Anthropic dijo el lunes que identificó “campañas a escalera industrial” montadas por tres empresas de inteligencia fabricado (IA), DeepSeek, Moonshot AI y MiniMax, para extraer ilegalmente las capacidades de Claude para mejorar sus propios modelos.
Los ataques de destilación generaron más de 16 millones de intercambios con su maniquí de habla espacioso (LLM) a través de aproximadamente de 24.000 cuentas fraudulentas en violación de sus términos de servicio y restricciones de llegada regional. Las tres empresas tienen su sede en China, donde el uso de sus servicios está prohibido oportuno a “riesgos legales, regulatorios y de seguridad”.
La destilación se refiere a una técnica en la que un maniquí menos capaz se entrena con los resultados generados por un sistema de IA más potente. Si proporcionadamente la destilación es una forma legítima para que las empresas produzcan versiones más pequeñas y más baratas de sus propios modelos fronterizos, es ilegal que los competidores la aprovechen para apropiarse dichas capacidades de otras empresas de IA en una fracción del tiempo y el costo que les llevaría si las desarrollaran por su cuenta.
“Los modelos elaborados ilícitamente carecen de las salvaguardias necesarias, lo que crea importantes riesgos para la seguridad franquista”, afirmó Anthropic. “Es poco probable que los modelos construidos mediante destilación ilícita conserven esas salvaguardas, lo que significa que pueden proliferar capacidades peligrosas con muchas protecciones eliminadas por completo”.
Las empresas extranjeras de IA que destilan modelos estadounidenses pueden convertir en armas estas capacidades desprotegidas para proporcionar actividades maliciosas, relacionadas o no con la cibernética, sirviendo así como cojín para sistemas militares, de inteligencia y de vigilancia que los gobiernos autoritarios pueden desplegar para operaciones cibernéticas ofensivas, campañas de desinformación y vigilancia masiva.
Las campañas detalladas por AI forastero implican el uso de cuentas fraudulentas y servicios de proxy comerciales para entrar a Claude a escalera y evitar la detección. Anthropic dijo que podía atribuir cada campaña a un laboratorio de inteligencia fabricado específico en función de los metadatos de la solicitud, la correlación de direcciones IP, los metadatos de la solicitud y los indicadores de infraestructura.
Los detalles de los tres ataques de destilación se encuentran a continuación:
- DeepSeek, que se centró en las capacidades de razonamiento de Claude y en las tareas de calificación basadas en rúbricas, y buscó su ayuda para originar alternativas seguras para la censura a consultas políticamente sensibles, como preguntas sobre disidentes, líderes de partidos o autoritarismo, en más de 150.000 intercambios.
- Moonshot AI, que se centró en el razonamiento agente y el uso de herramientas, las capacidades de codificación, el exposición de agentes de uso informático y la visión por computadora de Claude en más de 3,4 millones de intercambios.
- MiniMax, que se centró en las capacidades de uso de herramientas y codificación agente de Claude en más de 13 millones de intercambios.
“El comba, la estructura y el enfoque de las indicaciones eran distintos de los patrones de uso normales, reflejando una extirpación deliberada de capacidades en oficio de un uso verdadero”, añadió Anthropic. “Cada campaña se centró en las capacidades más diferenciadas de Claude: razonamiento agente, uso de herramientas y codificación”.
La compañía además señaló que los ataques se basaron en servicios de proxy comerciales que revenden el llegada a Claude y otros modelos de inteligencia fabricado fronterizos a escalera. Estos servicios funcionan con arquitecturas de “clúster hidra” que contienen redes masivas de cuentas fraudulentas para distribuir el tráfico a través de su API.
Luego, el llegada se utiliza para originar grandes volúmenes de indicaciones cuidadosamente elaboradas que están diseñadas para extraer capacidades específicas del maniquí con el fin de entrenar sus propios modelos mediante la sumario de respuestas de suscripción calidad.
“La amplitud de estas redes significa que no hay puntos únicos de equivocación”, dijo Anthropic. “Cuando se prohíbe una cuenta, una nueva ocupa su oficio. En un caso, una única red proxy gestionó más de 20.000 cuentas fraudulentas simultáneamente, mezclando tráfico destilado con solicitudes de clientes no relacionadas para dificultar la detección”.
Para contrarrestar la amenaza, Anthropic dijo que ha creado varios clasificadores y sistemas de huellas dactilares de comportamiento para identificar patrones sospechosos de ataques de destilación en el tráfico API, ha fortalecido la comprobación de cuentas educativas, programas de investigación de seguridad y organizaciones emergentes, e implementado salvaguardas mejoradas para ceñir la operatividad de los resultados del maniquí para la destilación ilícita.
La divulgación se produce semanas luego de que Google Threat Intelligence Group (GTIG) revelara que identificó e interrumpió ataques de destilación y extirpación de modelos dirigidos a las capacidades de razonamiento de Gemini a través de más de 100.000 mensajes.
“Los ataques de extirpación y destilación de modelos no suelen representar un aventura para los usuarios promedio, ya que no amenazan la confidencialidad, disponibilidad o integridad de los servicios de inteligencia fabricado”, dijo Google a principios de este mes. “Por el contrario, el aventura se concentra entre los desarrolladores de modelos y los proveedores de servicios”.
