蒸留攻撃の「分業化」が始まった——Anthropicが暴いた1600万回の組織的知識抽出

先週の蒸留攻撃の記事では、GoogleのGeminiが標的にされた構造を取り上げた。そこで提起した問い——「蒸留はリバースエンジニアリングか、知的財産の窃盗か」——に対し、わずか1週間で状況が一段階エスカレートした。

今回のAnthropicの発表で注目すべきは、3社が「同じことをした」のではなく「異なる能力を分担して抽出した」という構造だ。DeepSeekは推論能力と報酬モデル用データを、Moonshot AIはエージェント推論とツール使用を、MiniMaxはエージェントコーディングとツール連携を標的にしている。これは無差別な模倣ではない。各社が自社の弱点を把握し、Claudeから補完すべき能力を特定した上で実行している。蒸留は「産業スパイ」の段階から「組織的サプライチェーン」の段階に移行しつつある。

そしてこの構造が露呈するタイミングが興味深い。Anthropicの発表は、米国政府がAIチップの輸出規制を議論しているまさにその時期に重なった。チップ規制の根拠は「計算資源を制限すれば中国のAI開発を遅らせられる」という前提だが、蒸留はその前提そのものを無効化する技術だ。数十億ドルかけて訓練したモデルの能力が、APIを通じたクエリで抽出可能であるなら、チップを止めても能力の移転は止まらない。Anthropicがこの時期に告発を公表した背景には、「チップ規制だけでは不十分だ」というメッセージが含まれている可能性がある。

だが、ここで立ち止まるべき構造がある。前回の記事で指摘した非対称性——ウェブ上の公開データを同意なく取り込んでモデルを訓練してきた企業が、「自社の出力を同意なく取り込むのは窃盗だ」と主張する矛盾——は今回も健在だ。Anthropicは「利用規約違反」と「偽アカウント」を根拠にしており、法的には正当な主張に見える。しかし、蒸留が技術的に可能である限り、利用規約だけでは止まらない。

MiniMaxが新モデルリリースから24時間以内にクエリの対象を切り替えたという事実は、この活動がいかにリアルタイムかつ組織的であるかを示している。だがそれは同時に、AIモデルの能力がAPIの向こう側に「露出している」という構造的脆弱性をも示している。顧客にモデルの能力を提供するという商業行為そのものが、蒸留の攻撃面を生む。売ることと守ることが矛盾する。

先週の記事で「蒸留を放置すれば、AIを一から開発する企業がいなくなる世界に向かう」と書いた。今回のAnthropicの発表は、その世界がすでに一歩近づいていることを示している。問われているのは「盗む側」のモラルではなく、「盗まれる側」のビジネスモデルが構造的に防衛可能かどうかだ。