Discussion :

[Alex]

Anthropic accuse DeepSeek et d'autres laboratoires chinois d'IA d'utiliser Claude pour extraire illicitement les capacités de Claude afin d'améliorer leurs propres modèles, à l'aide de 24 000 comptes frauduleux

Anthropic accuse trois laboratoires chinois d'IA, DeepSeek, MiniMax et Moonshot AI (Kimi), d'utiliser abusivement son modèle Claude pour améliorer leurs propres produits d'IA. Anthropic affirme que l'objectif était la distillation, qui consiste à faire apprendre à un modèle plus petit à partir des résultats d'un modèle plus performant, et soutient que le fait de procéder ainsi sans autorisation peut permettre à des concurrents d'accéder à des capacités avancées sans investissement comparable. Alors qu'Anthropic a soulevé ces préoccupations liées à la menace chinoise, le PDG de xAI, Elon Musk, a critiqué l'entreprise d'IA et l'a accusée d'avoir volé des données et d'utiliser gratuitement des données publiques, ce qui, selon Musk, a valu à Anthropic une amende de 1,5 milliard de dollars.

Anthropic est une entreprise américaine spécialisée dans l'IA, fondée en 2021 par un groupe d'anciens chercheurs et cadres d'OpenAI. L'entreprise est surtout connue pour avoir développé une famille de modèles d'IA baptisée Claude. L'entreprise mène des recherches et développe des IA afin d'« étudier leurs propriétés de sécurité à la pointe de la technologie » et utilise ces recherches pour déployer des modèles sûrs destinés au grand public.

Claude est une série de grands modèles de langage développés par Anthropic. C'est aussi le nom de l'agent conversationnel (chatbot) utilisant ce modèle pour dialoguer avec les utilisateurs. Claude peut analyser des images et différents types de fichiers, et faire des recherches sur internet. Claude est particulièrement connu pour ses performances en programmation informatique, et est intégré dans Claude Code, un agent autonome en ligne de commande. Claude Sonnet désigne la version moyenne du modèle. Claude Opus est un modèle plus coûteux et plus performant, et Haiku un modèle plus léger et plus rapide.

Récemment, Anthropic accuse trois laboratoires chinois d'IA, DeepSeek, MiniMax et Moonshot AI (Kimi), d'utiliser abusivement son modèle Claude pour améliorer leurs propres produits d'IA. La société affirme que cette activité a impliqué environ 24 000 comptes frauduleux et plus de 16 millions d'interactions avec Claude, qu'elle qualifie de campagnes à l'échelle industrielle. Anthropic affirme que l'objectif était la distillation, qui consiste à faire apprendre à un modèle plus petit à partir des résultats d'un modèle plus performant, et soutient que le fait de procéder ainsi sans autorisation peut permettre à des concurrents d'accéder à des capacités avancées sans investissement comparable.

Anthropic met en garde contre le fait que les modèles produits par distillation illicite peuvent ne pas intégrer les mesures de sécurité essentielles, ce qui augmente le risque d'utilisation abusive. Selon elle, ces systèmes pourraient être utilisés à des fins militaires, de renseignement ou de surveillance de masse, y compris dans le cadre d'opérations cyberoffensives ou de campagnes de désinformation. Anthropic affirme que DeepSeek a effectué au moins 150 000 échanges ciblés axés sur les capacités de raisonnement de Claude et sur la génération d'alternatives sans censure à des sujets sensibles, tandis que MiniMax et Moonshot ont enregistré plus de 13 millions et 3,4 millions d'échanges.

We’ve identified industrial-scale distillation attacks on our models by DeepSeek, Moonshot AI, and MiniMax.

These labs created over 24,000 fraudulent accounts and generated over 16 million exchanges with Claude, extracting its capabilities to train and improve their own models.

— Anthropic (@AnthropicAI) February 23, 2026

Anthropic exhorte les entreprises d'IA, les fournisseurs de services cloud et les décideurs politiques à se pencher sur la question de la distillation et suggère de restreindre davantage l'accès aux puces avancées afin de réduire l'ampleur de ces efforts. Ces affirmations interviennent dans le cadre d'un débat en cours aux États-Unis sur les politiques d'exportation de puces vers la Chine et de préoccupations plus générales concernant la sécurité nationale et les risques économiques liés à « l'extraction non autorisée de modèles ».

Alors qu'Anthropic a soulevé ces préoccupations liées à la menace chinoise, le PDG de xAI, Elon Musk, a critiqué l'entreprise d'IA et l'a accusée d'avoir volé des données et d'utiliser gratuitement des données publiques, ce qui, selon Musk, a valu à Anthropic une amende de 1,5 milliard de dollars. Musk a répondu aux publications d'Anthropic sur les attaques par distillation en citant des notes de la communauté sur X, et a également mentionné que l'entreprise d'IA avait dû payer plusieurs milliards de dollars pour régler un litige concernant le vol présumé de données afin d'entraîner ses modèles d'IA. Ces accusations croisées sont devenues assez courantes ces derniers temps, et le domaine de l'IA en est truffé, car le manque de données d'entraînement pourrait les inciter à s'engager sur une voie sombre.

La note de la communauté sous la publication d'Anthropic suggère que l'entreprise aurait piraté plus de 7 millions de livres provenant de bibliothèques fantômes pour entraîner Claude, et aurait également téléchargé plus de 20 000 chansons via torrent. Musk utilise essentiellement la phrase classique « Regardez qui parle » pour critiquer Anthropic et suggère que l'entreprise devrait d'abord se remettre en question avant d'accuser quiconque de voler ses données.

En effet, en août 2024, des auteurs ont poursuivi la startup d'IA Anthropic, l'accusant d'avoir entraîné son chatbot sur des livres piratés. La plainte affirme qu'Anthropic a profité d'œuvres protégées par des droits d'auteur sans consentement ni compensation. "Il n'est pas exagéré de dire que le modèle d'Anthropic cherche à tirer profit de l'exploitation de l'expression humaine et de l'ingéniosité qui se cachent derrière chacune de ces œuvres", affirme la plainte.

De son côté, Anthropic soutient que la formation à l'IA relève de l'usage loyal, mais le procès conteste cette interprétation. En août 2025, Anthropic a réglé le recours collectif. La doctrine de l'« usage loyal », qui autorise la reproduction limitée de matériel protégé par le droit d'auteur sans consentement dans certaines circonstances, est un élément clé de la défense des sociétés d'IA contre les plaintes pour violation du droit d'auteur. « Cet accord historique profitera à tous les membres du groupe », a déclaré Justin Nelson, associé chez Susman Godfrey et avocat des auteurs. « Nous sommes impatients d'annoncer les détails de l'accord dans les semaines à venir. »

Anthropic is guilty of stealing training data at massive scale and has had to pay multi-billion dollar settlements for their theft. This is just a fact. https://t.co/EEtdsJQ1Op

— Elon Musk (@elonmusk) February 23, 2026

Voici le rapport d'Anthropic :

Détection et prévention des attaques par distillation

Nous avons identifié des campagnes à l'échelle industrielle menées par trois laboratoires d'IA (DeepSeek, Moonshot et MiniMax) visant à extraire illicitement les capacités de Claude afin d'améliorer leurs propres modèles. Ces laboratoires ont généré plus de 16 millions d'échanges avec Claude via environ 24 000 comptes frauduleux, en violation de nos conditions d'utilisation et des restrictions d'accès régionales.

Ces laboratoires ont utilisé une technique appelée « distillation », qui consiste à entraîner un modèle moins performant à partir des résultats d'un modèle plus puissant. La distillation est une méthode d'entraînement largement utilisée et légitime. Par exemple, les laboratoires d'IA de pointe distillent régulièrement leurs propres modèles afin de créer des versions plus petites et moins coûteuses pour leurs clients. Mais la distillation peut également être utilisée à des fins illicites : les concurrents peuvent l'utiliser pour acquérir les puissantes capacités d'autres laboratoires en une fraction du temps et à un coût bien inférieur à ceux nécessaires pour les développer de manière indépendante.

Ces campagnes gagnent en intensité et en sophistication. La marge de manœuvre pour agir est réduite et la menace dépasse le cadre d'une seule entreprise ou région. Pour y faire face, une action rapide et coordonnée entre les acteurs du secteur, les décideurs politiques et la communauté mondiale de l'IA sera nécessaire.

Pourquoi la distillation est-elle importante ?

Les modèles distillés illicitement ne disposent pas des garanties nécessaires, ce qui crée des risques importants pour la sécurité nationale. Anthropic et d'autres entreprises américaines construisent des systèmes qui empêchent les acteurs étatiques et non étatiques d'utiliser l'IA pour, par exemple, développer des armes biologiques ou mener des activités cybermalveillantes. Les modèles construits par distillation illicite sont peu susceptibles de conserver ces garanties, ce qui signifie que des capacités dangereuses peuvent proliférer sans aucune protection.

Les laboratoires étrangers qui distillent des modèles américains peuvent ensuite intégrer ces capacités non protégées dans des systèmes militaires, de renseignement et de surveillance, permettant ainsi aux gouvernements autoritaires de déployer une IA de pointe pour des opérations cyberoffensives, des campagnes de désinformation et une surveillance de masse. Si les modèles distillés sont open source, ce risque est multiplié, car ces capacités se propagent librement au-delà du contrôle d'un seul gouvernement.

Attaques par distillation et contrôles à l'exportation

Anthropic a toujours soutenu les contrôles à l'exportation afin de maintenir l'avance des États-Unis dans le domaine de l'IA. Les attaques par distillation sapent ces contrôles en permettant aux laboratoires étrangers, y compris ceux soumis au contrôle du Parti communiste chinois, de réduire l'avantage concurrentiel que les contrôles à l'exportation visent à préserver par d'autres moyens.

Sans visibilité sur ces attaques, les progrès apparemment rapides réalisés par ces laboratoires sont interprétés à tort comme la preuve que les contrôles à l'exportation sont inefficaces et peuvent être contournés par l'innovation. En réalité, ces progrès dépendent en grande partie des capacités extraites des modèles américains, et l'exécution de cette extraction à grande échelle nécessite l'accès à des puces avancées. Les attaques par distillation renforcent donc la justification des contrôles à l'exportation : l'accès restreint aux puces limite à la fois la formation directe des modèles et l'ampleur de la distillation illicite.

Ce que nous avons découvert

Les trois campagnes de distillation détaillées ci-dessous ont suivi un scénario similaire, utilisant des comptes frauduleux et des services proxy pour accéder à Claude à grande échelle tout en échappant à la détection. Le volume, la structure et l'orientation des invites étaient distincts des modèles d'utilisation normaux, reflétant une extraction délibérée des capacités plutôt qu'une utilisation légitime.

Nous avons attribué chaque campagne à un laboratoire spécifique avec un haut degré de confiance grâce à la corrélation des adresses IP, aux métadonnées des requêtes, aux indicateurs d'infrastructure et, dans certains cas, à la corroboration de partenaires industriels qui ont observé les mêmes acteurs et comportements sur leurs plateformes. Chaque campagne ciblait les capacités les plus différenciées de Claude : raisonnement agentique, utilisation d'outils et codage.

DeepSeek

Ampleur : plus de 150 000 échanges

L'opération visait :

- Les capacités de raisonnement dans diverses tâches
- Les tâches de notation basées sur des rubriques qui ont permis à Claude de fonctionner comme un modèle de récompense pour l'apprentissage par renforcement
- La création d'alternatives à l'abri de la censure pour les requêtes sensibles sur le plan politique

DeepSeek a généré un trafic synchronisé entre les comptes. Des modèles identiques, des méthodes de paiement partagées et un timing coordonné suggéraient un « équilibrage de charge » visant à augmenter le débit, améliorer la fiabilité et éviter la détection.

Une technique notable consistait à demander à Claude d'imaginer et d'articuler le raisonnement interne derrière une réponse complète, puis de l'écrire étape par étape, générant ainsi efficacement des données d'entraînement à grande échelle sur la chaîne de pensée. Nous avons également observé des tâches dans lesquelles Claude était utilisé pour générer des alternatives à l'abri de la censure pour des requêtes politiquement sensibles, telles que des questions sur les dissidents, les chefs de parti ou l'autoritarisme, probablement dans le but de former les propres modèles de DeepSeek à détourner les conversations des sujets censurés. En examinant les métadonnées des requêtes, nous avons pu remonter jusqu'à des chercheurs spécifiques du laboratoire.

Moonshot AI

Ampleur : plus de 3,4 millions d'échanges

L'opération visait :

- Le raisonnement agentique et l'utilisation d'outils
- Le codage et l'analyse de données
- Le développement d'agents utilisant des ordinateurs
- La vision par ordinateur

Moonshot (modèles Kimi) a utilisé des centaines de comptes frauduleux couvrant plusieurs voies d'accès. La diversité des types de comptes a rendu la campagne plus difficile à détecter en tant qu'opération coordonnée. Nous avons attribué la campagne grâce aux métadonnées des requêtes, qui correspondaient aux profils publics des cadres supérieurs de Moonshot. Dans une phase ultérieure, Moonshot a utilisé une approche plus ciblée, en tentant d'extraire et de reconstruire les traces du raisonnement de Claude.

MiniMax

Ampleur : plus de 13 millions d'échanges

L'opération visait :

- Le codage agentique
- L'utilisation et l'orchestration d'outils

Nous avons attribué la campagne à MiniMax grâce aux métadonnées des requêtes et aux indicateurs d'infrastructure, et avons confirmé les délais par rapport à leur feuille de route publique. Nous avons détecté cette campagne alors qu'elle était encore active, avant que MiniMax ne publie le modèle qu'il était en train de former, ce qui nous a donné une visibilité sans précédent sur le cycle de vie des attaques par distillation, de la génération des données au lancement du modèle. Lorsque nous avons publié un nouveau modèle pendant la campagne active de MiniMax, ils ont pivoté en moins de 24 heures, redirigeant près de la moitié de leur trafic pour capturer les capacités de notre dernier système.

Comment les distillateurs accèdent aux modèles de pointe

Pour des raisons de sécurité nationale, Anthropic n'offre actuellement pas d'accès commercial à Claude en Chine, ni aux filiales de ses entreprises situées en dehors du pays.

Pour contourner cette restriction, les laboratoires utilisent des services de proxy commerciaux qui revendent l'accès à Claude et à d'autres modèles d'IA de pointe à grande échelle. Ces services fonctionnent selon ce que nous appelons des architectures « hydra cluster » : des réseaux tentaculaires de comptes frauduleux qui distribuent le trafic sur notre API ainsi que sur des plateformes cloud tierces. L'étendue de ces réseaux signifie qu'il n'y a pas de point de défaillance unique. Lorsqu'un compte est banni, un nouveau prend sa place. Dans un cas, un seul réseau proxy gérait simultanément plus de 20 000 comptes frauduleux, mélangeant le trafic de distillation avec des demandes de clients sans rapport afin de rendre la détection plus difficile.

Une fois l'accès sécurisé, les laboratoires génèrent de grands volumes d'invites soigneusement conçues pour extraire des capacités spécifiques du modèle. L'objectif est soit de collecter des réponses de haute qualité pour l'entraînement direct du modèle, soit de générer des dizaines de milliers de tâches uniques nécessaires à l'exécution de l'apprentissage par renforcement. Ce qui distingue une attaque par distillation d'une utilisation normale, c'est le modèle. Une invite comme celle qui suit (qui se rapproche d'invites similaires que nous avons vues utilisées de manière répétitive et à grande échelle) peut sembler anodine en soi :

Vous êtes un analyste de données expert qui allie rigueur statistique et connaissance approfondie du domaine. Votre objectif est de fournir des informations basées sur les données — et non des résumés ou des visualisations — fondées sur des données réelles et étayées par un raisonnement complet et transparent.

Mais lorsque des variations de cette invite apparaissent des dizaines de milliers de fois sur des centaines de comptes coordonnés, tous ciblant la même capacité restreinte, le schéma devient clair. Un volume massif concentré dans quelques domaines, des structures hautement répétitives et un contenu qui correspond directement à ce qui est le plus précieux pour l'entraînement d'un modèle d'IA sont les caractéristiques d'une attaque par distillation.

Comment nous réagissons

Nous continuons à investir massivement dans des défenses qui rendent ces attaques par distillation plus difficiles à exécuter et plus faciles à identifier. Il s'agit notamment de :

- Détection Nous avons mis au point plusieurs classificateurs et systèmes d'empreintes comportementales conçus pour identifier les schémas d'attaques par distillation dans le trafic API. Cela inclut la détection de la chaîne de pensée utilisée pour construire les données d'entraînement du raisonnement. Nous avons également mis au point des outils de détection permettant d'identifier les activités coordonnées sur un grand nombre de comptes.

- Partage de renseignements. Nous partageons des indicateurs techniques avec d'autres laboratoires d'IA, des fournisseurs de cloud et les autorités compétentes. Cela permet d'avoir une vision plus globale du paysage de la distillation.

- Contrôles d'accès. Nous avons renforcé la vérification des comptes éducatifs, des programmes de recherche en sécurité et des start-ups, qui sont les voies les plus couramment exploitées pour créer des comptes frauduleux.

- Contre-mesures. Nous développons des mesures de protection au niveau des produits, des API et des modèles, conçues pour réduire l'efficacité des résultats des modèles pour la distillation illicite, sans dégrader l'expérience des clients légitimes.

Mais aucune entreprise ne peut résoudre ce problème seule. Comme nous l'avons mentionné ci-dessus, les attaques par distillation à cette échelle nécessitent une réponse coordonnée de l'ensemble du secteur de l'IA, des fournisseurs de cloud et des décideurs politiques. Nous publions ces informations afin de mettre les preuves à la disposition de toutes les personnes concernées par le résultat.

Source : Rapport d'Anthropic

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Anthropic suscite la controverse pour avoir attribué à la Chine une prétendue campagne de cyberattaque impliquant son IA Claude sans éléments probants : « le rapport d'Anthropic a un sérieux parfum d'intox »

Google affirme qu'une attaque à utilisé plus de 100 000 instructions génératives pour tenter de cloner le chatbot IA Gemini. Une extraction de modèle pour obtenir la logique qui fait fonctionner le modèle

OpenAI a trouvé des preuves que la start-up chinoise DeepSeek a utilisé les modèles propriétaires d'OpenAI pour former son propre modèle open-source en utilisant la technique de "distillation"

[OuftiBoy]

Quand ça les touches eux (les gens produisant des IA), ils se plaignent, alors que leur IA n'existe que parce qu'elle a été entraînée sur des données dont ils se foutait bien du "droit d'auteur". Moi je peux, toi tu peux pas...

[Anselme45]

Les voleurs de données qui se plaignent d'être victimes des voleurs de données!


Qui a écrit "les cons çà ose tout, c'est même à çà qu'on les reconnait"???