24 000 фейковых аккаунтов и 16 млн запросов: как китайские лаборатории копировали Claude

16 миллионов запросов. 24 тысячи фейковых аккаунтов. Три китайские AI-лаборатории и одна цель — извлечь из Claude всё, что можно использовать для обучения собственных моделей. Anthropic впервые публично назвала имена и привела доказательства того, что конкуренты систематически воровали её технологии.

Что произошло

23 февраля 2026 года Anthropic опубликовала детальный отчёт о трёх масштабных кампаниях по дистилляции Claude. Дистилляция — это метод, при котором более слабая модель обучается на ответах более сильной. Сам по себе метод легитимен: лаборатории постоянно дистиллируют собственные модели, чтобы создать компактные версии для клиентов. Проблема в другом — когда конкуренты делают это без разрешения, используя прокси-сервисы и поддельные аккаунты.

Anthropic не продаёт доступ к Claude в Китае и его компаниям-дочкам за рубежом. Чтобы обойти это ограничение, лаборатории использовали так называемые «гидра-кластеры» — разветвлённые сети прокси-аккаунтов, перепродающих доступ к API. В одном случае единственная прокси-сеть управляла более чем 20 000 фейковых аккаунтов одновременно, смешивая трафик дистилляции с обычными клиентскими запросами.

Три кампании, три лаборатории

Самый крупный игрок — MiniMax из Шанхая. На эту лабораторию пришлось более 13 миллионов обменов с Claude, направленных на извлечение агентного кодирования и оркестрации инструментов. Anthropic обнаружила кампанию ещё до того, как MiniMax выпустила обучаемую модель, получив беспрецедентный обзор жизненного цикла атаки — от генерации данных до запуска продукта. Когда Anthropic обновила Claude, MiniMax за 24 часа перенаправила почти половину трафика на новую версию.

Moonshot AI (создатели Kimi) провели вторую по масштабу операцию — 3,4 миллиона обменов. Они целились в агентное мышление, использование инструментов, кодирование и компьютерное зрение. Сотни мошеннических аккаунтов были распределены по разным каналам доступа, что затрудняло обнаружение координации. Anthropic атрибутировала кампанию через метаданные запросов, совпавшие с публичными профилями старших сотрудников Moonshot.

DeepSeek провёл более компактную, но технически изощрённую операцию — свыше 150 000 обменов. Главная особенность: промпты просили Claude представить и сформулировать внутреннее рассуждение за готовым ответом, шаг за шагом. Фактически DeepSeek генерировал цепочки мышления (chain-of-thought) для обучения в промышленных масштабах. Отдельное направление — генерация «безопасных для цензуры» ответов на политически чувствительные темы: вопросы о диссидентах, партийных лидерах, авторитаризме. Вероятно, эти данные использовались для обучения моделей DeepSeek обходить цензурные темы.

Как работает дистилляционная атака

Один промпт, на первый взгляд, выглядит безобидно — например, «ты эксперт по анализу данных, твоя цель — давать insights, подкреплённые полным и прозрачным рассуждением». Но когда вариации такого запроса приходят десятки тысяч раз через сотни координированных аккаунтов, все нацелены на одну узкую возможность — паттерн становится очевидным.

Anthropic перечисляет три признака дистилляционной атаки: огромный объём, сконцентрированный в нескольких областях; высокоповторяющиеся структуры промптов; содержание, которое напрямую отображается на то, что наиболее ценно для обучения модели.

OpenAI и Google — та же история

Anthropic не одинока. OpenAI ещё в начале февраля обвинила DeepSeek в дистилляции своих моделей. Google Threat Intelligence Group (GTIG) сообщила о похожих попытках клонирования Gemini — до 100 000 запросов от «коммерчески мотивированных» акторов. Масштаб проблемы выходит за рамки одной компании.

Впрочем, ирония ситуации не ускользнула от интернет-сообщества. Futurism отметил, что Anthropic, OpenAI и Google сами обучали свои модели на данных из интернета — часто без явного разрешения правообладателей. «Они ограбили грабителей», — написал один пользователь Reddit. «Бедные миллиардеры».

Что дальше

Anthropic усиливает защиту: классификаторы поведенческого профилирования, обнаружение координированной активности, ужесточение верификации аккаунтов и разработка мер на уровне API, снижающих ценность ответов для нелегитимной дистилляции. Компания обменивается техническими индикаторами с другими лабораториями, облачными провайдерами и регуляторами.

Ключевой вопрос — приведёт ли это к реальным последствиям для китайских лабораторий или останется заявлением. DeepSeek готовится к релизу V4, MiniMax недавно провела IPO на Гонконгской бирже. Обе компании имеют значительные ресурсы и мотивацию продолжать. Anthropic формулирует это однозначно: «Окно для действий узкое, а угроза выходит за пределы одной компании или региона».