie sie ihre Modelle trainiert haben, buchstäblich selbst rechtswidrig war
    Anthropic wurde genauso behandelt, wie es selbst alle anderen behandelt hat. Sie haben sich dieses Bett selbst gemacht, jetzt müssen sie auch darin liegen

    • Anthropic beherrscht Newspeak meisterhaft. Früher haben sie bei Mythos schon Bugs zu Schwachstellen umetikettiert. Destillation ist nur ein Verstoß gegen die Nutzungsbedingungen, also eine zivilrechtliche und keine strafrechtliche Angelegenheit. Es ist nicht illegal und kein Gesetzesverstoß

  • Dass Alibabas Vorgehen eine sogenannte „Destillation“ sei, bei der ein schwächeres Modell mit den Ausgaben eines stärkeren Modells trainiert wird, aber ich verstehe nicht, was daran falsch sein soll.
    Anthropic sagte, diese Kampagne habe vom 22. April 2026 bis zum 5. Juni stattgefunden und über fast 25.000 betrügerische Konten mehr als 28,8 Millionen Interaktionen mit Claude erzeugt.
    Was macht diese Konten zu Betrug? Wenn der vereinbarte Preis gezahlt wurde, ist es dann nicht in Ordnung? Falls nicht gezahlt wurde, warum hat Anthropic den Dienst dann bereitgestellt?

    • Was sie zu betrügerischen Konten macht? Es könnten gefälschte Identitäten sein und eine umfassende Täuschung über den Verwendungszweck.
    • Weil in Anthropics Nutzungsbedingungen deutlich mehr steht als nur „Wenn du zahlst, kannst du den Dienst für jeden Zweck nutzen“.
    • Man könnte auch einfach die Reasoning-Spuren lesen und selbst daraus lernen, oder? /s

  • Destillation lässt sich grundsätzlich nicht verhindern. Alles, was man tun kann, ist sie zu verlangsamen. Widerlegt das.
    Am Ende werden chinesische Firmen Erweiterungen wie Honey herausbringen, sich auf echte nichtchinesische Kunden draufsetzen und sowieso alles nach China schicken.
    Es ist vorbei.

    • Für die Destillation mancher Fähigkeiten wie Code schreiben oder Schwachstellen finden ist es bereits zu spät [1].
      KI-Labore können aber weiterhin enormen wirtschaftlichen Wert schaffen, ohne ihre Modelle offenzulegen und sie damit potenzieller Destillation auszusetzen. Sie könnten Modelle zum Beispiel nur intern verwenden, um Medikamente zu entwickeln.
      Hoffentlich gibt es irgendwann eine Zukunft, in der auch andere Zugang zu Frontier-Modellen haben, aber wenn man entscheidet, dass es wichtiger ist, die Verbreitung durch Destillation zu verhindern, ist das nicht zwingend nötig.
      [1]: Verweis zur Destillation in https://dualuse.dev/posts/export-controls-on-fable
    • Was ich nicht ganz verstehe: Die Destillation, die wir sehen, scheint nur in China stattzufinden. Was hindert Technologieunternehmen in Großbritannien oder Deutschland daran, Claude, GPT usw. zu destillieren? Fehlt ihnen einfach die Fähigkeit dazu?
      Der Punkt ist, dass es vielleicht keine technische Lösung gibt, theoretisch aber eine politische Lösung geben könnte.
    • Solange sich Modelle weiter verbessern, werden destillierte Modelle zwangsläufig zurückfallen. Modelle entwickeln sich weiterhin. Irgendwann in der Zukunft könnte das vielleicht enden.
      Berkeleys „False Promise of Imitating Proprietary LLMs“ kam ebenfalls zu dem Schluss, dass Nachahmung die Stil-Lücke zwar schnell verringert, die Fähigkeitslücke aber groß bleibt.
      https://arxiv.org/abs/2305.15717
    • Mir fällt nicht einmal ein Grund ein, warum man das für falsch halten sollte.
    • Das ist genau wie bei Web-Scraping, das man ebenfalls nicht verhindern kann. Widerlegt das.