24 000 фейковых аккаунтов: Anthropic поймала DeepSeek на краже данных Claude

23 февраля 2026 года Anthropic опубликовала расследование, которое мгновенно стало главной темой AI-индустрии. Компания заявила, что три китайские лаборатории — DeepSeek, Moonshot AI и MiniMax — провели скоординированные кампании по извлечению возможностей её модели Claude в промышленных масштабах. Масштабы описанной операции беспрецедентны в истории индустрии.

Что произошло

По данным Anthropic, три лаборатории суммарно создали около 24 000 поддельных аккаунтов и сгенерировали более 16 миллионов диалогов с Claude. Учитывая, что Claude не доступен для коммерческого использования в Китае, доступ обеспечивался через прокси-сервисы — посредников, которые перепродают подключение к западным AI-моделям через цепочки серверов в разных юрисдикциях.

Распределение трафика между тремя лабораториями оказалось крайне неравномерным. MiniMax — шанхайская компания, недавно вышедшая на Гонконгскую фондовую биржу, — сгенерировала свыше 13 миллионов диалогов. Её запросы были нацелены на извлечение навыков агентного кодирования, работы с инструментами и оркестрации сложных задач. Moonshot AI, создатель чат-бота Kimi, зафиксировала более 3,4 миллиона разговоров, направленных на агентное рассуждение, компьютерное зрение и разработку агентов для управления компьютером.

DeepSeek действовал точечнее: около 150 000 обменов, но с хирургически точным фокусом. Запросы были направлены на фундаментальную логику, механизмы выравнивания и — деталь, которая привлекла особое внимание аналитиков — генерацию альтернативных ответов на чувствительные запросы. Фактически, по данным Anthropic, DeepSeek использовал Claude для создания обучающих данных, которые помогли бы его собственной модели отвечать на запросы, которые китайская цензура обычно блокирует.

Техника: как выглядит дистилляция в промышленных масштабах

Дистилляция — когда менее мощная модель-«ученик» обучается, имитируя ответы более продвинутой модели-«учителя», — сама по себе легитимная техника. Все крупные AI-лаборатории используют её для создания компактных и дешёвых версий собственных моделей. Проблема начинается, когда этот метод применяется к чужим разработкам.

Технически это выглядит так: атакующая сторона создаёт тысячи аккаунтов, каждый из которых генерирует серию диалогов с целевой моделью. Запросы конструируются так, чтобы провоцировать максимально детальные и структурированные ответы — пошаговые объяснения, цепочки рассуждений, разбор сложных кейсов. Собранные пары «запрос—ответ» затем используются как обучающие данные для собственной модели.

По описанию Anthropic, атакующие использовали так называемые «гидра-кластеры» — сети аккаунтов, которые смешивали дистилляционный трафик с легитимными запросами, чтобы избежать обнаружения. Аккаунты создавались пакетами, ротировались через прокси в разных странах, а паттерны использования имитировали обычных пользователей. Anthropic удалось выявить операцию благодаря поведенческим отпечаткам: несмотря на географическую разбросанность, временные метки запросов коррелировали с рабочими часами в Китае.

Масштаб в перспективе

Чтобы понять значимость цифры в 16 миллионов диалогов, полезно сравнить её с обычным использованием API. Средний корпоративный клиент Anthropic генерирует тысячи — в лучшем случае десятки тысяч — запросов в месяц. MiniMax за несколько месяцев произвела трафик, сопоставимый с крупнейшими заказчиками Claude, но весь он был направлен на извлечение знаний, а не на продуктивное использование.

Эксперты по безопасности отмечают: если 13 миллионов качественных диалогов MiniMax действительно были использованы для обучения, это эквивалентно тысячам часов работы команды аннотаторов — ресурс, на создание которого обычно уходят месяцы и миллионы долларов.

Реакция рынка

Реакция индустрии оказалась неоднозначной. С одной стороны, масштаб операции шокировал даже тех, кто давно подозревал подобные практики. С другой стороны, скептики указали на определённую иронию: западные AI-компании сами годами обвинялись в массовом сборе интернет-данных для обучения своих моделей без согласия авторов. Anthropic в 2025 году урегулировала коллективный иск писателей за $1,5 миллиарда, признав использование книг из нелицензированных источников. Google и OpenAI сталкивались с аналогичными претензиями.

«Как повернулась карусель», — прокомментировал один из пользователей Reddit, процитировав крылатое выражение из сериала «Офис». И хотя юмор уместен, суть претензий Anthropic отличается: компания обвиняет конкурентов не в использовании общедоступных данных, а в целенаправленном обходе условий сервиса и региональных ограничений через мошеннические аккаунты.

Что дальше

Для индустрии февральский скандал станет поворотным моментом. Если раньше API рассматривался как простая коммерческая транзакция — заплатил, получил доступ, используй как хочешь в рамках TOS, — то теперь компании будут вынуждены внедрять многоуровневую верификацию пользователей, мониторинг поведенческих аномалий в реальном времени и лимиты, направленные на предотвращение массового извлечения данных.

Anthropic, OpenAI и Google уже начали усиливать защитные механизмы. Но вопрос остаётся открытым: насколько эффективны эти меры против противника с неограниченными ресурсами и мотивацией? Дистилляция — не взлом в традиционном понимании. Это использование модели по назначению, но в масштабах и с целями, которые условия сервиса запрещают. Грань тонкая, и провести её юридически — задача нетривиальная.

DeepSeek, MiniMax и Moonshot AI на момент конца февраля не предоставили публичных комментариев.