Anthropic ha accusato operatori collegati ad Alibaba e al laboratorio Qwen di avere condotto una campagna di estrazione non autorizzata delle capacità dei modelli Claude attraverso una pratica nota come distillazione. Secondo la lettera inviata dalla società statunitense ai senatori Tim Scott ed Elizabeth Warren, l’operazione avrebbe generato oltre 28,8 milioni di interazioni con Claude tra il 22 aprile e il 5 giugno 2026, usando quasi 25.000 account fraudolenti.
La distillazione è una tecnica legittima quando viene applicata dal proprietario di un modello o con autorizzazione. Consiste nell’usare le risposte di un modello più grande, costoso e performante, chiamato teacher, per addestrare un modello più piccolo, chiamato student. Lo student non riceve soltanto una risposta finale corretta o errata: può essere addestrato su grandi raccolte di prompt e output, acquisendo pattern linguistici, modalità di ragionamento, strutture di codice, strategie di classificazione e capacità di seguire istruzioni che altrimenti richiederebbero un addestramento molto più costoso.
Nello sviluppo normale di un sistema AI, la distillazione serve a ridurre i costi di inferenza, portare modelli più efficienti su dispositivi con risorse limitate o creare versioni specializzate per un dominio. Un modello generalista con centinaia di miliardi di parametri può essere usato per produrre dati sintetici e supervisionare un modello più compatto, destinato per esempio a un assistente interno, a un’applicazione industriale o a un dispositivo edge. Il problema contestato da Anthropic non è quindi la tecnica in sé, ma l’eventuale raccolta sistematica di output di Claude senza autorizzazione, attraverso identità e account creati per aggirare i limiti di accesso.
La società sostiene che la campagna avrebbe puntato in particolare su due aree ad alto valore: software engineering e agentic reasoning. Nel primo caso, l’obiettivo è ottenere esempi di codice, debugging, spiegazioni di architetture software, procedure di test e correzioni di vulnerabilità. Nel secondo, il valore riguarda la capacità del modello di affrontare compiti composti da più passaggi, pianificare una sequenza di azioni, usare strumenti, verificare risultati intermedi e proseguire verso un obiettivo senza limitarsi a una singola risposta testuale.
Per addestrare un modello concorrente, milioni di richieste possono essere organizzate come un dataset artificiale. I prompt vengono costruiti per coprire problemi matematici, programmazione, comprensione di documenti, uso di API, task agentici e casi limite. Le risposte del modello bersaglio vengono poi filtrate, classificate e trasformate in esempi di fine-tuning. Se il processo è sufficientemente ampio, il modello student può migliorare in aree specifiche senza dover riprodurre integralmente il costo di raccolta dati, addestramento di base e post-training sostenuto dal creatore del modello originario.
Anthropic descrive il caso come la più ampia operazione di distillazione non autorizzata rilevata contro i propri sistemi. Le accuse restano dichiarazioni della società e non costituiscono, allo stato attuale, un accertamento giudiziario pubblico; Alibaba non aveva diffuso una risposta immediata alle richieste di commento riportate dalle agenzie internazionali. Il dato quantitativo indicato da Anthropic è però rilevante: 28,8 milioni di scambi rappresentano un volume molto superiore alle campagne che la stessa azienda aveva attribuito in precedenza a DeepSeek, Moonshot AI e MiniMax.
Il caso mostra perché l’output di un modello frontier viene trattato sempre più come un asset tecnico da proteggere, non soltanto come il risultato visibile di un servizio online. Le API, le chat e le interfacce web permettono a un utente di ottenere risposte, ma una raccolta automatizzata e coordinata su larga scala può trasformare quelle risposte in materiale di addestramento. La protezione non riguarda quindi soltanto i pesi del modello, che restano nei data center del fornitore, ma anche il comportamento osservabile del sistema.
Per rilevare queste operazioni, i fornitori combinano analisi dei pattern di utilizzo, velocità e distribuzione delle richieste, correlazioni tra account, indirizzi IP, impronte del browser, infrastrutture di rete e contenuto dei prompt. Le campagne di distillazione tendono a mostrare comportamenti diversi da un normale uso umano: elevata ripetitività, sequenze automatizzate, prompt costruiti in serie, molteplici account con schemi convergenti e richieste concentrate su benchmark, codice o workflow ad alta complessità.
La vicenda si colloca nel confronto tra Stati Uniti e Cina sul controllo delle capacità AI avanzate. In passato, il dibattito era concentrato soprattutto sui chip, sulle GPU e sull’accesso ai data center. La denuncia di Anthropic sposta l’attenzione anche sugli output dei modelli e sulle interfacce con cui tali modelli vengono utilizzati. Se l’addestramento tramite distillazione diventa un canale efficace per trasferire capacità da un modello all’altro, il controllo dell’accesso deve includere autenticazione, limiti d’uso, monitoraggio delle anomalie, gestione delle API e collaborazione tra fornitori cloud, piattaforme AI e autorità pubbliche.
L’episodio riguarda quindi una questione tecnica precisa: la possibilità di trasformare milioni di interazioni con un modello avanzato in un dataset capace di trasferirne una parte delle competenze a sistemi alternativi. Per Anthropic, questa pratica avrebbe permesso di ridurre i tempi e i costi necessari per avvicinarsi alle capacità di Claude. Per Alibaba e Qwen, le accuse dovranno essere affrontate sul piano dei fatti, della provenienza dei dati e dell’eventuale collegamento tra le attività contestate e l’addestramento dei modelli.