今年2月份，Anthropic发了一份“详细报告”，指责DeepSeek、月之暗面和MiniMax三家公司对Claude发起了大规模“蒸馏攻击”。报告里写得事无巨细，数字也很具体：2.4万个所谓的虚假账户，1600万次交互，通过商业代理绕过地域限制，把Claude的输出喂给自家模型训练。

Anthropic CEO Dario态度一如往常，说这是""协调性的知识产权盗窃”。我还写了篇文章diss back，说《没见过Anthropic这么虚伪的》。

吃瓜群众马斯克也在X上留下了金句点评：

你偷来的东西被偷了。

意指Anthropic自己，不也是靠互联网上的公共数据训练出来的？原始创作者收到钱了吗？

这引出了一个争论不休的问题——蒸馏到底算不算偷？

1

最新的新闻是：

OpenAI、Anthropic、谷歌这AI领域的御三家，正在达成一个罕见合作共识，组建专项联盟，目标直指模型蒸馏行为，并计划通过技术水印、请求风控、行为溯源、跨平台数据共享等手段，全面封堵针对自家头部模型的蒸馏提取，同时推动全球范围内的技术产权界定，将非法蒸馏纳入技术窃取范畴。

深入聊这个话题之前，我想先分享一组数字。

根据EpochAI的数据，OpenAI 2024年光是研发相关的算力支出就大约50亿美元，其中最终训练环节只占总算力的10%左右，剩下的全烧在了实验、调参、失败的尝试上。

50亿美元，换来的是GPT系列模型的能力天花板。

而2025年引爆全球AI界，让开源模型挺直腰板的DeepSeek R1的最终训练成本是多少呢？大约560万美元。

当然，这个数字本身有水分，DeepSeek的实际投入肯定远不止这些，硬件采购、前期实验、团队成本都没算进去。但架不住这个对比太有冲击力了：一个烧了50亿做出来的东西，另一个花了560万就""学会""了大半能力。

于是，微软和OpenAI联手调查DeepSeek是否“不当蒸馏”ChatGPT就成了当时热议的新闻。让很多人嗤之以鼻的是，当时的OpenAI正被戏谑地称为CloseAI，一个闭源的收费的指责别人开源的，怎么看怎么虚伪。

2

咱先把""道德""""公平""""正义""这些大词放一边，看一个简单的商业逻辑。

OpenAI的目标是2030年之前在算力上投入600亿。整个前沿AI的商业模型建立在一个核心假设上：谁砸最多的钱做最好的模型，谁就能收最贵的API费用，进而回收研发投入。

蒸馏把这个假设给蒸馏了。

有一说一，蒸馏这个技术本身不新鲜。Hinton十多年前就提出了知识蒸馏的概念，用大模型的输出来训练小模型，这在学术界和工业界都是常规操作。沙克也干了，谁比谁高贵？

蒸馏到底算不算偷？没人答得上来，因为你从哪个角度出发都说得通，这是整件事里最让人抠脑壳的地方。

指控方Anthropic一边在报告里用""盗窃""这个词，一边在公开表态中承认""前沿实验室常规性地蒸馏自己的模型""。

蒸馏本身不是问题，问题是你（竞争对手）蒸馏了""我的""模型。

但你的模型又是用什么训练的？互联网上的公开文本、代码、图片、论文，这些数据的原始创作者签了授权协议吗？New York Times正在告OpenAI，Getty Images告过Stability AI，Reddit因为数据授权费跟Google打了多少回拉锯战。

法律界也没有共识。南洋理工大学的Erik Cambria教授给了一个判断：""合法使用和对抗性利用之间的边界往往是模糊的。""国内的法律分析也偏向这个方向，国浩律师事务所和君合律师事务所都有专业解读，大意是Anthropic的指控在现行法律框架下""站不太住""：通过API访问模型并获取输出，跟""盗窃商业秘密”可差得远。

Anthropic当然知道这一点。所以它的策略不是走法律诉讼（到目前为止也没有起诉），而是走舆论战和政策游说。先发报告定性""这是盗窃""，再推动政策制定者按这个定性来立规矩。

讲真，这招聪明。与其在法庭上拿现有法律打一场不确定的官司，不如直接推动立一部新法，把""蒸馏他人模型""直接定义为违法行为。谁掌握了定义权，谁就赢了。

3

规则制定权，才是真正的战场。

技术层面的反蒸馏措施，输出水印、流量检测、异常行为识别，说实话都是防君子不防小人的东西。你加水印，对方训练的时候加个去噪步骤就行了。你检测流量，对方用更多的代理账户分散请求就行了。这些技术措施提高了蒸馏的成本，但远远谈不上防住，事实也根本防不住。

大漂亮国已经在做类似的事情了，就像他们一直在做的一样。

真正的杀招在政策层面。

2026年3月18号，美国AI政策研究机构IAPS发了一份重磅报告，标题直接了当：《AI蒸馏攻击：定向政府干预的理由》。报告给出了三层建议：

第一层，把DeepSeek、月之暗面、MiniMax列入商务部实体清单。一旦上了这个名单，受《出口管理条例》约束的一切物品，包括AI模型开发和部署的关键器件，出口给这些公司都需要许可证，而审批的默认倾向是""拒绝""。更厉害的是2025年9月生效的关联规则：被列入清单的实体持股50%以上的关联公司，也会自动受到同等限制。

第二层，动用PAIP法案。这部《保护美国知识产权法》的制裁力度远超实体清单，一旦总统认定某外国实体参与了重大商业秘密盗窃且威胁国家安全，必须从12项制裁措施中选至少5项施加，包括对指定个人的全面资产冻结。PAIP法案的打击面还可以延伸到""提供重大财务、物资或技术支持的实体""，大白话就是，帮这些公司做API代理的中间商也可能被波及。

2026年2月24号，PAIP法案已经做出了首批指定，先例已经立了。

第三层，让NIST（美国国家标准与技术研究院）牵头制定""AI蒸馏防御框架""，把反蒸馏变成一个行业标准，从访问控制到检测监控再到应急响应，全链条规范化。

看出门道了吗？实体清单限制技术获取，PAIP法案实施经济制裁，NIST框架建立行业标准。三层防御，层层嵌套，核心目标只有一个：""蒸馏他人前沿模型""这件事必须被定义为非法的、会被制裁的、有代价的。

这让我想到两个历史先例。一个是DVD区域码，一张碟片在亚洲买的、在美国的播放器上放不了，技术上毫无道理，但通过行业标准加法律框架硬生生把全球市场切成了几块。另一个是SWIFT结算系统，表面上是全球银行间的通信协议，实际上谁被踢出SWIFT谁就在国际金融体系里消失了。

技术标准的背后永远是规则话语权。

谁定义了""非法蒸馏""的边界，谁就在事实上掌握了下一代AI竞争的准入门槛。今天的""反蒸馏""是为了保护50亿美元的研发投入，明天的""反蒸馏""可能变成一把筛选器，谁能用前沿模型的能力，谁不能用，由规则制定者说了算。

最近Anthropic的新模型Mythos火了，据说强到不能直接发布，强到给美国AI公司先用，去加强自己的防守能力。我看到的却是，这是一出加强美国AI行业竞争力，甚至引发AI网络攻防剑指国内的阳谋。

留给国内AI圈的时间窗口不多了，由衷希望我们能有更多的DeepSeek出现。"