Anthropicは2026年2月23日、DeepSeek、Moonshot、MiniMaxの3つのAI研究機関が、Claudeの能力を不正に抽出する産業規模のキャンペーンを実施していたことを公表した。3機関は約24,000件の不正アカウントを通じて1,600万件以上のやり取りを生成し、「蒸留(distillation)」と呼ばれる手法でClaudeのエージェント型推論、ツール使用、コーディング能力を標的とした。規模はDeepSeekが15万件以上、Moonshot AIが340万件以上、MiniMaxが1,300万件以上である。各機関は商業プロキシサービスや「ヒドラクラスター」と呼ばれる不正アカウントネットワークを利用し、中国からのアクセス制限を回避していた。Anthropicは分類器や行動フィンガープリンティングシステムの構築、他のAI研究機関や関連当局との技術指標の共有、アクセス制御の強化、モデルレベルの対抗措置の開発で対応しており、業界全体での協調的な対応を求めている。
From: 
Detecting and preventing distillation attacks
【編集部解説】
今回のAnthropicの発表は、AI業界における「蒸留攻撃」の実態を、具体的な数値と手法を伴って初めて体系的に公開したものとして注目に値します。
「蒸留(distillation)」とは、高性能なAIモデルの出力を教師データとして、別のモデルを効率的に訓練する手法です。これ自体はAI開発において広く使われる正当な技術であり、Anthropic自身も認めている通り、フロンティアラボが自社モデルの小型版を作る際に日常的に用いています。今回問題とされているのは、競合他社が利用規約やアクセス制限を迂回し、不正アカウントを大量に作成して他社モデルから組織的に能力を抽出した点にあります。
注目すべきは、Anthropicの発表と同日の2月23日、Reutersが別の重大な報道を行った点です。トランプ政権の高官が、DeepSeekの次期AIモデルがNvidiaの最先端チップ「Blackwell」を使用して訓練されたと明かしました。Blackwellの中国への輸出は米国の輸出規制で明確に禁止されており、これらのチップは内モンゴルのデータセンターに集約されている可能性があるとされています。ソフトウェア面での蒸留攻撃と、ハードウェア面での輸出規制違反の疑惑が同時に浮上した形です。
この問題の背景には、2026年2月12日にOpenAIが米下院中国問題特別委員会に提出したメモがあります。OpenAIはDeepSeekによる蒸留行為を告発し、難読化されたサードパーティルーターを通じたアクセス制限の迂回を指摘しました。Anthropicの今回の発表は、OpenAIの主張を裏付けると同時に、DeepSeek以外のMoonshot AIとMiniMaxも含めた、より広範な問題の存在を明らかにしたことになります。
ただし、この問題には複数の視点が存在します。シンガポール南洋理工大学のエリック・カンブリア教授はCNBCに対し、正当な利用と不正な利用の境界線はしばしば曖昧であると指摘しています。また、オンラインコミュニティでは、フロンティアラボ自身がインターネット上の膨大なデータでモデルを訓練してきた経緯を踏まえ、今回の告発には矛盾があるのではないかという声も上がっています。一方で、APIを通じた組織的な能力抽出は、公開データのスクレイピングとは質的に異なるという反論もあり、業界内でも意見は分かれています。
技術的に特に興味深いのは、DeepSeekがClaudeに対して「回答の背後にある内部推論をステップごとに書き出す」よう促すプロンプトを大量に送信していた点です。これは思考連鎖(chain-of-thought)の訓練データを外部から生成する手法であり、モデルの推論能力そのものを「移植」しようとする試みと言えます。さらに、政治的にセンシティブな質問に対する検閲回避型の回答を生成させていたことは、中国国内の検閲体制に対応するためのデータ収集という、蒸留の別の側面を浮き彫りにしています。
この事案がAI業界全体に与える影響は多方面に及びます。まず、米国の輸出規制の議論に直接的な影響を与えます。Anthropicが指摘する通り、中国企業の急速な進歩が独自のイノベーションではなく蒸留に依存しているのであれば、チップ輸出規制の根拠はむしろ強化されることになります。同時に、蒸留されたモデルからは安全策が剥ぎ取られる可能性が高く、生物兵器開発やサイバー攻撃への悪用リスクという安全保障上の懸念も現実味を帯びてきます。
長期的な視点では、この問題はAI産業における知的財産保護の在り方を根本から問い直すものです。APIを通じたモデル出力は従来の著作権法では保護しきれない領域にあり、新たな法的・技術的枠組みの構築が求められるでしょう。Anthropicが公表した「行動フィンガープリンティング」や分類器による検出技術は、その技術的対策の第一歩と位置付けられます。AI開発の競争がハードウェアだけでなくソフトウェアの保護にまで拡大した今、業界全体での協調的な対応が不可欠な局面に入ったと言えるのではないでしょうか。
【用語解説】
蒸留(distillation)
高性能なAIモデルの出力を教師データとして、別のより小型・低性能なモデルを訓練する手法。自社モデルの効率化に使う場合は正当な技術だが、他社モデルに対して無断で行う場合は不正利用となる。
チェーン・オブ・ソート(chain-of-thought)
AIモデルが最終回答に至るまでの推論過程をステップごとに言語化する手法。推論能力の向上に有効とされ、今回の蒸留攻撃ではこの推論データ自体が抽出の標的となった。
エージェント型推論(agentic reasoning)
AIが単なる質問応答にとどまらず、ツールの使用や複数ステップの計画立案を自律的に行う能力のこと。今回の蒸留攻撃で3機関が共通して標的とした能力の一つである。
ヒドラクラスター(hydra cluster)
Anthropicが名付けた、蒸留攻撃に使われる不正アカウントの大規模ネットワーク構造。一つのアカウントが停止されても次々と新しいアカウントが代替する、ギリシャ神話のヒドラになぞらえた名称である。
行動フィンガープリンティング(behavioral fingerprinting)
APIトラフィックにおけるユーザーの行動パターンを分析し、通常の利用と蒸留目的の利用を識別する検出技術。リクエストの頻度、構造、集中領域などから不正パターンを特定する。
輸出規制(export controls)
米国が国家安全保障上の理由から、先進的な半導体チップなどの技術を特定の国への輸出を制限する政策。AI用の高性能チップが主な対象となっており、NvidiaのBlackwellチップの中国への出荷は現在禁止されている。
Blackwell
Nvidiaが開発した最先端のAI向けチップアーキテクチャ。米国の輸出規制により中国への出荷が禁止されているが、Reutersの報道によればDeepSeekが内モンゴルのデータセンターでこのチップを使用した疑いが浮上している。
【参考リンク】
Anthropic公式サイト(外部)
Claudeを開発する米国のAI企業。AI安全性研究を重視し、フロンティアモデルの開発を行っている。
DeepSeek公式サイト(外部)
中国・杭州拠点のAIスタートアップ。2025年にR1モデルを発表し、今回15万件以上の蒸留攻撃が指摘された。
Moonshot AI公式サイト(外部)
中国のAIスタートアップ。Kimiシリーズのモデルを開発し、340万件以上の蒸留攻撃が報告された。
MiniMax公式サイト(外部)
中国のAIスタートアップ。今回最大規模の1,300万件以上のやり取りによる蒸留攻撃が報告された。
OpenAI公式サイト(外部)
ChatGPTを開発する米国AI企業。2月12日に米下院へメモを提出し、DeepSeekの蒸留行為を告発している。
Nvidia公式サイト(外部)
AI向け高性能チップ最大手。Blackwellチップを含む先端GPUを開発し、対中輸出規制の中心的対象である。
【参考記事】
Anthropic accuses DeepSeek, Moonshot and MiniMax of distillation attacks on Claude(外部)
CNBCによる報道。専門家の「正当な利用と不正利用の境界線は曖昧」とのコメントを含む多角的な分析記事。
China’s DeepSeek trained AI model on Nvidia’s best chip despite US ban, official says(外部)
Reuters発の独占報道。DeepSeekがBlackwellチップで次期モデルを訓練したとする米政権高官の証言を掲載。
Anthropic accuses Chinese AI labs of mining Claude as US debates AI chip exports(外部)
TechCrunchによる報道。各社の蒸留規模を整理し、H200チップの対中輸出許可との関連を分析している。
OpenAI accuses DeepSeek of malpractice ahead of AI launch(外部)
Rest of Worldによる報道。RAND研究員による「告発は米国モデルの優位性維持が目的では」との分析を紹介。
Anthropic accuses DeepSeek, Moonshot AI, and MiniMax of coordinated ‘distillation attack’ on Claude(外部)
Tech Startupsによる報道。業界内の批判的意見や蒸留攻撃が輸出規制強化の根拠になるとの見方を掲載。
【編集部後記】
AIモデルの能力が「コピー」される時代——私たちが日々使っているAIサービスの裏側で、こうした攻防が繰り広げられていることに驚かれた方も多いのではないでしょうか。蒸留という技術は、AIをより安く広く届けるための正当な手法でもあります。それが不正利用と見なされる境界線はどこにあるのか。皆さんはどうお考えになりますか? ぜひSNSなどで感じたことを聞かせていただけると嬉しいです。
