Roky investujete miliardy, stovky nejlepších mozků pracují dnem i nocí. A pak zjistíte, že někdo tiše, systematicky a ve velkém měřítku sbírá plody vaší práce, aniž by zaplatil jedinou korunu. Přesně tohle se stalo americké firmě Anthropic.
Charakter krádeže krok po kroku
Anthropic zveřejnil zprávu, která otřásla světem technologií. Firma odhalila, že tři čínské AI laboratoře, konkrétně DeepSeek, Moonshot AI a MiniMax, provedly koordinované kampaně průmyslové špionáže proti jejímu chatbotu Claude. Použily přitom techniku zvanou "distilace" a vygenerovaly přes 16 milionů výměn prostřednictvím přibližně 24 000 podvodných účtů.
Distilace sama o sobě není nic nezákonného. Jde o běžnou metodu, kdy se méně výkonný model trénuje na výstupech toho silnějšího. Firmy ji samy používají, aby vytvořily levnější, kompaktnější verze vlastních systémů. Problém nastane, když ji použijete na cizí model bez povolení, ve velkém měřítku a s cílem ukrást roky výzkumu za zlomek nákladů.
Čínské laboratoře si nemohly Claude jednoduše koupit. Anthropic totiž neposkytuje komerční přístup v Číně. Takže co udělaly? Využily komerční proxy služby, které přeprodávají přístup k americkým AI modelům. Vybudovaly sítě podvodných účtů, které Anthropic nazývá "hydra cluster" architektury. Když jeden účet zablokují, okamžitě ho nahradí jiný. V jednom případě jediná proxy síť spravovala přes 20 000 falešných účtů najednou.
Každá ze tří laboratoří měla svůj styl
DeepSeek vygeneroval přes 150 000 výměn. Synchronizoval provoz napříč účty, sdílel platební metody a koordinoval načasování, aby zvýšil propustnost a unikl detekci. Zajímavé je, že jejich prompty žádaly Clauda, aby si "představil a popsal vnitřní uvažování za dokončenou odpovědí" krok za krokem. Jinými slovy, generovali trénovací data pro řetězové myšlení ve velkém. Navíc nechávali Clauda vytvářet "cenzurně bezpečné" alternativy k politicky citlivým dotazům, jako jsou otázky o disidentech nebo autoritářství. Zřejmě proto, aby natrénovali vlastní modely, jak se takovým tématům vyhýbat.
Moonshot AI šel ještě dál a vygeneroval přes 3,4 milionu výměn. Použil stovky podvodných účtů přes různé přístupové cesty, aby kampaň vypadala méně koordinovaně. Anthropic ji přesto odhalil díky metadatům požadavků, která odpovídala veřejným profilům senior zaměstnanců Moonshotu.
Rekordmanem se stal MiniMax s více než 13 miliony výměn. A tady přichází detail, který mrazí: Anthropic kampaň odhalil ještě před tím, než MiniMax vydal model, který trénoval. Měli tak bezprecedentní pohled na celý životní cyklus distilačního útoku. Když Anthropic uprostřed kampaně vydal nový model, MiniMax do 24 hodin přesměroval téměř polovinu svého provozu, aby zachytil schopnosti nejnovějšího systému.
Víc než jen krádež duševního vlastnictví
Mohlo by se zdát, že jde "jen" o technologickou krádež. Ale Anthropic varuje před mnohem závažnějšími důsledky. Modely postavené na nelegální distilaci pravděpodobně neuchovají bezpečnostní zábrany, které americké firmy pečlivě budují. Zábrany, které brání zneužití AI k vývoji biologických zbraní nebo kybernetickým útokům.
Zahraniční laboratoře pak mohou tyto "odblokované" schopnosti vložit do vojenských, zpravodajských a sledovacích systémů. Autoritářské vlády by tak mohly nasadit špičkovou AI pro ofenzivní kybernetické operace nebo masové sledování obyvatelstva. Pokud se takové modely navíc zveřejní jako open-source, riziko se šíří jako lavina, bez jakékoli kontroly.
Exportní kontroly nestačí. Co teď?
Washington se snažil zpomalit čínský AI pokrok omezením přístupu k nejpokročilejším čipům. Jenže distilační útoky tuto strategii obcházejí. Jacob Klein, šéf zpravodajství hrozeb v Anthropicu, to vysvětlil jasně: "Pokud přemýšlíte o tom, jak zůstat napřed v závodě o AI, výpočetní výkon je jedna část. Ale stále více je kritické posilování pomocí zpětné vazby. Distilace vám umožňuje tyto schopnosti extrahovat."
Anthropic sdílí technické indikátory s dalšími AI laboratořemi, poskytovateli cloudu a příslušnými úřady. Posiluje ověřování pro vzdělávací účty a výzkumné programy, které útočníci nejčastěji zneužívají. Vyvíjí také protiopatření na úrovni produktu, API i samotného modelu.
Podobné obvinění přitom není ojedinělé. Již 12. února OpenAI informoval Sněmovní výbor pro Komunistickou stranu Číny, že DeepSeek systematicky "ukradl" jeho duševní vlastnictví. Google's Threat Intelligence Group varoval před kampaněmi s více než 100 000 prompty zaměřenými na replikaci schopností modelu Gemini.
Distilační útoky se staly novým bojištěm technologické války mezi USA a Čínou. A jak Klein trefně poznamenal: "Neexistuje žádná okamžitá stříbrná kulka." Řešení vyžaduje koordinaci celého průmyslu, poskytovatelů cloudu i politiků. Anthropic to nemůže zvládnout sám. A upřímně řečeno, ani nikdo jiný.
Zdroje: aol.com a yahoo.com
