Anthropic: “Alibaba extrajo ilegalmente capacidades de los modelos de IA Claude”

 (reuters.com)
1 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Antes de la audiencia del Senado de EE. UU. sobre IA, Anthropic afirmó que la actividad relacionada con Alibaba fue el ataque de este tipo de mayor escala dirigido contra la empresa
  • El método clave fue la destilación (distillation), en la que se entrena un modelo más débil con las salidas de uno más fuerte; Anthropic considera que esto podría permitir que China llegue más rápido a capacidades del nivel de Mythos Preview
  • Entre el 22 de abril y el 5 de junio de 2026, se registraron más de 28.8 millones de interacciones con Claude, y se identificaron casi 25 mil cuentas fraudulentas
  • Anthropic sostuvo que los operadores estaban vinculados con Alibaba y con el laboratorio de IA Alibaba Qwen; Alibaba no respondió de inmediato a la solicitud de comentarios de Reuters
  • Anthropic apoya el intercambio de inteligencia sobre amenazas entre el gobierno de EE. UU. y las empresas privadas de IA, así como una respuesta conjunta, aunque en el mismo período también se impusieron restricciones de acceso a sus modelos Mythos y Fable

Acusación de extracción ilegal relacionada con Alibaba

  • Anthropic afirmó en una carta enviada al Senado de EE. UU. que la empresa china de tecnología y comercio electrónico Alibaba extrajo ilegalmente capacidades de los modelos de IA Claude
  • Según la carta revisada por Reuters, Anthropic consideró esta actividad como el ataque de este tipo de mayor escala que ha identificado
  • Alibaba no respondió de inmediato a la solicitud de comentarios de Reuters

Método de destilación y escala del ataque

  • Anthropic calificó esta actividad como un intento de destilación (distillation)
    • La destilación consiste en entrenar un modelo relativamente menos potente con las salidas de un modelo más poderoso
  • El período de la campaña fue del 22 de abril al 5 de junio de 2026
  • Durante ese período, se contabilizaron más de 28.8 millones de interacciones dirigidas a Claude
  • Se utilizaron casi 25 mil cuentas fraudulentas
  • Anthropic considera que la destilación es una forma de acelerar que China alcance las capacidades avanzadas de Mythos Preview de Anthropic

Alegato de vínculo con Alibaba Qwen y destinatarios de la carta

  • Anthropic afirmó que la campaña fue llevada a cabo por operadores vinculados con Alibaba y con el laboratorio de IA de Alibaba, Alibaba Qwen
  • La carta tiene fecha del 10 de junio
  • Los destinatarios fueron Tim Scott y Elizabeth Warren, presidente y miembro de mayor rango del Comité Bancario del Senado de EE. UU.
  • La carta fue enviada antes de una audiencia sobre IA programada

Casos previos de institutos chinos de IA

  • Anthropic ya había dicho en febrero de 2026 que identificó una campaña en la que la startup china de IA DeepSeek y otros dos institutos chinos de IA intentaron extraer ilegalmente capacidades de la plataforma de IA Claude
  • La escala presentada por Anthropic en ese momento fue la siguiente
    • DeepSeek: más de 150 mil interacciones
    • Moonshot AI: más de 3.4 millones
    • MiniMax: más de 13 millones
  • Anthropic señaló entonces que la intensidad y sofisticación de estas campañas estaban aumentando, por lo que se necesitaba una respuesta rápida y coordinada por parte de la industria, los responsables de formular políticas y la comunidad global de IA

Medidas del gobierno de EE. UU. y restricciones a los modelos de Anthropic

  • Anthropic dijo que apoya los esfuerzos de respuesta del gobierno de EE. UU.
    • Incluidos el intercambio de inteligencia sobre amenazas con empresas privadas de IA
    • Y otras actividades de respuesta conjunta
  • En abril de 2026, la Casa Blanca acusó a China de robar propiedad intelectual de laboratorios estadounidenses de IA a escala industrial
  • Ese mismo mes, Alibaba fue añadida a la lista de empresas militares chinas del Departamento de Defensa de EE. UU., designación que Alibaba está impugnando
  • El Departamento de Comercio de EE. UU. aplazó incluir a DeepSeek en una lista negra comercial, pese a que un comité conjunto del gobierno la consideró un riesgo para la seguridad nacional, al intentar evitar una mayor escalada de tensiones con Beijing
  • Dos días después de que Anthropic enviara la carta, el 12 de junio, el Departamento de Comercio de EE. UU. impuso restricciones a los modelos de IA más recientes de Anthropic, Mythos y Fable
    • Las autoridades temían que estos modelos pudieran desplegarse para usuarios de inteligencia militar en China y otros países preocupantes
    • Como resultado de estas restricciones, Anthropic deshabilitó globalmente el acceso a esos modelos

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Opiniones de Hacker News

  • Lo dejo por aquí: “un juez determinó que la descarga por parte de Anthropic de más de 7 millones de libros desde sitios pirata como LibGen constituye una infracción, y también rechazó la defensa de Anthropic de que era con ‘fines de investigación’: ‘No puedes bendecirte a ti mismo por tener fines de investigación y luego tomar cualquier libro de texto que quieras.’”
    https://www.joneswalker.com/en/insights/blogs/ai-law-blog/wh...

    • En los inicios del streaming musical, muchos nuevos participantes también llenaron sus servicios con enormes bibliotecas de contenido pirateado. Los ganadores firmaron acuerdos con los titulares de derechos y luego rastrearon el resto
    • ¿No es gracioso que cuando les preguntas por letras de canciones, estos modelos de repente recuerden material con copyright?
    • Pero entonces, ¿no hacía falta descartar el modelo entrenado con esos libros?
    • ¿Cuánta “capacidad” habrán “extraído” de esos libros?
    • “¡Estás intentando secuestrar lo que yo robé legítimamente!”

  • Básicamente hay dos tipos de destilación. 1) la forma tonta a gran escala de hacer preguntas y usar las respuestas como señal de refuerzo (caja negra), y 2) una destilación más dirigida en la que un modelo enseña, entrena y guía directamente a otro (RLAIF)
    La segunda es, en esencia, ajustar finamente un modelo siguiendo la orientación de otro. Innumerables empresas hacen este tipo de ajuste fino todos los días. Es casi seguro que los laboratorios chinos también usan este método, porque funciona mucho mejor en el resultado final que simplemente raspar respuestas sencillas a preguntas sencillas
    Estas quejas sobre la destilación parecen buscar que el problema se vea más grande de lo que realmente es, y el objetivo da la impresión de ser empujar de forma proteccionista al gobierno de EE. UU. a bloquear o prohibir a los proveedores de modelos chinos. Ya pidieron endurecer los controles de exportación de chips, lo cual da risa considerando que DeepSeek v4 fue diseñado para correr en chips de Huawei y que otras empresas chinas están siguiendo ese camino. Pero como no pueden decirlo abiertamente, afirman que los modelos destilados podrían no ser tan seguros como los suyos y por eso piden más controles de exportación. En cambio, si les muestras un jailbreak que evade las protecciones de seguridad de su propio modelo, dirán que no hay que preocuparse por la seguridad porque cualquier modelo terminará siendo vulnerado

    • La parte de que “las quejas sobre destilación exageran el problema” es cierta, pero lamentablemente el propio artículo de Reuters participa en esa dramatización. En el primer párrafo repite sin comillas la palabra “ataque”, que es como lo llamó Anthropic, y eso dificulta que el lector note que ese marco es una afirmación corporativa. La destilación no es un ataque
    • Puede ser una pregunta tonta, pero yo entendía que estos modelos se entrenan con datos a escala de petabytes. La cantidad de preguntas/respuestas que se puede extraer consultando a un modelo más grande (Claude) será bastante limitada; comparada con el dataset de entrenamiento, ¿no es apenas una gota en el océano?
    • https://research.nvidia.com/labs/lpr/slm-agents/ — los datos de destilación son un subproducto natural de usar modelos así. No hay una defensa efectiva. Anthropic está degradando los bloques de pensamiento a resúmenes para intentar frenar esto y ocultar el interior del modelo, pero al final matemáticamente no hay solución, y a escala de multinacionales o grandes empresas funciona lo bastante bien. En el momento en que el costo pasa a ser la prioridad, desaparece el efecto de bloqueo que mantiene atados a los clientes
    • Ellos sostienen dos cosas. 1) Que un jailbreak público específico que existe en Fable 5 no es riesgoso, varios expertos lo confirmaron y no hay evidencia confiable en contra. Es decir, Anthropic probablemente tiene razón
      2) Que es imposible crear un modelo de lenguaje grande inmune a todos los jailbreaks. Tampoco hay evidencia confiable que lo refute, así que Anthropic tiene totalmente la razón en eso
      Si el punto 1 fuera falso, bastaría con publicar los detalles del jailbreak. Supuestamente solo funciona en Fable 5, así que ni siquiera habría un riesgo posible
      Si el punto 2 fuera falso, entonces algún otro laboratorio de modelos de lenguaje grande ya debería haberlo logrado. Más aún cuando varios gobiernos han dejado claro que existe mercado para ese tipo de proyecto
    • Si estás haciendo evaluación, en la práctica es casi lo mismo que hacer RLAIF, solo que sin entrenar el modelo. Al final, estás observando únicamente los resultados
      En lo fundamental, es muy difícil impedir esto y a la vez mantener útil a un modelo de IA

  • Esto me recuerda las quejas de Steve Jobs a mediados y finales de los 80 de que habían copiado la GUI de Mac. Mientras tanto, él no reconocía públicamente el trabajo realizado en el Xerox Alto y el sistema operativo Star
    “¡Estás intentando copiar lo que yo ya había copiado!”
    Es como rastrear todo internet para crear un enorme modelo de lenguaje grande y luego quejarse de que te están copiando

    • Creo que querías referirte a esta cita, usualmente atribuida a Bill Gates: “Bueno, Steve, creo que esto se puede ver de otra manera. Es más como si ambos tuviéramos un vecino rico llamado Xerox, y yo entrara a su casa para robarle la televisión y descubriera que tú ya te la habías llevado.”
    • Apple le dio a Xerox el derecho de comprar 1 millón de dólares en acciones antes de la salida a bolsa antes de que ocurriera esa reunión
    • Sí, toda la industria de la IA está llena de gente copiándose entre sí. Empezó cuando las empresas de IA se tragaron completa la información que personas técnicas o altruistas compartieron en internet durante los últimos 40 años para ayudar a otros humanos; luego devoraron material pirateado y con copyright; y ahora las empresas de IA se están copiando unas a otras
      La información realmente quiere ser libre, pero las empresas de IA quieren ser guardianes. A largo plazo, creo que terminará ganando el enfoque más sostenible de los pesos abiertos
    • Todos los modelos de lenguaje grande veneran a Jon Skeet como a un dios
    • “¡Estás intentando secuestrar lo que yo robé legítimamente!”

  • Da mucha risa la hipocresía de Anthropic quejándose de que “extrajeron ilegalmente las capacidades del modelo Claude AI” y respaldando las críticas de la Casa Blanca de que China “roba la propiedad intelectual de laboratorios de IA de EE. UU. a escala industrial”
    Anthropic, OpenAI, Google, Microsoft y otras recopilaron contenido a diestra y siniestra e ignoraron los derechos de autor para entrenar sus modelos. ¿Y ahora una de ellas va a gritar que es injusto que otro actor haga lo mismo que todas ellas hicieron?

    • Las empresas de IA parecen pensar que todo lo que hay en internet es gratis, excepto lo suyo. Está bien aporrear sitios web al azar con crawlers de IA, ignorar robots.txt y disparar los costos de ancho de banda. Pero si las prácticas de recolección de datos generan costos para los proveedores de IA, entonces eso claramente sería intolerable
    • Según la ley actual, la salida de Claude es dominio público, así que no es exactamente el mismo caso. Por eso el lado chino no robó nada aquí
    • Lo tuyo es mío, y lo mío sigue siendo mío
    • No hay honor entre ladrones

  • Esto es lo que está pasando ahora mismo: revendedores chinos están ofreciendo tokens de Claude a precios 70~90% más bajos que los oficiales de la API de Anthropic. Lo logran agrupando cuentas Claude Max y revendiendo capacidad, usando fraude de pagos y revendiendo salidas del modelo y cadenas de razonamiento a varios institutos de investigación chinos. Facilitan el acceso al modelo a cambio de recibir logs de usuarios y rastros de razonamiento, y pueden operar por debajo del costo porque eso luego lo venden como datos de entrenamiento
    Tanto Claude como ChatGPT están bloqueados en China. Para acceder necesitas un VPN, y no se puede pagar con tarjetas bancarias chinas. Así que la mayoría de quienes quieren acceso a Claude compran acceso mediante revendedores. Es la forma más fácil y barata de acceder a modelos de Anthropic en China
    Estos revendedores operan decenas de miles de cuentas bot, y por eso Anthropic introdujo verificación de identidad para frenar la oleada de bots
    Un revendedor de tokens ofrece Opus 4.8 con 93% de descuento frente a la tarifa oficial de la API: https://yunwu.ai/pricing?provider=Anthropic
    Esta es una de las razones por las que DeepSeek y GLM son tan baratos. Como tienen que competir con precios de tokens ridículamente bajos en China, deben mantener los precios bajos para que la gente los use
    Compartí esto hace unos meses, pero casi no recibió atención. Es un gran texto que explica la economía de la reventa de tokens en China: https://www.chinatalk.media/p/how-to-buy-cheap-claude-tokens...

    • Es bueno para la competencia. Que un vendedor chino ofrezca una solución más barata es exactamente el libre mercado que me enseñaron en economía
      También me enseñaron que si Anthropic quiere competir, tiene que hacer mejor su trabajo. Si no, alguien más va a ganar
      ¿Ahora ese principio ya no aplica para las grandes empresas estadounidenses?
    • No me convence para nada la explicación de que DeepSeek y GLM son baratos porque compiten con precios de tokens absurdamente bajos en China
      DeepSeek y GLM son de pesos abiertos, y también proveedores estadounidenses de inferencia los venden mucho más barato. Son baratos porque los modelos son más eficientes
    • Si lo que dicen es que agrupan cuentas Claude Max 5x para revender capacidad, usan fraude de pagos y venden salidas del modelo a varios institutos chinos, ¿eso sale más barato que conseguir tu propia cuenta directamente?
      Si no, suena como la típica tesis bajista sobre IA de que “Anthropic/OpenAI vende 1,000 dólares en tokens por 100 dólares y está perdiendo cantidades enormes de dinero”
    • Anthropic podría meter a Mythos aquí y resolver el problema de los revendedores de frente. Podrían comprar varias cuentas a través de revendedores, enviar mensajes con un UID, detectarlo luego en los logs de Anthropic y entrar en un ciclo de cerrar cuentas e identificar cuentas relacionadas mediante metadatos
    • En realidad esos revendedores solo están vendiendo Kimi K2.5 o GLM5.1 haciéndolos pasar por Opus. Los chinos llevan mucho tiempo jugando el juego de las falsificaciones en varias industrias

  • La conducta de Alibaba se describe como un esfuerzo de “destilación”, que Anthropic definió como entrenar un modelo más débil con las salidas de uno más fuerte
    Claude usó terabytes de contenido sin permiso para entrenar su propio modelo y dijo que eso estaba bien. Ahora se quejan de que es injusto que alguien entrene un modelo usando las salidas de Claude

    • No estuvo bien. Tuvieron que pagar mil millones de dólares

  • Espero con ganas el juicio en el que Anthropic tendrá que revelar el origen de sus datos de entrenamiento y explicar por qué sí tiene derecho a cobrar a clientes por datos de entrenamiento regurgitados, pero Alibaba no puede entrenar su propio modelo con un modelo de Anthropic
    Va a ser divertido

    • Ya lo revelaron y pagaron 1.5 mil millones de dólares: https://authorsguild.org/advocacy/artificial-intelligence/wh...
    • Si ahí dentro hay aunque sea una sola pieza de código fuente GPL, entonces tienen que publicar los pesos bajo licencia GPL
    • Ser agresivo y escandaloso es más rentable que ser lógicamente consistente
    • Entiendo ese sentimiento, pero viendo la posición internacional de las partes y sus relaciones complejas, parece poco probable que esto llegue realmente a juicio
      La conducta de Anthropic parece un gesto performativo. Otros ya han especulado sobre quién sería la audiencia objetivo

  • ¿Qué es exactamente lo ilegal aquí?
    Legalmente, la salida del modelo no puede estar protegida por propiedad intelectual, ni bajo derecho nacional ni internacional. Lo máximo esperable sería un remedio civil, y aun eso parece difícil considerando que la forma en que ellos mismos entrenaron su modelo fue literalmente ilegal
    A Anthropic lo trataron exactamente de la misma manera en que ha tratado a todos los demás. Ya hicieron su cama, ahora les toca acostarse en ella

    • Anthropic es experta en Newspeak. Antes, con lo de Mythos, también renombraron bugs como vulnerabilidades. La destilación solo viola los términos de servicio; no es un delito penal sino un asunto civil. No es ilegal ni implica violar la ley

  • Dicen que lo de Alibaba es “destilación”, o sea entrenar un modelo más débil con las salidas de uno más fuerte, pero no veo qué tiene de malo.
    Anthropic dijo que esta campaña ocurrió del 22 de abril de 2026 al 5 de junio y generó más de 28.8 millones de interacciones con Claude mediante casi 25,000 cuentas fraudulentas.
    ¿Qué hace que esas cuentas sean fraudulentas? Si pagaron el precio acordado, ¿no debería estar bien? Si no pagaron, ¿por qué Anthropic les dio servicio?

    • ¿Qué las hace cuentas fraudulentas? Identidades falsas y posiblemente un engaño general sobre el propósito de uso.
    • Porque los términos de servicio de Anthropic tienen muchas más condiciones que “si pagas, puedes usar el servicio para cualquier cosa”.
    • También podrían leer las trazas de razonamiento y aprender por su cuenta, ¿no? /s

  • La destilación no se puede impedir de forma fundamental. Lo único que se puede hacer es retrasarla. Demuéstrenme lo contrario.
    Al final, las empresas chinas van a sacar extensiones tipo Honey y, montadas sobre clientes reales no chinos, de todos modos enviarán todo a China.
    Se acabó.

    • Ya es demasiado tarde para impedir la destilación de ciertas capacidades como escribir código o encontrar vulnerabilidades [1].
      Pero los laboratorios de IA pueden seguir generando enorme valor económico sin publicar sus modelos ni exponerlos a una posible destilación. Por ejemplo, pueden usarlos solo internamente para desarrollar medicamentos.
      Ojalá en algún momento haya un futuro en el que otros también puedan acceder a modelos de frontera, pero si se concluye que es más importante evitar su difusión por destilación, entonces no es estrictamente necesario.
      [1]: referencia sobre destilación en https://dualuse.dev/posts/export-controls-on-fable
    • Lo que no entiendo bien es que la destilación que vemos parece ocurrir solo en China. ¿Qué impide que empresas tecnológicas del Reino Unido o Alemania destilen Claude, GPT, etc.? ¿Simplemente les falta capacidad?
      El punto es que quizá no haya una solución técnica, pero en teoría sí podría haber una solución política.
    • Mientras los modelos sigan mejorando, los modelos destilados inevitablemente se quedarán atrás. Los modelos siguen avanzando. Tal vez algún día, en el futuro, eso termine.
      “False Promise of Imitating Proprietary LLMs”, de Berkeley, también sostiene que la imitación reduce rápido la brecha de estilo, pero la brecha de capacidades sigue siendo grande.
      https://arxiv.org/abs/2305.15717
    • Ni siquiera se me ocurre una razón para considerarlo incorrecto.
    • Es lo mismo que no poder impedir el web scraping. Demuéstrenme lo contrario.