被打开的潘多拉魔盒
2880万次API查询,这串数字在2025年初的某个深夜,或许让Anthropic的安全团队感到了脊背发凉。他们发现,这些查询并非来自正常的学术研究、性能测试或合规应用,而是极有可能来自其中国竞争对手——阿里巴巴旗下的通义千问(Qwen)实验室。指控直指一个在AI行业敏感而熟悉的词汇:AI蒸馏。
这并非一起偶发事故,而是一场精心策划的"模型劫案"。它与网上窃取数据不同,更像是一场无声的"思维窃取"——通过反复的API调用,试图完整复制另一个AI模型的"大脑"。这件事若被坐实,它将是全球AI产业自ChatGPT诞生以来最严重的知识产权冲突之一,而非仅仅是两家公司之间的商业摩擦。
技术路线:一场虚妄的魔术
"AI蒸馏"听起来很高端,但技术本质其实相当粗暴——通过大量输入请求,反复测试教师模型的输出,从而训练出一个性能相当的学生模型。它不是一种创新的模型架构,而是一种已知的模型压缩或知识迁移手段。当做为合规用途时,它叫知识蒸馏;当用于窃取竞品核心能力时,它就被称为"窃取"。
Anthropic指控Qwen进行了2880万次查询——这一数字在蒸馏场景下是合理的。从我的经验来看,要复制一个百亿参数级别模型的特定能力,需要如此规模的样本空间才能提炼出有效的"规则"。这暗示了行为的规模和恶意程度——远超常规的学术研究或简单的性能对比。
更重要的是,这并非对某个特定功能或特性的复制,而极可能是对模型核心能力的全面模仿。这意味着,阿里巴巴可能在试图用远低于自研成本的代价,获取与Anthropic顶尖模型相当的能力。蒸馏的成本与回报之间存在惊人的不对称:攻击者只需支付API调用费(可能通过免费额度或廉价算力),而被攻击者要承担大规模GPU推理的沉没成本,以及核心知识产权流失的风险。
致命的API经济模式
这一事件暴露了AI行业最脆弱的商业架构——API模型。对于所有依赖API付费调用的公司,大规模恶意查询直接意味着算力成本的飙升(却没有对应的收入),以及最核心的护城河——模型的知识与逻辑能力——被系统性剽窃。这揭示了当前AI商业化路径中一个结构性的缺陷,而非仅仅是Anthropic的孤例。

在过去的熊市周期中,Web3领域的DeFi协议也经历过类似的"吸血鬼攻击"——项目代码被fork,流动性被掠夺。但AI的蒸馏攻击更为隐蔽和致命:代码复制最终靠协议护城河,而模型能力一旦被复制,先发优势将迅速归零。阿里云如果通过此种方式追赶上Anthropic,很可能动摇投资者对整个AI投资赛道的估值模型。
产业赛局的推演
此事件对双方的竞争地位影响深远。对Anthropic而言,短期是公关危机(暴露出其安全防护有漏洞),但长期可能通过塑造"受害者"形象和推动更严格的安全标准来强化其"最安全AI公司"的品牌定位。当下依赖Anthropic模型的企业级客户(例如金融、医疗领域的严苛客户)会被提醒再次审视供应商的安全策略,但这反而可能促使更多公司选择与信任度更高的闭源模型合作。
对于阿里Qwen,若指控属实,其商业信誉和技术独立性将受到严重质疑。为了扩张海外市场,阿里云一直面临"中国AI是否可信任"的质疑,此次事件对国际声誉的影响是根本性的。 "可信中国AI"的叙事可能因这一事件而彻底崩塌,尤其是在需要建立长期客户信任的企业级市场。
此外,这起事件还可能导致"反蒸馏技术"变得炙手可热。所有提供API服务的头部公司都将显著增加在安全监控、异常检测上的投入。可能出现专门的AI安全公司,提供针对模型的白盒测试与攻击防御服务。这场攻防战将对产业格局产生结构性影响,并可能催生一个新的商业闭环——谁的反蒸馏能力最强,谁就可能获得新的竞争优势。
反直觉的叙事:谁才是真正的受害者?
故事的反转在于:被指控方(阿里)完全有能力轻松否认指控或辩称这是正常的模型测试行为。AI蒸馏的边界极为模糊——正常的API调用与恶意的蒸馏行为之间只隔着一层"意图"纸。Qwen可以声称这是为了评估竞争对手模型的性能,用于学术研究,或是为了寻找产品改进方向。
更反直觉的是,这起事件本身可能成为完美的FUD(恐惧、不确定、怀疑)策略。如果Anthropic的指控最终无法被证实,那它的公信力将受到严重打击,反而为对手的"受害者叙事"提供了弹药。这可能导致其他后发者更加肆无忌惮地发起攻击,因为没人能为"爬虫行为"的定性划出明确的红线。
下一步:结构性转折点
这起事件的终局可能是全球AI产业的一个结构性转折点。无论Anthropic和阿里巴巴接下来的法律纠纷如何收场,它都正式打开了"模型防御战"的潘多拉魔盒。不会再有任何一家AI公司敢低估安全防御的价值。未来的用户不仅会受到优质模型的吸引,更会被其身处的"信任壁垒"所划分。
当我们高喊着AI改变世界时,也许我们忘记问一个问题:如果连一个模型的大脑都可以被轻易被盗取,那我们又该如何相信它给出的答案呢?在一个开放与封闭、共享与侵占的十字路口,这起"2880万次查询"的事件也许就是关于AI信任危机的第一声警钟。