Die große KI-Plünderung: Wie China westliche Modelle live kopiert

Anthropic deckt auf: Drei chinesische KI-Labs extrahierten mit 24.000 Fake-Accounts Claude-Fähigkeiten. Model Distillation wird zur Waffe gegen US-Exportkontrollen – und Safety-Guardrails fallen.

16 Millionen Anfragen. 24.000 gefälschte Accounts. Drei chinesische KI-Labs, die über Monate hinweg systematisch versuchten, die Intelligenz von Claude zu stehlen. Was klingt wie Wirtschaftsspionage im digitalen Zeitalter, ist laut Anthropic Realität – und zeigt, wie verwundbar selbst die fortschrittlichsten KI-Systeme sind. Die Methode heißt Model Distillation, und sie ist erschreckend effektiv: Ein schwächeres „Student“-Modell wird mit den Outputs eines überlegenen „Teacher“-Modells – in diesem Fall Claude – gefüttert, bis es dessen Fähigkeiten nachahmt. DeepSeek, Moonshot AI und MiniMax haben diese Technik industrialisiert.

Sie zwangen Claude, seine interne Logik schrittweise zu erklären, extrahierten sogenannte Chain-of-Thought-Daten und umgingen so Jahre teurer Forschung. Der Clou: Sie mischten die Anfragen mit legitimen Requests und nutzten Proxy-Netzwerke – „Hydra Cluster“ genannt –, um Blockaden zu unterlaufen. Claude ist in China nicht kommerziell verfügbar, aber das interessiert niemanden.

Nationale Sicherheit als Kollateralschaden

DeepSeek allein feuerte über 13 Millionen Exchanges ab, fokussiert auf Agentic Coding und Tool-Orchestration. Moonshot AI legte 3,4 Millionen Interactions nach, um Reasoning, Computer-Use und Vision zu kopieren. Eine dritte, kleinere Kampagne mit 150.000 Anfragen zielte auf Rubric-Grading und synchronisierte den Traffic via gemeinsam genutzte Zahlungsmethoden. Das Perfide: Diese destillierten Modelle verlieren ihre Safety-Guardrails. Anthropic warnt, dass sie für Cyberangriffe, Biowaffen-Forschung oder Militärsysteme missbraucht werden könnten.

Claude wurde sogar genutzt, um zensursichere Antworten auf sensible Themen wie Dissidenten oder Autoritarismus zu erzeugen – Fähigkeiten, die Anthropic bewusst einschränkt. Die geopolitische Dimension ist brisant: Chinesische Labs bypassen damit US-Exportkontrollen, die den Zugang zu fortschrittlicher KI-Technologie regulieren sollen. Anthropic korrelierte IPs, Metadata und Infrastruktur mit Lab-Mitarbeitern und legte Beweise vor. DeepSeek pivotierte innerhalb von 24 Stunden nach Claude-Updates – ein Zeichen für hochorganisierte Operationen.

IP-Schutz im KI-Zeitalter: Mission Impossible?

Das Problem: Blockieren ist fast unmöglich. Die Proxy-Netzwerke wechseln ständig, das hohe Volumen repetitiver Prompts versteckt sich im legitimen Traffic.

Anthropic setzt auf Behavioral Fingerprinting und Traffic-Klassifizierer, doch die Angreifer sind einen Schritt voraus. Die Ironie: Die destillierten „Zombie-Modelle“ bleiben abhängig von US-Intellectual Property, schaffen aber Sicherheitslücken, die niemand kontrollieren kann.

Business Punk Check

Model Distillation ist die dunkle Seite der KI-Demokratisierung – billig, effektiv, illegal. Anthropics Enthüllung zeigt, dass IP-Schutz bei KI nicht funktioniert, solange APIs öffentlich zugänglich sind. Die Frage ist nicht, ob andere folgen, sondern wie schnell. Für Unternehmen heißt das: Wer auf proprietäre KI setzt, muss mit Kopien rechnen.

Geopolitisch wird es hässlich – US-Exportkontrollen sind Papier, wenn China Claude einfach klont. Die Lösung? Multi-Layer-Defenses, API-Rate-Limits, forensische Tools. Aber ehrlich: Das Rennen ist gelaufen, bevor die Blockaden stehen. Der wahre Wettbewerbsvorteil liegt künftig nicht in der Technologie, sondern in der Geschwindigkeit ihrer Iteration. Wer schneller innoviert als Angreifer kopieren können, gewinnt.

Häufig gestellte Fragen

Was ist Model Distillation und warum ist es gefährlich?

Model Distillation trainiert ein schwächeres Modell mit Outputs eines stärkeren Systems. Angreifer extrahieren so Know-how ohne eigene Forschung – illegal, kostengünstig, ohne Safety-Mechanismen.

Wie erkannte Anthropic die Angriffe?

Durch Behavioral Fingerprinting: Hohes Anfrage-Volumen, repetitive Prompts, Proxy-Netzwerke und Korrelation von IPs mit Lab-Mitarbeitern. DeepSeek pivotierte 24 Stunden nach Claude-Updates.

Welche Sicherheitsrisiken entstehen?

Destillierte Modelle verlieren Safety-Guardrails und könnten für Cyberangriffe, Biowaffen-Forschung oder zensursichere Systeme missbraucht werden – ohne Kontrolle durch die Ursprungs-Entwickler.

Können US-Exportkontrollen das verhindern?

Nein. Proxy-Netzwerke umgehen regionale Blockaden, und Model Distillation macht physische Chip-Restriktionen irrelevant. Die Kontrollen greifen zu spät – die Technologie ist bereits kopiert.

Quellen: Artificialintelligence-news, Createwith, C-sharpcorner, Anthropic, AI News, CNET