有開發者用中文問Claude Opus 4.8“你是什麼模型”,API返回的欄位寫著claude-opus-4.8,輸出卻回答“我是通義千問”。換個人問,又變成“我是DeepSeek”。截圖在X上傳了一輪,誰學了誰,在這個行業裡本來就說不太清楚。
說不清楚歸說不清楚,Anthropic最近可是認真了。彭博這兩天先捅出一封信,收件人是參議院銀行委員會的兩位負責人。信裡說阿里的關聯方用了約2.5萬個虛假帳號,跟Claude跑了近2880萬次對話,Anthropic把這定性為“工業級的蒸餾攻擊”,直接掛上了國家安全。
輿論明顯偏向質疑。科技博主Evrim Kanbur在X上的一段話被大量轉發,“多年來,逆向工程、基準測試、研究競爭對手,這些一直被叫做競爭。現在Qwen開始在軟體工程基準上領先了,話題突然就從性能變成了指控。如果你在別人發佈更強模型時的第一反應是找律師,人們自然會懷疑,真正的問題到底在排行榜上還是別的什麼地方。”IO.Net聯合創始人Tory Green更不客氣,“你用開放網際網路的內容訓練模型,別人來學你的時候就叫蒸餾攻擊。”
對一家把“安全”當品牌核心的公司來說,這樣的輿論場面多少有些難堪。但往回看Anthropic這一年半的操作,眼前這一幕不太像意外,倒更像是一套越來越順手的固定動作。
01. 一份沒打算讓開發者看的“投名狀”
阿里不是頭一個被點名的。早在去年DeepSeek R1發佈後,CEO達里歐就在博文裡夾了一句“本文不就西方模型被蒸餾的報導表態”,所有人都讀懂了潛台詞。今年2月直接攤牌,點名指控DeepSeek、月之暗面、MiniMax三家蒸餾了Claude。這回輪到阿里,名單一路點下來,《紐約時報》已經在猜下一個是不是智譜。
這封信的操作方式也值得留意。Anthropic沒有公開發佈它,甚至沒有像2月那次一樣寫篇博文,是媒體捅出來之後大家才看到的。一家公司如果真遇到了大規模的服務條款違規,正常做法是切掉帳號、固定證據,然後走法律程序,或者至少通過正常的商業管道跟對方溝通。但Anthropic沒打官司,沒有正式交涉,反倒悄悄給參議員寫了封信,措辭從“違反服務條款”一路拔到“國家安全威脅”。想解決問題有很多種辦法,選這一種,說明它想解決的並不是蒸餾本身。
蒸餾這事也沒有Anthropic渲染得那麼邪乎。Ai2後訓練研究負責人、開源模型OLMo的核心作者Nathan Lambert早在5月就發過一篇《蒸餾恐慌》,他的核心觀點是,如果有人用假帳號濫用API,那是手段的問題,該追究的是違規行為本身。但Anthropic故意把濫用手段和蒸餾技術捆在一起叫“蒸餾攻擊”,效果就是把一樁商業糾紛包裝成了技術層面的國家安全威脅。
蒸餾是2015年諾獎得主Hinton提出的基礎訓練技術,全行業都在用。Musk今年4月在法庭上被問到xAI有沒有蒸餾OpenAI,回了一個“Partly”(部分如此),還表示這在行業內屬於普遍做法。輝達的Nemotron系列公開的訓練資料裡大量使用了中國開源模型。DeepSeek發佈R1時在論文裡白紙黑字寫了,它基於Qwen蒸餾了4個不同尺寸的模型,全部MIT協議開源。蒸餾也沒那麼玄乎,Baseten的模型負責人Charles O'Neill說過,單靠蒸餾造不出一流模型,“外界普遍認為這些模型的所有能力都源自Anthropic,但事實並非如此”。模型真正的能力來自強化學習和工程積累,蒸餾能抄到一些輸出的模式,但遠遠不夠。
02. Anthropic到底在喊什麼
那Anthropic每次把蒸餾喊成“國家安全”的時候,究竟在喊什麼?
Anthropic跟華盛頓的關係,這半年僵得厲害。去年中旬Claude還是第一個接入美軍涉密網路的前沿模型。但今年2月底,雙方在AI軍事用途的紅線問題上談崩了,達里歐堅持Claude不能用於大規模監控和全自主武器,五角大樓要求不設限制。最終談判破裂,川普下令聯邦機構停用Anthropic產品,國防部長把它列為“供應鏈風險”,2億美元的國防合同破裂,OpenAI隨即接了盤。
而就在同一周內,Anthropic發出了指控三家中國公司蒸餾Claude的博文。
到了5月,五角大樓一口氣跟八家公司簽了涉密AI合同,SpaceX、OpenAI、Google、微軟、輝達全在列,Anthropic被排除在外。6月初它遞了IPO檔案,Series H估值9650億美元,目標是上市時突破兆。可跟華盛頓的關係從2月起就沒真正修復過。在這個節骨眼上給參議院遞一份“中國AI公司大規模竊取美國AI能力”的材料,客觀效果很清楚,它在向華盛頓證明自己站對了隊。信捅出來兩周之後,參議員Bill Hagerty和Andy Kim已經在推進國防法案修正案,要對“不當獲取美國AI模型輸出”的實體實施制裁。從一封信到立法動議,這個轉化效率,或許正是Anthropic想要的。
03. 兩頭夾著的焦慮
政治層面的拉鋸只是Anthropic焦慮的一面,另一面在生意本身。
Anthropic講的一直是一個“技術溢價”的故事,靠巨額算力和研發投入做最強的模型,再靠領先優勢賣出高價。這個故事的前提是它得一直領先。但中國的模型陣營在過去半年進步飛快,DeepSeek V4、GLM-5.2等開源模型在程式設計和Agent評測中頻頻逼近Claude,阿里的Qwen3.7-Max在多項基準上同樣表現強勁,而這些模型的API定價普遍只有Anthropic的幾分之一。如果對手用零頭的成本就能幹到八九成的活,“技術溢價”的故事就很難繼續講下去。
與此同時,Anthropic一貫的“安全牌”也在反噬自己。它從4月起就反覆渲染Mythos模型在發現網路漏洞方面有多強大,Fable 5作為消費版發佈時更把安全防護當核心賣點。本意是抬身價,結果6月商務部真下了出口禁令,Fable 5和Mythos 5全球下線,連自己的非美國籍員工都用不了。網路安全研究員Peter Girnus在X上的評論被大量轉發,如果你在每篇新聞稿裡都把自己的產品描述成軍火,最終政府會照你說的做。
但Anthropic並沒有因此放棄安全敘事。Fable/Mythos那張牌打的是“我們的模型太強了,需要管控”,結果讓自己成了被管控的對象。蒸餾指控這張牌方向正好相反。Anthropic在2月那篇指控三家中國公司的博文裡寫得很明白,“這些實驗室的快速進步會被錯誤地當成出口管制無效的證據,但實際上,這些進步在很大程度上依賴於從美國模型中提取的能力。”翻譯一下就是,中國AI追上來了,不是管制沒用,是它們偷了我們的東西。前一張牌讓自己成了管控對象,後一張牌讓自己變成需要保護的受害者。吃了前一張的虧,後一張就更不能停。
04. 選擇性的正義感
選擇性的正義感,也算是Anthropic的老習慣了。
它訓練Claude時從盜版網站下載了700萬本書,去年同意以15億美元和解,是美國史上最大的版權和解案。李開復發現自己的書也在其中,在微博上調侃說Anthropic至今還欠他3000美元稿費。The Pragmatic Engineer作者、知名開發者博主Gergely Orosz的評價更直接,“Anthropic不能兩頭佔便宜,別忘了它自己是怎麼訓練Claude的,用版權書籍,被告了之後才付錢給版權持有者。”
用盜版書喂自己的模型,同意以15億和解了事。別人花錢調它的API來學習,反倒成了“明目張膽的非法竊取”。開發者社區流傳最廣的一張meme,一句話概括了這種觀感,“你做的時候叫蒸餾,我們做的時候叫訓練。”
這套操作的後果也已經在擴散。OpenAI新模型的發佈流程正在變化,需要先向符合條件的B端客戶推送,經政府逐一稽核後才能上線。AI模型正在從一個正常的網際網路產品,變成類似戰略資產的東西,誰能用、誰不能用,開始變成一個需要政府點頭的問題。
Anthropic把“國家安全”喊得越響,越藏不住自己被兩頭夾著的處境。兆估值的IPO在即,最強產品被封,被排除在軍方AI合同之外,對手追到了身後。一家拿全行業都在用的技術做文章的公司,與其說是真覺得蒸餾有多大威脅,不如說是需要一個能同時向華盛頓表忠心、向市場講故事的工具。與此同時,對面的開源模型還在繼續發佈,價格還在繼續往下打。 (硅星人)
