Anthropic ha denunciado una “campaña de ataques de destilación” a escala industrial por parte de tres laboratorios de inteligencia artificial con sede en China –DeepSeek, Moonshot AI y MiniMax– a los que acusa de haber utilizado técnicas fraudulentas para extraer capacidades de su modelo Claude y emplearlas en el entrenamiento de sus propios sistemas.

PUBLICIDAD

“Hemos identificado campañas a escala industrial por parte de DeepSeek, Moonshot AI y MiniMax para extraer ilícitamente las capacidades de Claude para mejorar sus propios modelos”, ha asegurado la compañía con sede en San Francisco en un comunicado difundido a última hora del lunes.

PUBLICIDAD

Según detalla la empresa, los tres laboratorios generaron más de 16 millones de interacciones con Claude a través de aproximadamente 24.000 cuentas fraudulentas, en violación de sus términos de servicio y de las restricciones regionales de acceso. Anthropic no ofrece actualmente acceso comercial a Claude en China ni a filiales de compañías chinas radicadas fuera del país.

Qué es la “destilación” y cuándo se vuelve ilícita

La destilación es un método de entrenamiento ampliamente utilizado en el sector de la inteligencia artificial. Consiste en entrenar un modelo menos potente a partir de las respuestas generadas por uno más avanzado. Los propios laboratorios punteros emplean esta técnica para crear versiones más pequeñas y económicas de sus sistemas.

El conflicto surge cuando esa práctica se emplea para “adquirir capacidades poderosas de otros laboratorios en mucho menos tiempo y menor precio de lo que les llevaría desarrollarlas de forma independiente”. En este caso, Anthropic sostiene que se trató de destilación “ilícita” porque los laboratorios habrían utilizado “cuentas fraudulentas y servicios de proxy”, ocultando su localización para acceder a gran escala sin ser detectados.

“El volumen, la estructura y el enfoque de los ‘prompts’ eran distintos de los patrones de uso normales, lo que refleja una extracción de capacidades deliberada en lugar de un uso legítimo”, argumenta la compañía.

Más de 16 millones de intercambios

De acuerdo con el informe técnico publicado por Anthropic, las tres campañas siguieron un patrón similar: creación masiva de cuentas falsas, uso de servicios comerciales de reventa de acceso –lo que la empresa denomina arquitecturas “hydra cluster”– y generación de grandes volúmenes de instrucciones diseñadas para extraer capacidades concretas del modelo.

La compañía afirma haber atribuido cada campaña “con alta confianza” mediante correlación de direcciones IP, metadatos de las solicitudes e indicadores de infraestructura, y en algunos casos con corroboración de socios del sector.

En el caso de DeepSeek –que describe como el homólogo chino de OpenAI– la operación habría superado los 150.000 intercambios y se habría centrado en capacidades de razonamiento y en la generación de alternativas “seguras” a consultas políticamente sensibles. Según Anthropic, algunos de los mensajes pedían a Claude que “imagine y articule el razonamiento interno detrás de una respuesta completada y lo escriba paso a paso”, con el objetivo de generar datos de entrenamiento a gran escala.

Moonshot AI, por su parte, habría generado más de 3,4 millones de intercambios, utilizando cientos de cuentas fraudulentas para extraer capacidades de razonamiento autónomo, uso de herramientas, programación y análisis de datos. MiniMax habría alcanzado más de 13 millones de interacciones centradas en programación y orquestación de herramientas, y habría redirigido casi la mitad de su tráfico a un nuevo modelo de Anthropic en un plazo de 24 horas tras su lanzamiento.

Un "riesgo significativo" para la seguridad nacional

Anthropic advierte de que los modelos destilados ilícitamente “carecen de las salvaguardas necesarias” para impedir “posibles desarrollos de armas biológicas o actividades cibernéticas maliciosas”, lo que, a su juicio, supone un “riesgo significativo para la seguridad nacional”.

La empresa vincula además estas prácticas con el debate sobre los controles de exportación de semiconductores avanzados impuestos por Estados Unidos. A su juicio, los ataques de destilación erosionan el efecto de esas restricciones, al permitir que laboratorios extranjeros “cierren la brecha competitiva” mediante la extracción de capacidades ya desarrolladas por compañías estadounidenses, sin recorrer el mismo proceso de investigación y entrenamiento.

“Sin visibilidad sobre estos ataques, los avances aparentemente rápidos realizados por estos laboratorios se interpretan erróneamente como evidencia de que los controles de exportación son ineficaces”, sostiene la compañía, que subraya que la extracción masiva de capacidades no elimina la necesidad de infraestructura técnica: para ejecutarse a gran escala también requiere acceso a chips avanzados.

Refuerzo de seguridad

Anthropic ha señalado que ha reforzado sus sistemas de detección –incluidos clasificadores y herramientas de huella de comportamiento para identificar patrones de destilación–, ha endurecido los controles de verificación de cuentas y ha comenzado a compartir indicadores técnicos con otros laboratorios, proveedores de nube y autoridades competentes.

Pero advierte de que “ninguna empresa puede resolver esto por sí sola”. A su juicio, la escala y sofisticación de estas campañas exige una respuesta coordinada entre industria tecnológica, proveedores de infraestructura y responsables políticos.

La compañía ha hecho pública la información, afirma, para que la evidencia esté disponible “para todos los que tienen algo en juego en el resultado”.