何が起きたのか？

2026年2月23日、AI開発企業のAnthropicが衝撃的な発表を行いました。

中国の3つのAIラボDeepSeek、Moonshot AI、MiniMaxが、Claudeの能力を不正に抽出するため約24,000件の偽アカウントを作成し、合計1,600万回以上のやり取りを実行していたことが判明したのです。

これはAnthropicの利用規約と地域アクセス制限の両方に違反する行為であり、AI業界史上最大規模の「モデル窃盗」事件と言えます。

「蒸留（Distillation）」とは何か？

今回の手法の中核にある**蒸留（Distillation）**は、AI分野では広く知られた学習テクニックです。

簡単に言えば、強力な大型モデル（教師モデル）の出力を使って、小型モデル（生徒モデル）を効率的に訓練する手法です。

蒸留自体は正当な技術であり、OpenAIやGoogle、Anthropic自身も自社モデルのコンパクト版を作るために日常的に使っています。

しかし問題は、競合他社のモデルに対して無断で蒸留を行った点にあります。独自開発なら莫大なコストと時間がかかる能力を、他社のAPIを叩くだけで「格安コピー」できてしまうわけです。

各社の攻撃内容

DeepSeek：15万回以上のやり取り

DeepSeekからの攻撃は比較的小規模ですが、そのターゲットが特徴的でした。

• 推論能力とルーブリックベースの採点タスク
• **Chain-of-Thought（思考の連鎖）**訓練データの大量生成
• 検閲回避：政治的に敏感なクエリに対する「検閲セーフな代替回答」の取得

つまり、Claudeの推論力を取り込みつつ、中国国内の検閲ポリシーに適合するモデルを作ろうとしていた可能性があります。

Moonshot AI：340万回以上のやり取り

Moonshot AIの攻撃は、Claudeのエージェント能力に集中していました。

• エージェント推論とツール使用
• コーディングとデータ分析
• Computer-Useエージェントの開発
• コンピュータビジョン

数百の不正アカウントを複数のアクセス経路に分散させ、Claudeの推論トレースを抽出・再構築しようとしていたとAnthropicは報告しています。

MiniMax：1,300万回以上のやり取り

最大規模の攻撃を行ったのがMiniMaxです。

• エージェントコーディングとツールオーケストレーション
• 新モデルのリリース後24時間以内にトラフィックの約半分をリダイレクト

1,300万回という数字は、3社合計の約81%を占めています。

攻撃の手口：Hydra Clusterアーキテクチャ

3社ともに共通する手口がありました。Anthropicはこれを**「Hydra Cluster」アーキテクチャ**と呼んでいます。

その特徴は以下の通りです。

• 商用プロキシサービスを経由してアクセス
• 大量の不正アカウントにトラフィックを分散
• 通常のユーザーリクエストに紛れ込ませることで検知を回避
• 1つのプロキシネットワークで同時に2万以上の不正アカウントを管理

蒸留用のトラフィックを無関係な顧客リクエストと混ぜ合わせることで、単純なレート制限やパターン検出をすり抜けようとしていたのです。

なぜ危険なのか？安全保障上のリスク

この問題が単なる「知的財産の盗用」にとどまらない理由があります。

Anthropicをはじめとする米国のAI企業は、モデルに安全ガードレールを組み込んでいます。具体的には、以下のような悪用を防ぐ仕組みです。

• 生物兵器の開発支援
• 大規模サイバー攻撃の実行
• ディスインフォメーション（偽情報）の生成
• 大量監視システムの構築

しかし不正に蒸留されたモデルには、これらの安全機構が引き継がれない可能性が高いのです。つまり、フロンティアAIの能力を持ちながら安全装置のないモデルが出回るリスクがあります。

Anthropicの対応

Anthropicは以下の対策を発表しています。

• 検出分類器と行動フィンガープリンティングの強化
• 業界パートナーや当局との情報共有
• 研究・教育アカウントの検証プロセス強化
• プロダクト・モデルレベルでの技術的対策の開発

AI業界への影響

この事件は、AI業界全体に大きな問いを投げかけています。

APIを公開すること自体がリスクになるという現実です。モデルの能力をサービスとして提供する以上、その出力は常に「学習データ」として悪用される可能性があります。

今後、AI企業は以下のような対策を強化していくことが予想されます。

• 出力に**透かし（Watermark）**を埋め込む技術
• 蒸留検出のための行動分析
• 利用規約の法的執行の強化
• 国際的なAI知的財産保護の枠組み作り

まとめ

今回の事件は、AI開発競争が「技術力の競争」から「他社モデルの能力をいかに効率的に取り込むか」の競争に変質するリスクを示しています。

独自研究に莫大な投資をしている企業にとって、APIを公開すること自体が競合他社への「技術供与」になりかねない。このパラドックスに、業界全体でどう向き合うかが問われています。

参考リンク：

• Anthropic公式ブログ：Detecting and Preventing Distillation Attacks
• TechCrunch：Anthropic accuses Chinese AI labs of mining Claude
• Tom's Hardware：Anthropic accuses DeepSeek of 'industrial-scale' copying