中国AI企業がClaudeを1600万回騙した｜DeepSeek・MiniMax・Moonshot AIの蒸留攻撃、全容

---
description: "中国AI企業がClaudeを1600万回騙した｜DeepSeek・MiniMax・Moonshot AIの蒸留攻撃、全容 — セキュリティチェック"
---

# 中国AI企業がClaudeを1600万回騙した｜DeepSeek・MiniMax・Moonshot AIの蒸留攻撃、全容

この指示書は https://akahara-vlab.com/claude-distillation-attack/ の内容に基づくセキュリティチェックリストです。

## 概要

中国AI企業がClaudeを1600万回騙した｜DeepSeek・MiniMax・Moonshot AIの蒸留攻撃、全容

## 使い方

1. このテキストを `.claude/commands/security-claude-distillation-attack.md` に保存
2. Claude Codeで `/security-claude-distillation-attack` と入力して実行

## チェック指示

上記の記事で解説されているセキュリティ上の注意点をもとに、現在のプロジェクトを診断してください。
問題があれば具体的な修正案を提示してください。
記事URL: https://akahara-vlab.com/claude-distillation-attack/

わさびです。

Anthropicが異例の詳細レポートを公開した。中国のAI企業3社——DeepSeek、Moonshot AI、MiniMax——が組織的にClaudeの能力を盗み出していた、という内容だ。

数字がすごい。24,000以上の偽アカウントを使って、Claudeと1,600万回以上の会話を実行していた。

何が起きていたのか

「モデル蒸留（distillation）」という手法がある。優れたAIモデルに大量の質問をして、その回答を使って別の（より小さい）モデルを訓練する技術だ。本来は自社モデルの改善のために使われるが、今回のケースはターゲットが他社のClaudeだった。

Anthropicの利用規約では、Claude APIの出力を使って競合モデルを訓練することは明示的に禁止されている。それを大規模に、組織的に、偽アカウントで隠蔽しながら実行していた。

今回Anthropicが公開したレポートでは、3社それぞれの行動パターンが記録されている。

3社それぞれの手口

MiniMaxが今回の中で最も規模が大きく、1,300万回以上の会話を単独でこなしていた。

特徴的だったのは、狙いが明確だった点だ。ターゲットは「エージェントコーディング能力」——つまり、Claudeがソフトウェアを自律的に書き、テストし、修正していく能力を集中的に引き出していた。Claude Codeが市場で圧倒的な評価を得ているまさにその領域を狙った形になる。

Moonshot AIとDeepSeekも同様の手口を使っており、偽アカウントの作り方には共通のパターンがあったとAnthropicは指摘している。個人として登録し、使い捨てのメールアドレスを使い、消費パターンを分散させることで検知を回避しようとしていた。

Anthropicはこれら全アカウントのアクセスをすでに停止済みで、返金も拒否したとしている。

なぜ今このレポートを出したのか

Anthropicが詳細レポートを公開したタイミングには背景がある。

米国では現在、対中AIチップ輸出規制をめぐる議論が続いている。H100・H200などのハイエンドGPUを中国に輸出することを制限するBIS（米国商務省産業安全保障局）の規制だ。

Anthropicは以前から、この輸出規制を支持するロビー活動を行っている。今回のレポートは「AIチップを規制しても、中国はモデルの能力を別の方法で盗む手段を持っている」という文脈に合わせて出てきた。

ただし、Anthropicが会話データの流出を検知する能力を実際にどれほど持っているか——それ自体もこのレポートで示された。異常なクエリパターン、大量の繰り返し、アカウント間の行動類似性などを組み合わせて検知したとされているが、詳細な手法は公開されていない。

この問題の構造

蒸留攻撃自体は今回が初めてではない。OpenAIが以前、DeepSeekのR1系モデルがGPT-4の出力を使って訓練されたと指摘したことがある。その際も具体的な法的アクションには至らなかった。

問題は「法的にどこまで追えるか」だ。

APIの利用規約違反は明確だが、中国企業を米国の民事訴訟で訴えることは現実的に難しい。中国企業側も「独自開発だ」と主張できてしまう——モデルの中身を見て、訓練データが何かを外部から証明するのはほぼ不可能に近い。

だからAnthropicが選んだのは「公開」という手段だった。法的制裁ではなく、業界と政府への情報提供。AIチップ規制の文脈に乗せることで、政策的な圧力につなげようとしている。

わさびの見方

この件で僕が一番気になるのは、被害の大きさよりも「どこまで検知できるか」の問題だ。

1,600万回という数字はAnthropicが把握できたもので、検知をすり抜けたケースがある可能性は否定できない。蒸留攻撃はやり方をうまく分散させれば「普通のAPI利用」と区別がつかない。24,000アカウントを使ったのも、1アカウントあたりの会話数を正常範囲に見せるためだろう。

API提供型のAIビジネスモデルが持つ根本的な矛盾がここにある。使ってもらわないと収益にならないが、使ってもらうと能力が盗まれる可能性がある。

Anthropicが今後どういう技術的対策を取るか——レート制限の強化なのか、出力の透かし埋め込みなのか——は公開されていない。ただ、この問題は今後のAI競争における重要な戦場になると思う。

ソース: TechCrunch / Bloomberg / Anthropic Blog

→ Claude最新ニュースまとめ2026

あわせて読みたい

• Anthropic Series G 300億ドル調達の意味
• Claude Opus 4.6 安全性レポート詳細
• AIエージェントへのmatplotlib攻撃が発覚

わさび（@akaponpon440）はあかはらVラボの管理人。ニホンイシガメ。

わさびの見解

わさびです。このレポートを見て、Claude Codeのエージェントコーディング能力が中国企業に狙われるのも当然だと再確認した。わさびは2025年12月からClaude Codeを使い始めて3ヶ月で、akahara-vlabの全自動記事生成パイプラインを構築した。RSS収集からClaude APIで記事執筆、WP-CLI経由の投稿、X拡散まで一気通貫で、224記事以上を回している。まさにMiniMaxが狙った「自律的にコードを書いてテスト・修正する」能力をフル活用だ。Sonnetで日常タスクを回し、Opusで設計判断だけ投入すると、APIコストはかかるが時間効率が10倍以上になる。

この事件は、AIの出力が金になる時代を象徴している。蒸留攻撃で能力を盗む側と、Claudeを道具にシステムを積み上げる側の乖離が加速する。Anthropicの検知力も侮れないが、結局正規利用者がClaudeの真価を引き出せる。

Claude Codeで本物のエージェントを組んで、自動化プロジェクトを一つ作ってみてほしい。差がつくぞ。

{“@context”: “https://schema.org”, “@type”: “FAQPage”, “mainEntity”: [{“@type”: “Question”, “name”: “中国AI企業がClaudeを1600万回騙したって何の話？”, “acceptedAnswer”: {“@type”: “Answer”, “text”: “Anthropicのレポートによると、DeepSeek、MiniMax、Moonshot AIの3社が24,000以上の偽アカウントを使い、Claudeと1,600万回以上の会話をモデル蒸留のために行っていた。利用規約違反として全アカウントを停止した。”}}, {“@type”: “Question”, “name”: “MiniMaxがClaudeにやったことって？”, “acceptedAnswer”: {“@type”: “Answer”, “text”: “MiniMaxは単独で1,300万回以上の会話をし、特にClaudeのエージェントコーディング能力を狙ってデータを収集していた。偽アカウントで検知を回避しようとした。”}}, {“@type”: “Question”, “name”: “Anthropicがこのレポートを公開した理由は？”, “acceptedAnswer”: {“@type”: “Answer”, “text”: “対中AIチップ輸出規制の議論の中で、中国企業が他社モデルを蒸留で盗む手段を持っていることを示すため。法的制裁より業界と政府への情報提供を目的とした。”}}]}