24,000個虛假帳戶、1,600萬次互動：中國AI實驗室涉嫌大規模蒸餾Claude，知識產權戰升溫

事件全貌：一場精心策劃的大規模模型蒸餾行動

2026年3月初，Anthropic在一份措辭嚴厲的公開聲明中揭露了一項令AI產業界震動的調查發現：三家中國頭部AI實驗室——DeepSeek（深度求索，由量化基金巨頭幻方量化孵化）、Moonshot AI（月之暗面，估值超過30億美元的明星初創企業）以及MiniMax（稀宇科技）——涉嫌通過大規模虛假帳戶網絡，系統性地從Claude模型中提取知識。

根據Anthropic的調查報告，這些帳戶並非零散的個人行為，而是呈現出高度組織化的特徵。超過24,000個帳戶在行為模式、查詢結構和時間分佈上呈現出明顯的自動化協調特徵——大量帳戶在相近時間段內提交結構高度相似但參數微調的提示詞（prompts），系統性地探測Claude在推理、編程、多語言處理及安全對齊等領域的能力邊界。累計超過1,600萬次互動的規模，遠超任何正常研究或商業使用的合理範圍。

Anthropic的安全團隊表示，他們透過多層異常偵測系統識別出這一行為模式：首先是帳戶註冊資訊的統計異常（如集中使用特定郵箱域名和VPN出口節點），其次是查詢模式的結構性相似度遠超正常用戶群體，最後是部分帳戶的付費行為可追溯至少數共同資金來源。這些證據鏈條指向一個結論：這是一場有組織、有目的的系統性蒸餾行動，而非獨立研究人員的零散嘗試。

何謂「模型蒸餾」？為何它是AI產業的灰色地帶

要理解此事件的嚴重性，首先需要釐清「模型蒸餾」（Model Distillation）的技術本質。在機器學習領域，蒸餾是一種將大型「教師模型」的知識轉移至小型「學生模型」的技術。其核心原理並不複雜：透過讓學生模型學習教師模型的輸出分佈——而非直接複製其參數——來實現知識轉移。學生模型不需要接觸教師模型的權重、架構或訓練數據，僅需大量的輸入-輸出配對即可學習到教師模型的行為模式。

這正是此次事件的核心手法。涉事實驗室並未入侵Anthropic的系統或竊取模型權重，而是透過大量API調用收集Claude的輸出結果，將這些結果作為訓練數據來提升自身模型的能力。從技術角度看，這就像一個學生不斷向老師提問，然後把答案整理成教材來訓練自己——問題在於，這個「學生」使用了24,000個假身份，每個都裝作是獨立的使用者。

蒸餾行為的法律定性極為棘手。與傳統的知識產權侵權——如直接複製代碼或盜取商業秘密——不同，蒸餾處於一個尷尬的灰色地帶。API的輸出結果受到服務條款的約束，但服務條款的法律效力在跨境場景下往往難以執行。更根本的問題是：AI模型的輸出是否構成受保護的知識產權？如果一個模型對「什麼是量子計算？」的回答被另一家公司收集並用於訓練，這算侵犯了什麼權利？目前，全球沒有任何一個司法管轄區對此有明確的法律規定。

「這不是學術研究的問題，也不是簡單的商業競爭問題。當外國實體系統性地蒸餾美國前沿AI模型的能力，並將這些能力用於可能危害國家安全的用途時，這是一個需要政府層面介入的問題。」——Anthropic公開聲明

國家安全敘事：Anthropic為何選擇「升級」事件定性

此次事件最引人注目的面向之一，是Anthropic選擇將其從「商業糾紛」升級至「國家安全威脅」的層面。在公開聲明中，Anthropic明確警告：通過蒸餾獲取的模型能力，可能被用於開發網絡攻擊工具、生成大規模虛假資訊，甚至強化自主武器系統的決策能力。

這一敘事框架的選擇並非偶然。Anthropic作為一家以「AI安全」為核心使命的公司，長期主張前沿AI能力需要嚴格的存取控制和使用監管。將蒸餾事件定性為國家安全問題，與其一貫的政策倡導立場高度一致。同時，這也是一次精準的政治操作——在美國國會和行政部門對中國AI能力日益警惕的背景下，「國家安全」標籤可以為Anthropic爭取到更有力的政策支持和執法資源。

然而，我們需要謹慎審視這一敘事。首先，模型蒸餾所獲取的能力與原始模型之間存在顯著差距——學生模型通常只能達到教師模型80-90%的性能水平，且在對齊和安全護欄方面的表現往往更弱。其次，DeepSeek等中國AI實驗室本身已經擁有相當強大的自研能力——DeepSeek-V3和後續版本在多個基準測試中已達到國際頂級水準，蒸餾Claude的邊際收益可能遠低於Anthropic所暗示的程度。第三，「國家安全」框架有可能被過度延伸，將正常的學術研究和技術交流也納入打壓範圍，這對全球AI研究生態的健康發展並非好事。

需要強調的是，以上分析並非為蒸餾行為辯護。使用虛假帳戶規避服務條款限制，這在任何法律和道德框架下都是不可接受的。問題在於：我們應該用什麼框架來理解和回應這一行為？「商業欺詐」、「知識產權侵權」還是「國家安全威脅」？不同的定性將導致截然不同的政策回應和長遠影響。

知識產權保護的結構性困境：法律遠遠落後於技術

此次事件暴露了一個AI產業早已存在但長期被忽視的深層問題：現行知識產權法律框架根本無法有效應對模型蒸餾挑戰。

著作權的局限性：傳統著作權保護的是「表達」而非「思想」。AI模型的輸出——一段代碼、一篇文章、一個分析——是否構成受著作權保護的「創作作品」？即便答案是肯定的，著作權通常歸屬於生成內容的使用者而非模型開發者。這意味著Anthropic可能無法以著作權侵權為由追訴蒸餾者。

商業秘密的適用性：AI模型的內部權重和架構顯然構成商業秘密，但蒸餾行為並不涉及對這些秘密的直接竊取。蒸餾者只是收集了公開API的輸出結果——這類似於透過大量品嚐來推斷可口可樂的配方，而非闖入工廠偷取配方文件。法律上，兩者有本質區別。

服務條款的跨境執行力：Anthropic的服務條款明確禁止使用API輸出來訓練競爭模型，但這些條款在中國司法管轄區幾乎沒有執行力。即便Anthropic在美國法院獲得勝訴判決，要在中國執行該判決面臨的法律和實際障礙幾乎不可逾越。

專利保護的空白：目前，AI模型的「行為模式」或「推理風格」不被視為可專利的發明。即便Anthropic能夠證明Claude在某些任務上的表現具有獨特性，這種獨特性也無法通過專利體系獲得保護。

這些法律空白並非僅僅是學術問題。前沿AI模型的開發成本動輒數億至數十億美元——Anthropic的Claude Opus 4.6估計訓練成本超過5億美元。如果競爭對手可以通過幾百萬美元的API調用就蒸餾出80-90%的能力，這將從根本上破壞前沿AI研發的投資回報邏輯。長此以往，將沒有公司願意投入巨資開發前沿模型，因為其知識可以被輕易「複製」。這可能是比任何單一事件更為嚴重的結構性威脅。

中美AI競賽的新戰線：從算力到知識產權

此次蒸餾事件標誌著中美AI競賽正式進入一個新階段。過去三年，兩國的AI博弈主要集中在三個維度：算力（美國對華芯片出口管制）、人才（互挖頂級研究人員）和資本（風險投資的流向與限制）。模型蒸餾爭議開闢了第四個戰場——模型輸出的知識產權。

從美國的角度看，這一事件為加強對華AI技術出口管制提供了新的論據。如果中國實驗室無法透過正常的學術交流和商業合作獲取前沿AI能力，轉而透過蒸餾等灰色手段來追趕，那麼美國政策制定者可能會認為現行的管制措施不夠嚴格——不僅需要限制芯片出口，還需要限制模型API的跨境存取。事實上，已有美國參議員在Anthropic聲明發佈後數小時內呼籲立法禁止前沿AI模型向特定國家提供API服務。

從中國的角度看，這一事件反映了美國技術封鎖下的被動困境。在高端GPU供應受限、國際學術合作空間收窄的背景下，中國AI實驗室面臨巨大的追趕壓力。蒸餾行為——如果指控屬實——可以被視為這種壓力下的「走捷徑」策略。但這也是一把雙刃劍：它在短期內可能提升模型性能，但在長期將加劇國際社會對中國AI產業的信任赤字，並為更嚴厲的技術封鎖提供口實。

值得關注的是三家被指控實驗室的背景差異。DeepSeek由幻方量化創辦人梁文鋒創立，背後有雄厚的量化金融資本支撐，其DeepSeek-V3系列已被廣泛認為是全球最強的開源大語言模型之一。Moonshot AI（月之暗面）由前清華大學研究員楊植麟創辦，曾獲得紅杉中國、阿里巴巴等頂級投資機構的青睞，估值超過30億美元。MiniMax則相對低調，但在多模態AI領域有深厚積累。這三家公司都擁有相當的自研能力，這使得蒸餾行為——如果屬實——顯得更加令人費解：他們為何要冒如此大的聲譽風險來獲取邊際性的能力提升？

技術防禦與反蒸餾措施：一場不對稱的攻防戰

蒸餾事件的曝光，促使AI產業加速部署反蒸餾技術措施。然而，這場防禦戰從一開始就是不對稱的——防守方需要在不影響正常用戶體驗的前提下偵測和阻止蒸餾行為，而攻擊方只需要不斷演化其規避策略。

行為分析與異常偵測：Anthropic在此次事件中使用的核心偵測方法是基於使用行為的統計分析。正常用戶的查詢模式呈現高度多樣性和隨機性，而蒸餾行為則傾向於系統性地覆蓋特定能力領域，查詢之間的結構相似度異常高。AI公司可以建構更精密的用戶行為模型來識別這類異常，但蒸餾者也可以透過增加隨機性和模擬正常使用模式來規避偵測。

輸出水印技術：一種前沿的反蒸餾技術是在模型輸出中嵌入不可見的統計水印。這些水印不會影響輸出的質量或可讀性，但可以在蒸餾後的模型中被偵測到——就像在鈔票中嵌入的隱形防偽標記。Google DeepMind的SynthID技術已在這一方向取得進展，但目前的水印方案在經過多次蒸餾和微調後的存活率仍有待提升。

差分隱私與輸出擾動：另一種思路是在API輸出中引入微量的受控擾動，使輸出結果對正常使用者幾乎無影響，但大規模收集時會在蒸餾後的模型中引入系統性偏差。這一方法在理論上可行，但在實踐中面臨兩難：擾動太小則無法有效防禦，擾動太大則影響用戶體驗。

速率限制與帳戶驗證強化：最直接的防禦措施是加強帳戶註冊的身份驗證和API調用的速率限制。但在全球化的互聯網環境中，構建足夠多的虛假身份並分散調用頻率並不困難——正如此次事件中24,000個帳戶所展示的那樣。更嚴格的身份驗證（如要求企業實名認證或政府ID）可能有效，但也會增加正常用戶的使用門檻，特別是在隱私法規嚴格的歐洲市場。

模型蒸餾的倫理維度：開源精神與商業利益的碰撞

此次蒸餾事件也引發了AI社區內部關於模型知識「所有權」的深層倫理辯論。

支持嚴格知識產權保護的一方認為：前沿AI模型的開發投入巨大，如果其知識可以被輕易蒸餾，將摧毀AI研發的經濟激勵結構。Anthropic、OpenAI等公司投入數億美元開發模型、進行安全對齊、建構人類反饋機制，蒸餾者以極低成本複製成果，這不僅是商業不公平，也是對整個AI生態系統可持續發展的威脅。

反對過度保護的一方則提出了同樣有力的論據。他們指出：AI模型的訓練數據本身就大量來自互聯網上的公開資訊——包括無數個人、機構和社區的貢獻。AI公司在訓練模型時是否獲得了這些數據創作者的同意？如果AI公司可以合法地使用公開數據訓練模型，那為何其他人不能合法地使用公開API輸出來訓練自己的模型？這種論述揭示了一個深層的邏輯矛盾：AI公司在數據使用上主張的開放性，與在模型輸出上主張的封閉性，二者之間存在張力。

更務實的立場可能介於兩者之間。模型蒸餾作為一種技術本身是中性的——它在學術研究中被廣泛使用，是模型壓縮和知識轉移的重要工具。問題在於蒸餾的方式（使用虛假帳戶違反服務條款）和目的（商業競爭和潛在的國家安全用途）。一個健康的AI生態系統需要在保護創新激勵與促進知識流通之間找到平衡點——但目前我們距離這個平衡點還很遠。

「模型蒸餾爭議的本質不是技術問題，而是價值觀問題：我們希望AI知識像學術論文一樣自由流通，還是像專利藥物一樣受到嚴格保護？答案可能是兩者之間，但我們目前連討論的框架都尚未建立。」——史丹福大學HAI研究所研究員

產業連鎖反應：誰將受到最大影響

此次蒸餾事件的影響遠超涉事公司本身，正在向整個AI產業鏈擴散。

前沿AI實驗室（短期利空，長期利好）：Anthropic、OpenAI、Google等提供API服務的前沿AI公司，短期內面臨加強安全措施的額外成本和API收入可能受限的壓力。但長期而言，更嚴格的知識產權保護框架將鞏固其技術護城河的價值。如果蒸餾行為被有效遏制，前沿模型的獨特能力將成為更具排他性的商業資產。

中國AI初創企業（聲譽衝擊）：即便不是所有中國AI公司都涉及蒸餾行為，此次事件可能導致國際社會對中國AI產業的整體信任下降。這將影響中國AI公司的海外擴張計劃、國際合作機會，以及與全球開源社區的互動。DeepSeek作為全球最受歡迎的開源模型之一，其社區信任度可能因此受損。

雲服務和API安全領域（直接利好）：API安全、身份驗證和反機器人技術領域的公司——如Cloudflare的Bot Management、Akamai的API安全方案——將直接受益於AI公司對反蒸餾安全措施日益增長的需求。這是一個新興但增長迅速的市場機會。

AI監管倡導者（議程推進）：此次事件為主張加強AI監管的力量提供了有力的案例支持。無論是歐盟AI法案的執行加強，還是美國潛在的AI知識產權立法，蒸餾爭議都為監管行動提供了緊迫性和正當性。

香港的獨特定位：在中美AI博弈中尋找角色

作為「一國兩制」下的特別行政區，香港在此次蒸餾爭議——以及更廣泛的中美AI博弈——中處於一個極為獨特的位置。

數據跨境與API存取的前沿節點：香港是少數同時可以存取中國大陸和國際AI服務的地區之一。本地用戶可以直接使用Anthropic的Claude API和OpenAI的GPT服務，同時也能便捷地存取DeepSeek、Moonshot AI等中國AI平台。這種雙重存取能力使香港成為中美AI生態系統的天然交匯點——但也使其成為潛在蒸餾活動的高風險節點。如果美國未來立法限制前沿AI API的跨境存取，香港的地位可能受到直接影響。

知識產權保護的制度優勢：香港擁有亞洲最成熟的知識產權保護法律體系之一，其普通法傳統與國際接軌程度高。在AI知識產權的新領域，香港有機會率先建立相關的判例法和監管框架，成為亞太地區AI知識產權糾紛的仲裁中心。政府近期推動的知識產權交易平台（IPTP）計劃，如果能納入AI模型知識產權的交易和保護機制，將顯著提升香港在全球AI治理版圖中的地位。

AI安全研究的區域樞紐：此次事件凸顯了AI安全研究——特別是模型安全和反蒸餾技術——的戰略重要性。香港的頂級大學（如港大、科大、中大）在AI研究方面已有強勁實力，如果能在模型安全這一新興領域建立研究集群，既可為本地AI產業提供技術支撐，也可在中美之間扮演建設性的橋樑角色。

金融市場的反應與機遇：香港作為國際金融中心，其股票市場中有大量中國科技公司的上市股份。蒸餾爭議可能對這些公司的估值產生壓力，但同時也為逆向投資者創造了機會。更重要的是，AI知識產權保護需求的上升，可能催生新的金融產品和保險服務——AI模型知識產權保險、蒸餾風險評估服務等——香港的金融服務業有能力在這些新興領域率先布局。

展望與建議：一場剛剛開始的長期博弈

此次蒸餾事件不是一個孤立事件，而是AI產業發展到特定階段的必然產物。隨著前沿模型的商業價值持續攀升，試圖以低成本複製其能力的動機只會越來越強。這場圍繞AI模型知識產權的博弈才剛剛開始，其走向將深刻影響全球AI產業的格局。

我們認為，以下幾個方向值得關注。第一，美國國會在未來6到12個月內極有可能推出針對AI模型知識產權的專項立法，可能包括將系統性蒸餾行為刑事化、建立API存取的國家安全審查機制，以及為AI模型輸出提供新的法律保護類別。第二，主要AI公司將大幅加強反蒸餾技術投入，輸出水印、行為分析和身份驗證等技術領域將迎來一波創新和投資浪潮。第三，國際AI治理框架——如正在討論中的聯合國AI公約——可能將模型蒸餾問題納入議程，推動建立跨境AI知識產權保護的多邊機制。

對於香港的企業和投資者而言，此次事件的核心啟示在於：AI時代的知識產權保護將成為一個巨大且快速增長的市場。無論是技術解決方案（反蒸餾工具、輸出水印）、法律服務（AI知識產權訴訟、跨境合規顧問）還是金融產品（AI IP保險、模型估值服務），都蘊含著顯著的商業機遇。在全球尚未建立共識的窗口期，率先行動的企業和市場將獲得先發優勢。

最後，我們需要回到一個更根本的問題：在AI能力高速發展的時代，知識應該如何流通？完全封閉的知識產權壁壘可能阻礙人類整體的AI受益程度，但完全開放的知識流通又可能摧毀創新的經濟激勵。找到這個平衡點，是我們這一代AI從業者和政策制定者最重要的任務之一。而24,000個虛假帳戶和1,600萬次互動的背後，正是這個時代性問題在現實中的尖銳映射。