碳基智读完需要6分钟速读仅需 2 分钟今年 2 月份，Anthropic 发了一份“详细报告”，指责 DeepSeek、月之暗面和 MiniMax 三家公司对 Claude 发起了大规模“蒸馏攻击”。

        报告里写得事无巨细，数字也很具体：2.4 万个所谓的虚假账户，1600 万次交互，通过商业代理绕过地域限制，把 Claude 的输出喂给自家模型训练。

        Anthropic CEO Dario 态度一如往常，说这是"协调性的知识产权盗窃”。

        我还写了篇文章 diss back，说《没见过 Anthropic 这么虚伪的》。

        吃瓜群众马斯克也在 X 上留下了金句点评：你偷来的东西被偷了。

        意指 Anthropic 自己，不也是靠互联网上的公共数据训练出来的？

        原始创作者收到钱了吗？这引出了一个争论不休的问题——蒸馏到底算不算偷？

           1最新的新闻是：OpenAI、Anthropic、谷歌这 AI 领域的御三家，正在达成一个罕见合作共识，组建专项联盟，目标直指模型蒸馏行为，并计划通过技术水印、请求风控、行为溯源、跨平台数据共享等手段，全面封堵针对自家头部模型的蒸馏提取，同时推动全球范围内的技术产权界定，将非法蒸馏纳入技术窃取范畴。

        深入聊这个话题之前，我想先分享一组数字。根据 EpochAI 的数据，OpenAI 2024 年光是研发相关的算力支出就大约 50 亿美元，其中最终训练环节只占总算力的 10%左右，剩下的全烧在了实验、调参、失败的尝试上。

        50 亿美元，换来的是 GPT 系列模型的能力天花板。

        而 2025 年引爆全球 AI 界，让开源模型挺直腰板的 DeepSeek R1 的最终训练成本是多少呢？

        大约 560 万美元。当然，这个数字本身有水分，DeepSeek 的实际投入肯定远不止这些，硬件采购、前期实验、团队成本都没算进去。

        但架不住这个对比太有冲击力了：一个烧了 50 亿做出来的东西，另一个花了 560 万就"学会"了大半能力。

        于是，微软和 OpenAI 联手调查 DeepSeek 是否“不当蒸馏”ChatGPT 就成了当时热议的新闻。

        让很多人嗤之以鼻的是，当时的 OpenAI 正被戏谑地称为 CloseAI，一个闭源的收费的指责别人开源的，怎么看怎么虚伪。

           2咱先把"道德""公平""正义"这些大词放一边，看一个简单的商业逻辑。

        OpenAI 的目标是 2030 年之前在算力上投入 600 亿。

        整个前沿 AI 的商业模型建立在一个核心假设上：谁砸最多的钱做最好的模型，谁就能收最贵的 API 费用，进而回收研发投入。

        蒸馏把这个假设给蒸馏了。有一说一，蒸馏这个技术本身不新鲜。

        Hinton 十多年前就提出了知识蒸馏的概念，用大模型的输出来训练小模型，这在学术界和工业界都是常规操作。

        沙克也干了，谁比谁高贵？蒸馏到底算不算偷？没人答得上来，因为你从哪个角度出发都说得通，这是整件事里最让人抠脑壳的地方。

        指控方 Anthropic 一边在报告里用"盗窃"这个词，一边在公开表态中承认"前沿实验室常规性地蒸馏自己的模型"。

        蒸馏本身不是问题，问题是你（竞争对手）蒸馏了"我的"模型。

        但你的模型又是用什么训练的？互联网上的公开文本、代码、图片、论文，这些数据的原始创作者签了授权协议吗？

        New York Times 正在告 OpenAI，Getty Images 告过 Stability AI，Reddit 因为数据授权费跟 Google 打了多少回拉锯战。

        法律界也没有共识。南洋理工大学的 Erik Cambria 教授给了一个判断："合法使用和对抗性利用之间的边界往往是模糊的。

        "国内的法律分析也偏向这个方向，国浩律师事务所和君合律师事务所都有专业解读，大意是 Anthropic 的指控在现行法律框架下"站不太住"：通过 API 访问模型并获取输出，跟"盗窃商业秘密”可差得远。

        Anthropic 当然知道这一点。所以它的策略不是走法律诉讼（到目前为止也没有起诉），而是走舆论战和政策游说。

        先发报告定性"这是盗窃"，再推动政策制定者按这个定性来立规矩。

        讲真，这招聪明。与其在法庭上拿现有法律打一场不确定的官司，不如直接推动立一部新法，把"蒸馏他人模型"直接定义为违法行为。

        谁掌握了定义权，谁就赢了。   3规则制定权，才是真正的战场。

        技术层面的反蒸馏措施，输出水印、流量检测、异常行为识别，说实话都是防君子不防小人的东西。

        你加水印，对方训练的时候加个去噪步骤就行了。你检测流量，对方用更多的代理账户分散请求就行了。

        这些技术措施提高了蒸馏的成本，但远远谈不上防住，事实也根本防不住。

        大漂亮国已经在做类似的事情了，就像他们一直在做的一样。

        真正的杀招在政策层面。2026 年 3 月 18 号，美国 AI 政策研究机构 IAPS 发了一份重磅报告，标题直接了当：《AI 蒸馏攻击：定向政府干预的理由》。

        报告给出了三层建议：第一层，把 DeepSeek、月之暗面、MiniMax 列入商务部实体清单。

        一旦上了这个名单，受《出口管理条例》约束的一切物品，包括 AI 模型开发和部署的关键器件，出口给这些公司都需要许可证，而审批的默认倾向是"拒绝"。

        更厉害的是 2025 年 9 月生效的关联规则：被列入清单的实体持股 50%以上的关联公司，也会自动受到同等限制。

        第二层，动用 PAIP 法案。这部《保护美国知识产权法》的制裁力度远超实体清单，一旦总统认定某外国实体参与了重大商业秘密盗窃且威胁国家安全，必须从 12 项制裁措施中选至少 5 项施加，包括对指定个人的全面资产冻结。

        PAIP 法案的打击面还可以延伸到"提供重大财务、物资或技术支持的实体"，大白话就是，帮这些公司做 API 代理的中间商也可能被波及。

        2026 年 2 月 24 号，PAIP 法案已经做出了首批指定，先例已经立了。

        第三层，让 NIST（美国国家标准与技术研究院）牵头制定"AI 蒸馏防御框架"，把反蒸馏变成一个行业标准，从访问控制到检测监控再到应急响应，全链条规范化。

        看出门道了吗？实体清单限制技术获取，PAIP 法案实施经济制裁，NIST 框架建立行业标准。

        三层防御，层层嵌套，核心目标只有一个："蒸馏他人前沿模型"这件事必须被定义为非法的、会被制裁的、有代价的。

        这让我想到两个历史先例。一个是 DVD 区域码，一张碟片在亚洲买的、在美国的播放器上放不了，技术上毫无道理，但通过行业标准加法律框架硬生生把全球市场切成了几块。

        另一个是 SWIFT 结算系统，表面上是全球银行间的通信协议，实际上谁被踢出 SWIFT 谁就在国际金融体系里消失了。

        技术标准的背后永远是规则话语权。谁定义了"非法蒸馏"的边界，谁就在事实上掌握了下一代 AI 竞争的准入门槛。

        今天的"反蒸馏"是为了保护 50 亿美元的研发投入，明天的"反蒸馏"可能变成一把筛选器，谁能用前沿模型的能力，谁不能用，由规则制定者说了算。

        最近 Anthropic 的新模型 Mythos 火了，据说强到不能直接发布，强到给美国 AI 公司先用，去加强自己的防守能力。

        我看到的却是，这是一出加强美国 AI 行业竞争力，甚至引发 AI 网络攻防剑指国内的阳谋。

        留给国内 AI 圈的时间窗口不多了，由衷希望我们能有更多的 DeepSeek 出现。