模型蒸馏(Knowledge Distillation)作为一种模型压缩与能力迁移的经典技术,近年来在大型语言模型领域获得了广泛应用。2026 年 2 月,Anthropic 官方发布公告,首次公开披露了针对三家中国 AI 实验室 ——DeepSeek、Moonshot(MiniMax)的大规模蒸馏验证结果,这一事件为业界提供了难得的工业级蒸馏检测案例,同时也揭示了知识迁移在工程层面的真实挑战。
蒸馏技术的双重属性与本次事件的本质
蒸馏技术的核心在于利用强教师模型(Teacher Model)的输出训练弱学生模型(Student Model),从而实现能力迁移。这一方法本身是合法且被广泛使用的 —— 前沿实验室通常会利用蒸馏技术将大模型压缩为小模型,以降低推理成本。然而,Anthropic 此次披露的事件本质在于:未经授权的跨公司蒸馏活动。相关实验室通过约 24000 个虚假账户累计产生超过 1600 万次与 Claude 模型的交互,违反了服务条款和地区访问限制。
从技术角度看,蒸馏可以分为白盒蒸馏与黑盒蒸馏两类。白盒蒸馏通常发生在同一组织内部,能够直接访问教师模型的 logits、中间层表征等内部信息;而黑盒蒸馏则只能通过 API 调用获取输入输出对,Anthropic 此次面对的正是典型的黑盒蒸馏场景。这种场景下的检测难度显著高于白盒蒸馏,因为攻击者会尽可能模仿正常用户行为。
大规模蒸馏验证的技术路径
Anthropic 采用了多层次的技术手段进行蒸馏检测与归因,主要包括以下四个维度:
流量模式分析是检测的基础。正常用户的使用模式通常呈现高度个性化与随机性,而蒸馏攻击则表现出明显的大批量、结构化特征。具体而言,蒸馏流量的请求间隔呈现高度规律性,单账号请求频率远超正常用户,且多账号间存在同步或负载均衡特征。DeepSeek 的攻击流量就表现出跨账号同步传输的模式,相同的请求模式、共享的支付方式以及协调的时间安排暗示了明确的负载均衡意图。
请求元数据关联是归因的关键。Anthropic 通过分析请求头中的基础设施标识符、IP 地址段以及 API 调用特征,将部分流量追溯到特定实验室的研究人员。元数据匹配并非直接指向最终产品,而是指向了参与数据生成的研究人员个人账户,这种粒度的追溯能力依赖于平台对 API 调用日志的完整保留。
行为指纹构建是本次检测的核心创新。Anthropic 开发了专门的分类器,用于识别针对特定高价值能力的提示词模式。蒸馏攻击通常聚焦于模型最核心的差异化能力 —— 智能体推理、工具使用、代码生成等。攻击者会设计专门的提示词来诱导模型输出链式思维(Chain-of-Thought)数据,例如要求模型 “想象并阐述内部推理过程并逐步写出”,这本质上是在生成推理训练数据。行为指纹分类器能够从大量正常请求中识别出这类特定模式。
基础设施指标交叉验证提供了额外的归因信度。Anthropic 与云服务商及行业合作伙伴共享情报,通过关联其他平台观察到的相同行为主体,进一步确认了归因结论。这种跨平台情报协同在应对规模化攻击时尤为重要。
蒸馏验证的工程参数与监控阈值
基于 Anthropic 披露的信息,可以提炼出以下可操作的工程参数建议:
在流量监控层面,单账号日均请求量超过 500 次应触发强化审核;同一 IP 段在 1 小时内产生超过 1000 次 API 调用需标记为可疑行为;多账号请求间隔小于 50 毫秒且呈现规律性重复可视为同步攻击特征。
在提示词分析层面,针对同一能力域的变体提示词在单日出现超过 1000 次需引起注意;包含 “逐步推理”“详细解释思考过程” 等诱导思维链输出的提示词占比超过 5% 应纳入重点审查;请求结构高度相似但微小变量变化的模式是典型的蒸馏特征。
在响应利用层面,若某外部模型在特定能力维度(如数学推理、代码生成)的表现提升与目标模型的新版本发布呈现时间相关性,且滞后周期在 1 个月以内,需要启动专项调查。Anthropic 就观察到 MiniMax 在其新模型发布后 24 小时内将近半数流量重新定向至新版本,显示出对最新能力的高度关注。
当前验证能力的局限性
尽管 Anthropic 展示了较为完整的检测体系,但需要承认其局限性。首先,归因结论依赖内部日志和分类器,尚未经过独立第三方审计,外部验证的可信度受限于后续政府或云服务商的信息披露。其次,蒸馏攻击者会持续进化战术,例如通过更自然的请求间隔、混合蒸馏流量与正常流量、采用更分散的账号矩阵等方式规避检测,这是一个持续博弈的过程。最后,黑盒蒸馏理论上可以通过加入噪声、使用不同提示词工程等方式降低被检测概率,平台难以做到完全覆盖。
从行业角度看,Anthropic 呼吁的协调响应机制确实必要 —— 单一平台难以独立应对跨国界的规模化蒸馏攻击,需要行业共享威胁情报、标准化的检测接口以及政策层面的配合。
资料来源:Anthropic 官方公告《Detecting and preventing distillation attacks》(anthropic.com/news/detecting-and-preventing-distillation-attacks)。