16 millions d’échanges. 24 000 faux comptes. Et trois entreprises chinoises dans le viseur d’Anthropic.
La société a publié lundi un rapport sur son site officiel accusant DeepSeek, Moonshot AI et MiniMax d’avoir monté des opérations d’extraction massive des capacités de son modèle Claude. Le procédé utilisé s’appelle la « distillation » : on entraîne un modèle moins performant sur les réponses d’un modèle plus puissant, pour lui en transférer les capacités à moindre coût. Une technique légitime quand on l’utilise sur ses propres modèles. Beaucoup moins quand on cible ceux d’un concurrent.
Trois opérations, trois profils
Chaque laboratoire avait ses cibles précises. DeepSeek a généré plus de 150 000 échanges avec Claude, se concentrant sur le raisonnement et l’alignement. Anthropic a aussi repéré des requêtes visant à produire des alternatives « sans censure » à des questions politiquement sensibles. Des demandes sur les dissidents, les dirigeants du Parti communiste ou des régimes autoritaires, reformulées pour contourner les filtres. Ces données auraient ensuite servi à entraîner DeepSeek à éviter les sujets épineux.
Moonshot AI, connue pour ses modèles Kimi, est allée plus loin dans les volumes : 3,4 millions d’échanges ciblant le raisonnement agent, le code, la vision par ordinateur. Selon Anthropic, les métadonnées des requêtes correspondaient aux profils publics de cadres seniors du laboratoire. Difficile de nier l’implication directe.
MiniMax rafle la mise avec plus de 13 millions d’échanges, principalement axés sur le code agentique et l’orchestration d’outils. Ce qui a surpris Anthropic, c’est la réactivité du labo : quand un nouveau modèle Claude est sorti pendant la campagne, MiniMax a redirigé près de la moitié de son trafic vers cette nouvelle version en moins de 24 heures. Autrement dit, l’opération était suivie en temps réel.
À lire aussi
Des architectures « hydra » pour rester invisibles
Problème de départ : Anthropic n’autorise pas l’accès commercial à Claude depuis la Chine. Pour contourner ça, les labos ont eu recours à des services proxy que la société qualifie d’architectures en « hydra cluster ». Des réseaux de comptes frauduleux conçus pour ne pas avoir de point de défaillance unique. Quand un compte est banni, un autre le remplace. L’un de ces réseaux aurait géré plus de 20 000 comptes en simultané, en mélangeant les requêtes de distillation avec de vrais usages clients pour brouiller les pistes.
The Decoder rapporte que ces campagnes « grandissent en intensité et en sophistication », selon Anthropic. La société dit avoir détecté celle de MiniMax alors qu’elle était encore active, avant même la sortie du modèle que le labo entraînait.
Un argument de plus pour les contrôles à l’export
Anthropic ne se contente pas de dénoncer. Le rapport sert aussi de plaidoyer pour le maintien des contrôles à l’exportation des puces. Le raisonnement : mener des opérations de distillation à cette échelle demande une puissance de calcul importante. Restreindre l’accès aux puces avancées, c’est donc limiter à la fois la capacité à entraîner des modèles et à les alimenter en données volées.
Dmitri Alperovitch, cofondateur de CrowdStrike et président du Silverado Policy Accelerator, confirme l’analyse à TechCrunch : « Il était clair depuis un moment qu’une partie des progrès rapides des modèles IA chinois reposait sur du vol par distillation des modèles américains. Maintenant on en a la preuve. »
Anthropic dit investir dans des systèmes de détection renforcés, mais appelle aussi à « une réponse coordonnée de l’industrie, des fournisseurs cloud et des régulateurs ». La société ajoute un argument sécurité : les modèles construits par distillation illicite « ne retiennent pas les garde-fous de sécurité » des originaux. Des capacités dangereuses, potentiellement disponibles sans les protections conçues pour éviter leur usage à des fins offensives.
La vraie question, c’est combien d’autres labos ont fait pareil sans se faire prendre.
