Anthropic beschuldigt drei chinesische KI-Labore, ihren Assistenten Claude mit 16 Millionen gefälschten Gesprächen systematisch ausgespresst zu haben – um die eigenen Modelle schneller besser zu machen.
Drei chinesische KI-Firmen extrahierten Claudes Fähigkeiten via 24'000 gefälschter Accounts im industriellen Massstab. Der Fall zeigt: Der globale KI-Wettbewerb wird nicht nur in Rechenzentren ausgefochten.
Anthropic beschuldigt drei chinesische KI-Labore, ihren Assistenten Claude systematisch «ausgespresst» zu haben – 16 Millionen Gespräche, 24'000 gefälschte Accounts, und das Ziel: die eigenen Modelle auf Kosten der Konkurrenz besser zu machen.
Der US-amerikanische KI-Hersteller Anthropic hat am 23. Februar öffentlich angeklagt, dass die chinesischen KI-Firmen DeepSeek, Moonshot AI (bekannt für die Kimi-Modelle) und MiniMax koordinierte «Distillationsangriffe» auf seinen Assistenten Claude durchgeführt haben. Konkret: Die drei Firmen eröffneten rund 24'000 gefälschte Benutzerkonten und generierten damit über 16 Millionen Gespräche mit Claude – alles, um die Antworten als Trainingsdaten für ihre eigenen Modelle zu verwenden. MiniMax war mit über 13 Millionen Anfragen der aktivste Akteur, Moonshot AI kam auf 3,4 Millionen und DeepSeek auf über 150'000.
Die Technik selbst ist legitim und weit verbreitet: Grosse KI-Labore nutzen «Distillation» (englisch für Destillation), um aus einem starken, teuren Modell eine kleinere, günstigere Version herzustellen – indem das kleinere Modell von den Antworten des grossen lernt. Stell dir vor, ein Schüler schreibt sich alle Antworten eines Professors ab und wird dadurch selbst klüger. Das Problem: Wenn ein Konkurrent dasselbe mit dem Modell eines anderen Unternehmens macht – ohne Erlaubnis, über gefälschte Accounts, im industriellen Massstab – ist die Grenze zur Wirtschaftsspionage überschritten.
Die Angriffe zielten auf Claudes stärkste Fähigkeiten: logisches Denken, Code-Schreiben und die Nutzung externer Tools (sogenannte «Agentic Capabilities» – die Fähigkeit, selbständig Aufgaben über mehrere Schritte zu erledigen). Besonders brisant: Anthropic beobachtete, dass DeepSeek Claude auch damit beauftragte, «zensurkonforme» Alternativen zu politisch heiklen Fragen zu formulieren – etwa zu Dissidenten oder chinesischen Parteiführern. Das Ziel: DeepSeeks eigenes Modell darauf zu trainieren, solche Themen geschickt zu umgehen.
Anthropic beschreibt die Vorgehensweise als ausgeklügelt: Die Angreifer nutzten sogenannte «Hydra-Cluster» – riesige Netzwerke aus gefälschten Accounts, die den Traffic auf verschiedene API-Schlüssel und Cloud-Plattformen verteilten, um möglichst lange unentdeckt zu bleiben. Als Anthropic Accounts sperrte, öffneten die Labore sofort neue. In einem Fall verwaltete ein einzelnes Proxy-Netzwerk über 20'000 gefälschte Accounts gleichzeitig. Besonders aufschlussreich: Als Anthropic während MiniMaxs aktivem Angriff ein neues Modell veröffentlichte, schwenkte MiniMax innerhalb von 24 Stunden um und richtete fast die Hälfte seines Traffics auf das neueste System.
Anthropic steht mit dieser Anklage nicht allein. OpenAI informierte US-Gesetzgeber Anfang Februar in einem offenen Brief über ähnliche Vorwürfe gegen DeepSeek, und Google meldete Distillationsangriffe auf sein Gemini-Modell. Die Anschuldigungen fügen sich in eine breitere geopolitische Debatte ein: Die USA diskutieren, ob sie den Export von Nvidia-Chips nach China weiter einschränken sollen. Anthropic argumentiert, dass genau diese Chips die Angriffe erst in diesem Ausmass ermöglichten – und plädiert damit implizit für schärfere Exportkontrollen.
Ob die Anklage primär aus Sicherheitsbedenken oder auch aus Wettbewerbsinteressen resultiert, bleibt umstritten. Erik Cambria, KI-Professor an der Nanyang Technological University, sagte gegenüber CNBC: «Die Grenze zwischen legitimer Nutzung und adversarialem Missbrauch ist oft verschwommen.» DeepSeek, Moonshot AI und MiniMax haben sich bisher nicht öffentlich geäussert.
Für dich als Claude- oder ChatGPT-Nutzer hat das vorerst keine direkten Auswirkungen. Langfristig aber zeigt der Fall: Der globale KI-Wettbewerb wird nicht nur in Rechenzentren ausgefochten – sondern auch mit gefälschten Accounts, Proxy-Netzwerken und 16 Millionen heimlichen Gesprächen.
Anthropic hat drei interne Teams zum «Anthropic Institute» zusammengelegt — einer Denkfabrik unter Mitgründer Jack Clark, die erforschen soll, wie KI Arbeit und Gesellschaft verändert. Erstes Projekt: ein fortlaufender «Economic Index».
Anthropic will mit einer eigenen Denkfabrik die KI-Debatte mitgestalten — und gleichzeitig seine Position im Streit mit dem Pentagon stärken.
Das US-Verteidigungsministerium stuft Anthropic als «Supply-Chain-Risiko» ein, weil das Unternehmen KI-Sicherheitsprinzipien nicht aufgeben will. Google übernimmt mit Gemini die Pentagon-Plattform – Anthropic klagt vor zwei US-Gerichten.
Anthropic wird vom Pentagon bestraft, weil es rote Linien bei Massenüberwachung und autonomen Waffen nicht streichen will – Google füllt die Lücke, während Microsoft und 37 Forscher Anthropic vor Gericht unterstützen.
Anthropic hat am 9. März zwei Bundesgerichtsklagen gegen das Pentagon eingereicht. Der Grund: Die Einstufung als «Supply Chain Risk», weil das Unternehmen die uneingeschränkte militärische Nutzung von Claude ablehnte. Es ist die bisher grösste Konfrontation zwischen einem KI-Unternehmen und der US-Regierung.
Anthropic riskiert Milliardenumsätze, weil es die militärische Nutzung von Claude einschränkt – und zieht dafür vor Gericht.
