Anthropic 指控阿里，真正的战场是 API 里的模型边境

凌晨 3:36，北京还没天亮，Bloomberg 抛出了一条比普通公司纠纷更重的 AI 新闻：Anthropic 指控阿里巴巴相关的 Qwen 实验室通过约 2.5 万个欺诈账号访问 Claude 2,880 万次，目标是软件工程和 agentic reasoning 等能力。Anthropic 把这称为中国公司迄今最大规模的「搭便车」行为；Bloomberg 说，这一指控来自 Anthropic 发给多名美国参议员和白宫官员的信。1

这件事的意义不在于又多了一场口水仗。它把前沿模型竞争中最难管的一层暴露出来：模型能力已经不只藏在芯片、权重和论文里，也藏在一次次 API 对话里。只要能大规模、低成本、长时间地问一个更强模型，能力就能被萃取、改写、压缩，最后变成另一个模型的训练燃料。

偷用 API 的传统问题是账单、额度、账号风险。distillation 更麻烦，因为它把服务访问变成了训练数据生产。

Anthropic 今年 2 月解释过这种攻击的基本形态：攻击者通过大量账号访问 Claude，收集输出，再用这些输出训练较弱模型。它还称，相关攻击集中在 agentic reasoning、tool use 和 coding 等能力上，并通过代理服务、欺诈账号和相似提示词结构规避检测。2

这里有一个反直觉点：单个提示词看起来可以很正常。一个用户要求模型做代码审查、写测试、分析数据，并不天然可疑。可疑的是模式：成千上万个账号、相似结构、集中目标、持续高频、输出直接可被训练。换句话说，边界不在某一句 prompt 里，而在行为轨迹里。

这会让前沿模型公司的风控从内容审核转向身份审核。过去模型安全主要盯「用户问了什么」。接下来还要盯「谁在问、通过哪些账号问、问法是否在跨账号协同、输出是否被组织成训练集」。这是云服务、支付、账号风控和国家安全合规的混合问题，不再是单纯的模型产品问题。

美国过去几年最重的 AI 管制工具主要围绕两类对象：先进芯片和模型权重。2025 年 1 月，美国商务部在《人工智能扩散框架》中加入了先进计算芯片和部分先进 AI 模型权重的管制设计。5 2025 年 5 月，商务部又宣布撤销拜登时期的 AI Diffusion Rule，同时强调会强化海外 AI 芯片出口管制，并发布关于美国 AI 芯片被用于中国模型训练和推理的风险提示。6

这些规则假设能力主要随硬件、权重或数据中心迁移。distillation 攻击打破了这个假设。模型权重没有出境，芯片也没有被直接交付给受限主体；能力却可以通过数千万次推理响应慢慢泄出。API 不是货柜，海关式监管很难直接套上去。

Anthropic 对 Alibaba 的指控如果成立，政策含义会很清楚：前沿模型访问本身会被当成受管制资源。美国政府和模型公司要争的不只是 GPU 流向，还包括谁能调用美国模型、以什么身份调用、调用频率和任务分布是否构成能力转移。

这会给行业带来一个不舒服的后果。模型公司会提高 KYC、企业认证、地区限制、异常流量审查和输出监控强度；开发者会感到 API 越来越像金融账户，开通难、额度严、误伤多。好用的全球化 API，正在被地缘政治重新切分。

阿里巴巴的 Qwen 不是一个普通开源模型系列。Qwen3-Coder 官方文章称，480B 总参数、35B 激活参数的 Qwen3-Coder-480B-A35B-Instruct 支持 256K 原生上下文，并可扩展到 100 万 token；它面向 agentic coding、browser-use 和 tool-use，官方还说其表现可与 Claude Sonnet 4 相比。7

Qwen3.7-Max 的官方叙述更进一步：它被定义为「agent era」的基础模型，能够写代码、调试、自动化办公流程，并在数百到上千步的任务中保持自主执行。该文还称，Qwen3.7-Max 可跨 Claude Code、OpenClaw、Qwen Code 等 agent 框架保持一致表现。4

所以 Bloomberg 文章里「软件工程」和「agentic reasoning」两个目标词非常关键。它们不是泛泛的模型能力，而是下一阶段 AI 产品化最值钱的能力：能否把模型从聊天窗口推向真实任务，能否在工具环境中规划、执行、纠错，能否把代码库、浏览器、文件系统和企业工作流串起来。

如果一家实验室能用 API 输出补齐这部分能力，收益不是论文分数上升几个点，而是产品曲线缩短几个月。distillation 的吸引力就在这里：它让后进者绕过一部分数据、RL 环境、人工评估和试错成本。它不等于复制一个模型，但足以把差距压小。

学术界对这个问题并不乐观。2026 年 3 月的 DistillGuard 论文把 LLM 知识蒸馏攻击描述为：攻击者查询专有模型 API，收集响应，再训练较小、较便宜的学生模型以逼近老师模型能力。论文测试了输出扰动、数据投毒和信息节流三类防御，结论是多数输出层防御对朴素攻击者也不够有效；移除 chain-of-thought 会显著削弱数学推理蒸馏，但代码生成仍基本不受影响。8

这解释了为什么 Anthropic 的对策重点不只在改输出。它在 2 月文章中列出的回应包括行为指纹、跨账号协同检测、访问控制、情报共享，以及降低模型输出被非法蒸馏效率的产品/API/模型级防护。2

真正难的地方是取舍。让输出更短、更少推理痕迹，可以减少训练信号，也会伤害正常开发者。把账户审核做得更严，可以挡住代理网络，也会挡住跨国创业团队、研究者和小公司。对模型公司来说，安全边际越高，产品开放性越低；产品开放性越高，能力泄漏面越大。

这不是 Anthropic 一家的难题。只要最强模型还通过 API 服务世界，distillation 就会成为前沿 AI 的常态风险。OpenAI、Google、Anthropic、xAI 和中国头部实验室都会面对同一组问题：谁是客户，谁是竞争对手，谁是披着客户身份的训练数据采集器。

这条新闻的核心判断很直接：前沿 AI 的边境正在从硬件扩展到访问权。芯片管制仍然重要，模型权重管制也仍然重要，但最微妙的战场会出现在 API 层。

接下来会出现三种变化。

第一，模型公司会把大客户准入做成更强的信任体系。地区、所有权、支付路径、调用模式、代理服务、账号关联都会成为风险变量。Anthropic 的支持地区政策已经把商业 API 和 Claude.ai 的可用地区列成单独规则，并保留对不符合支持地区政策的实体拒绝服务的权利。9

第二，云厂商会被卷入模型安全。distillation 攻击需要账号、代理、支付、算力和流量通道。只靠模型公司封号不够，云平台、支付网络和企业身份服务会成为防线的一部分。

第三，开源模型阵营会承受更高的证明成本。一个强开源模型如果在某些能力上突然逼近闭源前沿模型，外界会追问训练数据、API 输出、合成数据和评测环境的来源。清白不能靠口号证明，只能靠更细的训练披露、审计和可复核基准。

对读者最该关注的不是 Alibaba 会不会公开反驳，也不是 Anthropic 是否能拿出全部证据。更重要的问题是：如果前沿模型能力能经由 API 慢慢迁移，那么 AI 行业的开放接口会变少，跨境调用会变难，模型能力本身会越来越像一种受监管的战略资源。