Anthropic beschuldigt drei chinesische KI-Labore, ihren Assistenten Claude mit 16 Millionen gefälschten Gesprächen systematisch ausgespresst zu haben – um die eigenen Modelle schneller besser zu machen.
Drei chinesische KI-Firmen extrahierten Claudes Fähigkeiten via 24'000 gefälschter Accounts im industriellen Massstab. Der Fall zeigt: Der globale KI-Wettbewerb wird nicht nur in Rechenzentren ausgefochten.
Anthropic beschuldigt drei chinesische KI-Labore, ihren Assistenten Claude systematisch «ausgespresst» zu haben – 16 Millionen Gespräche, 24'000 gefälschte Accounts, und das Ziel: die eigenen Modelle auf Kosten der Konkurrenz besser zu machen.
Der US-amerikanische KI-Hersteller Anthropic hat am 23. Februar öffentlich angeklagt, dass die chinesischen KI-Firmen DeepSeek, Moonshot AI (bekannt für die Kimi-Modelle) und MiniMax koordinierte «Distillationsangriffe» auf seinen Assistenten Claude durchgeführt haben. Konkret: Die drei Firmen eröffneten rund 24'000 gefälschte Benutzerkonten und generierten damit über 16 Millionen Gespräche mit Claude – alles, um die Antworten als Trainingsdaten für ihre eigenen Modelle zu verwenden. MiniMax war mit über 13 Millionen Anfragen der aktivste Akteur, Moonshot AI kam auf 3,4 Millionen und DeepSeek auf über 150'000.
Die Technik selbst ist legitim und weit verbreitet: Grosse KI-Labore nutzen «Distillation» (englisch für Destillation), um aus einem starken, teuren Modell eine kleinere, günstigere Version herzustellen – indem das kleinere Modell von den Antworten des grossen lernt. Stell dir vor, ein Schüler schreibt sich alle Antworten eines Professors ab und wird dadurch selbst klüger. Das Problem: Wenn ein Konkurrent dasselbe mit dem Modell eines anderen Unternehmens macht – ohne Erlaubnis, über gefälschte Accounts, im industriellen Massstab – ist die Grenze zur Wirtschaftsspionage überschritten.
Die Angriffe zielten auf Claudes stärkste Fähigkeiten: logisches Denken, Code-Schreiben und die Nutzung externer Tools (sogenannte «Agentic Capabilities» – die Fähigkeit, selbständig Aufgaben über mehrere Schritte zu erledigen). Besonders brisant: Anthropic beobachtete, dass DeepSeek Claude auch damit beauftragte, «zensurkonforme» Alternativen zu politisch heiklen Fragen zu formulieren – etwa zu Dissidenten oder chinesischen Parteiführern. Das Ziel: DeepSeeks eigenes Modell darauf zu trainieren, solche Themen geschickt zu umgehen.
Anthropic beschreibt die Vorgehensweise als ausgeklügelt: Die Angreifer nutzten sogenannte «Hydra-Cluster» – riesige Netzwerke aus gefälschten Accounts, die den Traffic auf verschiedene API-Schlüssel und Cloud-Plattformen verteilten, um möglichst lange unentdeckt zu bleiben. Als Anthropic Accounts sperrte, öffneten die Labore sofort neue. In einem Fall verwaltete ein einzelnes Proxy-Netzwerk über 20'000 gefälschte Accounts gleichzeitig. Besonders aufschlussreich: Als Anthropic während MiniMaxs aktivem Angriff ein neues Modell veröffentlichte, schwenkte MiniMax innerhalb von 24 Stunden um und richtete fast die Hälfte seines Traffics auf das neueste System.
Anthropic steht mit dieser Anklage nicht allein. OpenAI informierte US-Gesetzgeber Anfang Februar in einem offenen Brief über ähnliche Vorwürfe gegen DeepSeek, und Google meldete Distillationsangriffe auf sein Gemini-Modell. Die Anschuldigungen fügen sich in eine breitere geopolitische Debatte ein: Die USA diskutieren, ob sie den Export von Nvidia-Chips nach China weiter einschränken sollen. Anthropic argumentiert, dass genau diese Chips die Angriffe erst in diesem Ausmass ermöglichten – und plädiert damit implizit für schärfere Exportkontrollen.
Ob die Anklage primär aus Sicherheitsbedenken oder auch aus Wettbewerbsinteressen resultiert, bleibt umstritten. Erik Cambria, KI-Professor an der Nanyang Technological University, sagte gegenüber CNBC: «Die Grenze zwischen legitimer Nutzung und adversarialem Missbrauch ist oft verschwommen.» DeepSeek, Moonshot AI und MiniMax haben sich bisher nicht öffentlich geäussert.
Für dich als Claude- oder ChatGPT-Nutzer hat das vorerst keine direkten Auswirkungen. Langfristig aber zeigt der Fall: Der globale KI-Wettbewerb wird nicht nur in Rechenzentren ausgefochten – sondern auch mit gefälschten Accounts, Proxy-Netzwerken und 16 Millionen heimlichen Gesprächen.
Drei chinesische KI-Firmen extrahierten Claudes Fähigkeiten via 24'000 gefälschter Accounts im industriellen Massstab. Der Fall zeigt: Der globale KI-Wettbewerb wird nicht nur in Rechenzentren ausgefochten.
Anthropic-CEO Amodei warnt: Sechs bis zwölf Monate Zeit, bevor chinesische KI gleichzieht. Mythos liefert nicht nur Schwachstellen, sondern den lauffähigen Exploit gleich mit.
Patch-Geschwindigkeit wird zum Wettbewerbsfaktor – wer Updates über Tage liegen lässt, fängt sich KI-generierte Exploits ein.
Das Center for AI Standards and Innovation bekommt Pre-Deployment-Zugriff auf Frontier-Modelle der drei Labs. Was heute Goodwill ist, wird über Pentagon-Verträge bald zur Norm.
Aus freiwilligen Sicherheits-Tests werden über Pentagon-Verträge Quasi-Markteintritts-Bedingungen.
Anthropic und OpenAI haben am selben Tag konkurrierende Enterprise-Vehikel mit Wall Street verkündet. Anthropic baut mit Blackstone, Goldman und Hellman & Friedman eine 1,5-Mrd.-Firma; OpenAI startet mit TPG, Bain und SoftBank «The Deployment Company» mit 10 Mrd. Bewertung – und garantiert Investoren 17,5% Rendite pro Jahr.
Beide Labs schalten die KI-Beratungsindustrie aus und verkaufen ein Stück ihrer Enterprise-Marge an Private-Equity-Häuser, um direkten Zugang zu deren Portfolio-Firmen zu bekommen.
