Anthropic beschreibt die Aktivitäten von DeepSeek, Moonshot AI und MiniMax als “Kampagnen im industriellen Maßstab”, die gezielt darauf ausgelegt waren, die Fähigkeiten von Claude unrechtmäßig zu extrahieren. Den Angaben zufolge entstanden dabei über 16 Millionen Austausche mit dem Modell, abgewickelt über etwa 24.000 gefälschte Konten.

Die Angreifer setzten laut Anthropic auf betrügerische Konten und kommerzielle Proxy-Dienste, um in großem Umfang und möglichst unentdeckt auf Claude zuzugreifen. Jede einzelne Kampagne ließ sich nach Darstellung des Unternehmens einem bestimmten KI-Labor zuordnen – auf Basis der Korrelation von IP-Adressen, Metadaten der Anfragen sowie Infrastruktur-Indikatoren.

“Umfang, Struktur und Ausrichtung der Prompts unterschieden sich von normalen Nutzungsmustern und spiegelten eine gezielte Extraktion von Fähigkeiten wider, nicht eine legitime Nutzung”, erklärte Anthropic. Jede Kampagne habe es auf die am stärksten differenzierten Fähigkeiten von Claude abgesehen: agentisches Schlussfolgern, Werkzeugnutzung und Programmierung.

Eine zentrale Rolle spielten dabei kommerzielle Proxy-Dienste, die den Zugang zu Claude und anderen führenden KI-Modellen im großen Stil weiterverkaufen. Diese Dienste stützen sich laut Anthropic auf sogenannte “Hydra-Cluster”-Architekturen – riesige Netzwerke gefälschter Konten, über die der Datenverkehr verteilt wird. “Die Breite dieser Netzwerke bedeutet, dass es keinen einzelnen Schwachpunkt gibt”, so das Unternehmen. “Wird ein Konto gesperrt, tritt ein neues an seine Stelle.” In einem Fall habe ein einziges Proxy-Netzwerk mehr als 20.000 gefälschte Konten gleichzeitig betrieben und dabei den Distillation-Datenverkehr mit gewöhnlichen Kundenanfragen vermischt, um die Erkennung zu erschweren.

Aus den so erlangten Zugängen wurden gezielt formulierte Prompts in großer Zahl erzeugt, um hochwertige Antworten von Claude abzuschöpfen und damit eigene Modelle zu trainieren. Anthropic warnt vor den Folgen: Über unzulässige Distillation entstandene Modelle behielten die Schutzmechanismen des Originals vermutlich nicht bei, sodass gefährliche Fähigkeiten ohne diese Absicherungen weiterverbreitet werden könnten. Ausländische Firmen, die amerikanische Modelle auf diese Weise nachbauten, könnten die ungeschützten Fähigkeiten als Grundlage für militärische, nachrichtendienstliche und Überwachungssysteme nutzen.

Um der Bedrohung zu begegnen, hat Anthropic nach eigenen Angaben mehrere Klassifikatoren und Systeme zur Verhaltens-Fingerprintung entwickelt, die verdächtige Distillation-Muster im API-Verkehr erkennen sollen. Zudem habe man die Verifizierung für Bildungs-, Sicherheitsforschungs- und Startup-Konten verschärft und zusätzliche Schutzmaßnahmen eingeführt, um die Verwertbarkeit der Modellausgaben für unzulässige Distillation zu verringern.

Die Offenlegung folgt auf einen Bericht der Google Threat Intelligence Group (GTIG), die kürzlich Distillation- und Extraktionsangriffe auf die Schlussfolgerungsfähigkeiten von Gemini über mehr als 100.000 Prompts identifiziert und unterbunden hatte. Google betonte dabei, solche Angriffe stellten für durchschnittliche Nutzer in der Regel kein Risiko dar, da sie Vertraulichkeit, Verfügbarkeit oder Integrität der KI-Dienste nicht bedrohten – das Risiko konzentriere sich auf Modellentwickler und Diensteanbieter.