Wie klaut man eine KI? Anthropic beschuldigt DeepSeek, Moonshot und MiniMax

Anthropic beschuldigt drei chinesische KI-Labore, ihren Assistenten Claude systematisch «ausgespresst» zu haben – 16 Millionen Gespräche, 24'000 gefälschte Accounts, und das Ziel: die eigenen Modelle auf Kosten der Konkurrenz besser zu machen.

Der US-amerikanische KI-Hersteller Anthropic hat am 23. Februar öffentlich angeklagt, dass die chinesischen KI-Firmen DeepSeek, Moonshot AI (bekannt für die Kimi-Modelle) und MiniMax koordinierte «Distillationsangriffe» auf seinen Assistenten Claude durchgeführt haben. Konkret: Die drei Firmen eröffneten rund 24'000 gefälschte Benutzerkonten und generierten damit über 16 Millionen Gespräche mit Claude – alles, um die Antworten als Trainingsdaten für ihre eigenen Modelle zu verwenden. MiniMax war mit über 13 Millionen Anfragen der aktivste Akteur, Moonshot AI kam auf 3,4 Millionen und DeepSeek auf über 150'000.

Was ist Distillation überhaupt?

Die Technik selbst ist legitim und weit verbreitet: Grosse KI-Labore nutzen «Distillation» (englisch für Destillation), um aus einem starken, teuren Modell eine kleinere, günstigere Version herzustellen – indem das kleinere Modell von den Antworten des grossen lernt. Stell dir vor, ein Schüler schreibt sich alle Antworten eines Professors ab und wird dadurch selbst klüger. Das Problem: Wenn ein Konkurrent dasselbe mit dem Modell eines anderen Unternehmens macht – ohne Erlaubnis, über gefälschte Accounts, im industriellen Massstab – ist die Grenze zur Wirtschaftsspionage überschritten.

Was wurde konkret geklaut?

Die Angriffe zielten auf Claudes stärkste Fähigkeiten: logisches Denken, Code-Schreiben und die Nutzung externer Tools (sogenannte «Agentic Capabilities» – die Fähigkeit, selbständig Aufgaben über mehrere Schritte zu erledigen). Besonders brisant: Anthropic beobachtete, dass DeepSeek Claude auch damit beauftragte, «zensurkonforme» Alternativen zu politisch heiklen Fragen zu formulieren – etwa zu Dissidenten oder chinesischen Parteiführern. Das Ziel: DeepSeeks eigenes Modell darauf zu trainieren, solche Themen geschickt zu umgehen.

Anthropic beschreibt die Vorgehensweise als ausgeklügelt: Die Angreifer nutzten sogenannte «Hydra-Cluster» – riesige Netzwerke aus gefälschten Accounts, die den Traffic auf verschiedene API-Schlüssel und Cloud-Plattformen verteilten, um möglichst lange unentdeckt zu bleiben. Als Anthropic Accounts sperrte, öffneten die Labore sofort neue. In einem Fall verwaltete ein einzelnes Proxy-Netzwerk über 20'000 gefälschte Accounts gleichzeitig. Besonders aufschlussreich: Als Anthropic während MiniMaxs aktivem Angriff ein neues Modell veröffentlichte, schwenkte MiniMax innerhalb von 24 Stunden um und richtete fast die Hälfte seines Traffics auf das neueste System.

Einordnung: Geopolitik trifft KI-Wettbewerb

Anthropic steht mit dieser Anklage nicht allein. OpenAI informierte US-Gesetzgeber Anfang Februar in einem offenen Brief über ähnliche Vorwürfe gegen DeepSeek, und Google meldete Distillationsangriffe auf sein Gemini-Modell. Die Anschuldigungen fügen sich in eine breitere geopolitische Debatte ein: Die USA diskutieren, ob sie den Export von Nvidia-Chips nach China weiter einschränken sollen. Anthropic argumentiert, dass genau diese Chips die Angriffe erst in diesem Ausmass ermöglichten – und plädiert damit implizit für schärfere Exportkontrollen.

Ob die Anklage primär aus Sicherheitsbedenken oder auch aus Wettbewerbsinteressen resultiert, bleibt umstritten. Erik Cambria, KI-Professor an der Nanyang Technological University, sagte gegenüber CNBC: «Die Grenze zwischen legitimer Nutzung und adversarialem Missbrauch ist oft verschwommen.» DeepSeek, Moonshot AI und MiniMax haben sich bisher nicht öffentlich geäussert.

Für dich als Claude- oder ChatGPT-Nutzer hat das vorerst keine direkten Auswirkungen. Langfristig aber zeigt der Fall: Der globale KI-Wettbewerb wird nicht nur in Rechenzentren ausgefochten – sondern auch mit gefälschten Accounts, Proxy-Netzwerken und 16 Millionen heimlichen Gesprächen.