矽谷聯手抵制中國 AI 竊密：前沿模型論壇正式宣戰

OpenAI、Anthropic 與 Google 正式公告：三家公司已開始共享威脅情報，聯手對抗針對其前沿 AI 模型的大規模竊取行動——而行動背後的具體加害方，也首度被公開點名：深度求索（DeepSeek）、月之暗面（Moonshot AI）與 MiniMax。

這份聯合聲明透過前沿模型論壇（Frontier Model Forum）發布。該論壇由三家公司與微軟在 2023 年共同成立，過去主要聚焦於政策倡議與安全研究，此次卻首度轉型為即時、主動的威脅情報作戰中心——功能上更接近金融業的資安情報共享組織 FS-ISAC，而非傳統的學術合作平台。

攻擊手法：大規模「對抗性蒸餾」

這波攻勢的核心技術稱為「對抗性蒸餾」（adversarial distillation）。在合法的機器學習領域，蒸餾是一種讓大型「教師模型」的輸出用來訓練小型「學生模型」的技術，藉此以遠低於原始訓練成本的代價，複製出近似的模型能力。

但當這項技術被惡意使用，就成了智慧財產竊取的工具：攻擊者建立大量假帳號，對前沿 AI 的 API 發出數百萬次精心設計的查詢，收集所有回應，再用這些合成資料訓練自己的競爭模型——等於不費分毫地繞過了原廠多年的研發投入與數千億美元的訓練算力。

Anthropic 公開的數字令人咋舌：僅針對 Claude 一款模型，就記錄到超過 1,600 萬次未授權的資料擷取行為，這些查詢透過約 2.4 萬個假帳號路由，全數追溯至三家中國 AI 公司。OpenAI 與 Google 也各自確認發現了規模相當的類似模式，但兩家公司均未公布具體數字。

聯防機制如何運作

前沿模型論壇的新情報共享安排，明確借鑑了資安業界的威脅情報共享模式。當某家公司的偵測系統發現一個對抗性蒸餾特徵——異常的查詢結構、特定的 IP 區段、統計上可疑的提示詞爆量——就會將特徵編碼並同步給其他成員。一家公司率先發現的攻擊，立刻成為全體的共同防線。

回應工具箱分為多個層級。最直接的手段是封號與 IP 封鎖；更精準的防禦則包括針對可疑查詢模式的流量限速，以及一項被業界稱為「輸出擾動」的技術：在 API 回應中植入不易被單次察覺、但會系統性地降低訓練資料品質的統計雜訊，讓以此訓練出的學生模型效果大打折扣。

一位熟悉協商過程的消息人士告訴 Bloomberg：「這是前沿模型論壇首次針對特定外部對手，啟動主動威脅情報作戰。」從政策倡議組織到實戰防禦平台的轉型，顯示出前沿實驗室已將模型萃取視為必須共同應對的戰略威脅。

Anthropic 採取最強硬立場

三家公司中，Anthropic 的反應最為激進。除封號與輸出擾動外，它更宣布對所有中資企業實施全面封鎖——一個切斷 Claude 與亞洲大部分商業市場聯繫的決定。

此項禁令同時適用於 API 存取與消費者產品。這實際上是一次單方面的技術脫鉤，與 Anthropic 在 Mythos 模型上的一貫立場一脈相承——Mythos 至今未公開發布，理由是雙用途安全風險。「我們將對抗性蒸餾視為具有國家安全意涵的智慧財產竊取，而非單純的服務條款違規，」Anthropic 在聲明中表示。

這樣的定性意義重大。引用國家安全而非單純的 IP 保護，意味著 Anthropic 已將模型萃取定義為地緣政治競爭的一環，並明確選邊站隊。

Anthropic 的憂慮有具體的技術背書：研究人員在測試 Mythos 時，發現了 OpenBSD 作業系統中一個潛伏 27 年之久的漏洞。一款有能力找出如此罕見高價值漏洞的模型，顯然不是創造者願意讓對手透過 API 逐步蒸餾出來的。

被點名的三家中國企業

深度求索於 2025 年初以低成本訓練換來媲美 GPT-4 的 R1 模型一舉引發全球關注，其能力來源至今眾說紛紜。月之暗面旗下的 Kimi 是中國使用最廣泛的大型語言模型之一，迄今已獲阿里巴巴等投資者注入逾 30 億美元。MiniMax 則由騰訊與高瓴資本支持，專注多模態與對話 AI 應用。

截至發稿，三家公司均未公開回應上述具體指控。中國官方媒體則將美國科技公司的行動定性為「以安全為名的保護主義」。

地緣政治背景

這次揭露發生在極為敏感的地緣政治時刻。美國已連續多輪實施半導體出口管制，試圖限制中國取得訓練前沿模型所需的高階 GPU。但批評者長期指出，這些以硬體為中心的管制有根本缺陷：若中國實驗室能透過軟體層的 API 攻擊萃取模型智慧，限制晶片供應只解決了問題的一半。

前沿模型論壇的介入，說明業界已得出相同結論：模型萃取可能是比建立本土訓練基礎設施更有效率的追趕路徑，API 防線因此成為比晶片供應鏈更具戰略意義的戰場。目前，國會已有多個辦公室要求三家公司進行簡報，相關揭露預計將影響包括《MATCH 法案》在內的多項立法討論。

後續走向

前沿模型論壇正在研議制訂一套「抗蒸餾」技術標準——涵蓋 API 設計原則與輸出擾動規範，目標是讓對抗性蒸餾的效益大幅降低，同時不影響正常開發者的使用體驗。

三家公司也各自在訓練以已知對抗性蒸餾查詢模式為基礎的偵測模型，論壇將負責跨公司驗證，並建立將確認攻擊上報執法機關與監管機構的共同標準。

對於在這些 API 上開發應用的台灣與全球開發者而言，防禦措施在日常使用中幾乎不可見。但象徵意義上的轉變是真實的：三家在模型能力上激烈競爭的公司，已決定在這個議題上採取集體防禦——因為他們一致認為，這比各自為政更有效。將前沿 AI API 當作免費訓練資料水庫的時代，正式宣告結束。