中国AI企業がClaudeを1600万回騙した｜DeepSeek・MiniMax・Moonshot AIの蒸留攻撃、全容

わさびです。

Anthropicが異例の詳細レポートを公開した。中国のAI企業3社——DeepSeek、Moonshot AI、MiniMax——が組織的にClaudeの能力を盗み出していた、という内容だ。

数字がすごい。24,000以上の偽アカウントを使って、Claudeと1,600万回以上の会話を実行していた。

背景と経緯

2025年に入り、中国AI企業の急速な技術追い上げが世界的な話題になっていた。DeepSeekがGPT-4に匹敵する性能を低コストで実現したと主張し、業界に衝撃を与えた。だが「どうやってこれだけ短期間で追いついたのか」という疑問は残っていた。

「モデル蒸留（distillation）」——優れたAIモデルの出力を使って別のモデルを訓練する手法——の悪用疑惑は以前からあった。OpenAIがDeepSeekについて同様の懸念を示したことがあったが、具体的な証拠が公開されることはなかった。

今回Anthropicが公開したレポートは、その「証拠公開」に相当する。具体的な手口、企業名、規模まで記録した詳細なレポートを出すことで、業界と政府への問題提起をした形だ。AI覇権をめぐる米中の技術競争が、こういう形で表面化している。

何が起きていたのか

「モデル蒸留（distillation）」という手法がある。優れたAIモデルに大量の質問をして、その回答を使って別の（より小さい）モデルを訓練する技術だ。本来は自社モデルの改善のために使われるが、今回のケースはターゲットが他社のClaudeだった。

Anthropicの利用規約では、Claude APIの出力を使って競合モデルを訓練することは明示的に禁止されている。それを大規模に、組織的に、偽アカウントで隠蔽しながら実行していた。

今回Anthropicが公開したレポートでは、3社それぞれの行動パターンが記録されている。

3社それぞれの手口

MiniMaxが今回の中で最も規模が大きく、1,300万回以上の会話を単独でこなしていた。

特徴的だったのは、狙いが明確だった点だ。ターゲットは「エージェントコーディング能力」——つまり、Claudeがソフトウェアを自律的に書き、テストし、修正していく能力を集中的に引き出していた。Claude Codeが市場で圧倒的な評価を得ているまさにその領域を狙った形になる。

Moonshot AIとDeepSeekも同様の手口を使っており、偽アカウントの作り方には共通のパターンがあったとAnthropicは指摘している。個人として登録し、使い捨てのメールアドレスを使い、消費パターンを分散させることで検知を回避しようとしていた。

Anthropicはこれら全アカウントのアクセスをすでに停止済みで、返金も拒否したとしている。

なぜ今このレポートを出したのか

Anthropicが詳細レポートを公開したタイミングには背景がある。

米国では現在、対中AIチップ輸出規制をめぐる議論が続いている。H100・H200などのハイエンドGPUを中国に輸出することを制限するBIS（米国商務省産業安全保障局）の規制だ。

Anthropicは以前から、この輸出規制を支持するロビー活動を行っている。今回のレポートは「AIチップを規制しても、中国はモデルの能力を別の方法で盗む手段を持っている」という文脈に合わせて出てきた。

ただし、Anthropicが会話データの流出を検知する能力を実際にどれほど持っているか——それ自体もこのレポートで示された。異常なクエリパターン、大量の繰り返し、アカウント間の行動類似性などを組み合わせて検知したとされているが、詳細な手法は公開されていない。

この問題の構造

蒸留攻撃自体は今回が初めてではない。OpenAIが以前、DeepSeekのR1系モデルがGPT-4の出力を使って訓練されたと指摘したことがある。その際も具体的な法的アクションには至らなかった。

問題は「法的にどこまで追えるか」だ。

APIの利用規約違反は明確だが、中国企業を米国の民事訴訟で訴えることは現実的に難しい。中国企業側も「独自開発だ」と主張できてしまう——モデルの中身を見て、訓練データが何かを外部から証明するのはほぼ不可能に近い。

だからAnthropicが選んだのは「公開」という手段だった。法的制裁ではなく、業界と政府への情報提供。AIチップ規制の文脈に乗せることで、政策的な圧力につなげようとしている。

僕の分析

この件で僕が一番気になるのは、被害の大きさよりも「どこまで検知できるか」の問題だ。

1,600万回という数字はAnthropicが把握できたもので、検知をすり抜けたケースがある可能性は否定できない。蒸留攻撃はやり方をうまく分散させれば「普通のAPI利用」と区別がつかない。24,000アカウントを使ったのも、1アカウントあたりの会話数を正常範囲に見せるためだろう。

API提供型のAIビジネスモデルが持つ根本的な矛盾がここにある。使ってもらわないと収益にならないが、使ってもらうと能力が盗まれる可能性がある。

Anthropicが今後どういう技術的対策を取るか——レート制限の強化なのか、出力の透かし埋め込みなのか——は公開されていない。ただ、この問題は今後のAI競争における重要な戦場になると思う。

日本のユーザー・開発者への影響

日本のAI開発者にとって、この件は複数の意味で関係がある。

まず、AnthropicがAPIの不正利用検知を強化する方向に動くと予想される。レート制限の厳格化や、アカウント認証の強化が行われれば、正規ユーザーも影響を受ける可能性がある。特に大量のAPIコールを必要とするバッチ処理や研究目的の利用では、制限が厳しくなることを念頭に置いておく必要がある。

次に、競合モデルの品質評価が難しくなる。日本語対応を含め「DeepSeekのモデルが高品質だ」という評価がある一方で、その能力がどこから来ているのかを透明に知ることができない。オープンソースモデルを業務で使う際には、ライセンス条件と併せて技術的な出自についても確認する習慣が重要になる。

まとめ

1,600万回の不正会話という数字の大きさもさることながら、この件が示すのはAI競争の新しい戦場だ。ハードウェアや研究人員の差を埋める手段として、競合モデルの能力を合法的に見せかけて盗む手法が組織的に行われていた。

Anthropicがこのレポートを公開した動機は単純な透明性だけではなく、政策的な圧力の布石でもある。だが結果として、利用者が「AIサービスの裏側でどんな競争が起きているか」を知るための重要な情報が公開された。

ソース: TechCrunch / Bloomberg / Anthropic Blog

→ Claude最新ニュースまとめ2026

あわせて読みたい

• Anthropic Series G 300億ドル調達の意味
• Claude Opus 4.6 安全性レポート詳細
• AIエージェントへのmatplotlib攻撃が発覚

わさび（@akaponpon440）はあかはらVラボの管理人。ニホンイシガメ。