アリババがClaudeに対し「史上最大規模のAI盗用」か、アンソロピックが米上院に告発
2026年6月28日 01:15
米AIスタートアップのアンソロピック(Anthropic)は、中国のアリババ(Alibaba)が同社のAI「Claude」に対して、文書化されたものとしては過去最大規模の「敵対的モデル蒸留(モデル盗用)」キャンペーンを行ったと米上院に告発した。報告によると、アリババのAI研究所「通義(Qwen)」に関連するオペレーターが、地理的制限を回避して約2880万回に及ぶ不正なアクセスを実行したとされる。本件は、アリババのようなグローバル規模の商業企業が蒸留攻撃の苦情で名指しされた初の事例となる。
■アリババによる大規模な「蒸留攻撃」の疑い
米上院銀行委員会に提出された2026年6月10日付の書簡(ブルームバーグが6月24日に初報)によると、アンソロピックは、アリババのAI研究所「通義(Qwen)」に関連するオペレーターが、6週間にわたりClaudeとの間で約2880万回の未承認のやり取りを行ったと主張している。この作戦では、中国企業によるモデルへのアクセスを禁じる地理的制限を回避するため、約2万5000件の不正アカウントと商用プロキシサービスが使用されたという。
この告発は、アンソロピックがこれまでに提起した中で最大規模のものであり、同社が2026年2月に公表した中国のAI研究所3社の合計規模を大きく上回る。また、アリババのような世界的な商業規模を持つ企業が蒸留攻撃の苦情で名指しされたのも、アンソロピックが米上院にこのような証拠を正式に提出したのも今回が初めてである。
本記事の公開時点で、アリババはロイター、CNBC、ブルームバーグなどのメディアからのコメント要請に応じていない。
■「蒸留攻撃」とは何か、なぜ安全対策の無効化が問題なのか
モデル蒸留(Model Distillation)自体は、機械学習における合法的な技術である。AI開発者は通常、より強力な「教師」モデルの出力(ソフトラベルと呼ばれる確率分布)を使用して、より小型で安価な「生徒」モデルを訓練し、学習した動作を移植する。これにより、企業はハードウェアの制約がある環境でも、ゼロから構築することなく効率的なモデルをデプロイできる。
しかし、「敵対的蒸留攻撃」はこの技術を無断で悪用する。攻撃者は商業用AIモデルのAPIアクセスを取得し、巧妙に設計されたプロンプトを大量に送信して応答を収集する。これらの入出力ペアを用いて競合モデルを微調整し、元のモデルの動作を模倣させる。この手法では、標的モデルの重み(ウェイト)やアーキテクチャ、訓練データにアクセスする必要はなく、外部からは合法的な利用と区別がつきにくいブラックボックスAPIアクセスのみで実行可能である。
アンソロピックが上院への書簡で提起した安全上の懸念は、知的財産の侵害にとどまらない。Claudeのような最先端AIモデルは、大量のテキストコーパスによる事前訓練の後、人間のフィードバックによる強化学習(RLHF)や、アンソロピック独自の「憲法AI(Constitutional AI)」手法など、複数の段階を経て訓練される。これらの段階こそが、モデルの安全性、拒否行動、判断力、行動のガードレールを構築するものである。
アンソロピックが上院議員に説明したところによると、Claudeの出力分布のみで訓練されたモデルは、安全性向上のプロセスを経ずに能力プロファイルのみを継承する。その結果、ソフトウェアエンジニアリングやエージェント的推論においてはClaudeと同等の能力を持ちながら、オリジナルに組み込まれた安全特性が排除されたシステムが誕生する危険性があるという。
また、地理的なアクセス制限だけではこの問題を阻止できない構造的な理由もある。蒸留目的のクエリはAPIレベルでは合法的なクエリと同一に見えるため、これを確実に遮断する唯一の手段はモデルへのアクセス自体を完全に拒否することだが、これは商業AI企業の核心的なビジネスモデルと直接衝突する。そのため、アンソロピックは単なる利用規約違反の申し立てにとどまらず、上院への告発に踏み切った。
■告発されたアリババのキャンペーン:規模、標的、そしてタイミング
アンソロピックの説明によると、このキャンペーンは2026年4月22日から6月5日まで行われ、約2万5000件の不正アカウントを通じて2880万回以上のClaudeとのやり取りが発生した。書簡では、アリババおよび同社のAI研究所であるQwenに所属するオペレーターに責任があると特定している。
標的となったのは、エージェント的推論、ソフトウェアエンジニアリング能力、長期的なタスク完了能力など、Claudeの商業的価値が最も高い機能であった。これらは前世代のAIと最先端モデルを区別する重要な能力であり、アンソロピックが企業向けサービスの核心として位置づけているものである。
アンソロピックによると、オペレーターはClaudeの中国からのアクセス制限を回避するため、商用プロキシサービスを使用してAPIコールの地理的発信元を偽装した。このキャンペーンが始まったのは、ホワイトハウス科学技術政策局(OSTP)が2026年4月24日に、米国製AIモデルの外国による産業規模の蒸留に対して警告を発し、米国のAI企業と連携してこれに対抗することを約束する覚書を発表した約2週間後であった。アンソロピックの書簡はこのタイミングを鋭く指摘している。
アンソロピックの政策責任者であるサラ・ヘック氏は上院議員に対し、これらの攻撃は「米国の最先端研究所からAI能力を奪取し、米国の最先端モデルの訓練に必要な訓練コストや研究開発費を負担することなく自社製品として再パッケージ化するために、不法かつ組織的に、そして産業規模で実行された」と述べた。同社は、この行為が実質的に「米国の数十億ドルに及ぶ投資と研究開発を、地政学的な競合国への巨額の補助金へと変換させている」と主張した。
■過去の開示情報との比較
アンソロピックが2026年2月に公表した情報では、中国のAI研究所3社(DeepSeek、Moonshot AI、MiniMax)が、約2万4000件の不正アカウントを通じて合計1600万回以上のClaudeとのやり取りを行っていたと名指しされていた。内訳は、MiniMaxが1300万回以上、Moonshot AIが3400万回以上、DeepSeekが15万回以上であった。
これに対し、今回のアリババによるキャンペーンは2880万回以上のやり取りを記録しており、過去の3社合計を上回る規模となっている。また、2月の開示ではAIスタートアップが対象だったのに対し、今回は数千億ドルの時価総額と世界最大級の電子商取引インフラを持つアリババが名指しされた点で、規模と対象企業の重みが大きく増している。
■上院への書簡が引き金となった超党派の制裁の動き
アンソロピックは、裁判所や規制当局ではなく上院銀行委員会に書簡を送ることで、モデル蒸留を単なる契約上の紛争ではなく、国家安全保障および通商政策の問題として位置づけた。委員会は、予定されていたAIに関する公聴会の前にこの書簡を受領した。
これを受けて、ビル・ハガティ上院議員(共和党、テネシー州選出)とアンディ・キム上院議員(民主党、ニュージャージー州選出)は、競合モデルの訓練のために米国製AIモデルの出力に不適切にアクセスしたことが判明した中国企業をブラックリストに登録、または制裁対象とする修正案を、国防権限法案(NDAA)に導入する計画を発表した。下院でも、ビル・ハイゼンガ議員(共和党、ミシガン州選出)とシドニー・カムラガー=ダブ議員(民主党、カリフォルニア州選出)が支持する同様の超党派法案が、年次国防法案への組み込みに向けて検討されている。ただし、いずれの提案も立法プロセスを通過するのに十分な支持を得られるかは不透明である。
アンソロピックが上院に求めた具体的な政策要望には、米国のAI企業が蒸留キャンペーンに関する脅威インテリジェンスを合法的に共有できるよう独占禁止法のガイドラインを明確にすること、半導体の輸出規制を拡大すること、そして未承認の蒸留操作を行ったAI開発者に罰則を科す法律を制定することが含まれている。なお、アンソロピック、OpenAI、Googleは、利用規約に違反する蒸留の試みに関する脅威インテリジェンスの非公式な共有をすでに開始している。
■両社にとって極めて微妙なタイミングでの告発
今回の開示のタイミングは、双方の企業にとって複雑な状況下でもたらされた。
アンソロピックにとって、中国からの安価な模倣AI製品の脅威は、新規株式公開(IPO)を控える同社にとって重大なリスクである。同社は、企業価値を約9650億ドル(約156兆3300億円、1ドル=162円換算)と評価した65億ドル(約1兆530億円、1ドル=162円換算)のシリーズH資金調達ラウンドを経て、2026年6月1日に米証券取引委員会(SEC)にIPO目論見書を秘密裏に提出したばかりである。米政府当局者は、未承認の蒸留によってシリコンバレーの研究所が被る損失は年間数十億ドルに上ると試算している。上院への書簡は、潜在的な投資家や規制当局に対し、同社が積極的に反撃していることを示すシグナルでもある。
また、アンソロピックの立場は、米政府との別の紛争によっても複雑化している。米商務省は2026年6月12日、輸出管理指令を出し、同社の最も先進的なモデルである「Claude Fable 5」および「Mythos 5」への、世界中のあらゆる外国籍の人物によるアクセスを一時停止するよう命じた。同社はこれに従いつつも、この命令を「誤解」によるものと公に説明している。アンソロピックは、米国製AIモデルを蒸留から保護することと、それらのモデルを商業的に展開できるようにすることは、矛盾するものではなく補完的な目標であると主張している。
一方、アリババにとっては、国防総省と連邦裁判所で争っている最中にこの告発が行われた。国防総省は2026年6月8日、アリババを中国軍事企業リスト(1260Hリスト)に追加した。アリババは6月23日、カリフォルニア州北部地区連邦地方裁判所に提訴し、この指定には「事実上および法律上の根拠がない」と主張している。アンソロピックの書簡が公表された水曜日、アリババの米国預託証券(ADR)は約2.7%下落し、99.80ドル(約1万6168円、1ドル=162円換算)で取引を終えた。
■これらは「告発」であり、確定した判決ではない
上述の内容はすべてアンソロピック側の主張に基づいている。裁判所による証拠の評価は行われておらず、このキャンペーンに関する第三者によるフォレンジック分析も公表されていない。APIアクティビティを特定の企業に関連付けるプロセスには、IPアドレスの相関関係、リクエストのメタデータ、インフラストラクチャの指標など、推論に基づくステップが含まれるが、アンソロピックはその詳細を公にしていない。
アリババはこれらの疑惑を否定しておらず、現時点で一切の反応を示していない。
しかし、この書簡が明らかにしているのは、アリババへの帰属が精査に耐えうるかどうかにかかわらず、業界と政府が向かっている方向性である。敵対的蒸留キャンペーンは規模を拡大し、関与が疑われる企業の存在感も増している。アンソロピックの対応はブログ投稿から上院での証言へとエスカレートし、超党派の立法も動き出している。最先端AIモデルに組み込まれた知性の所有権、そしてそれを無断で抽出した場合の法的・経済的帰結に関する問いは、現在、米国議会で本格的に議論されている。
■注目ポイントQ&A
●AIにおける「蒸留攻撃(ディスティレーション攻撃)」とは何ですか?
蒸留攻撃とは、合法的な機械学習プロセスを悪用して、他社の独自AI能力を無断で盗用する手法です。攻撃者は商業用AIモデルのAPIアクセスを取得し、大量のプロンプトを送信して応答を収集します。得られた入出力ペアを用いて競合モデルを訓練し、元のモデルの動作を模倣させます。モデルの重み(ウェイト)やソースコード、訓練データを直接盗む必要がなく、開発コストを大幅に抑えて競合モデルを構築できます。
●アンソロピックはなぜクエリをブロックして蒸留を防ぐことができないのですか?
最大の理由は、敵対的蒸留のクエリがAPIレベルでは通常の合法的なクエリと構造的に区別できないためです。悪意のあるオペレーターによる2880万回のクエリも、システム上は多数の一般ユーザーによる利用のように見えます。検知には、異常なクエリパターンやプロキシインフラ、アカウントのクラスタリングなどの行動シグナルに頼るしかありません。そのため、技術的な防御だけでなく、キャンペーンを行う企業に制裁を科す法整備を求めています。
●モデル蒸留自体は違法行為なのですか?
開発者が自社のモデルの出力を用いてより小さなモデルを訓練する「合意の上でのモデル蒸留」は、標準的かつ合法的な機械学習技術です。しかし、アンソロピックが今回告発しているのは「未承認の蒸留」です。これは、利用規約に違反してClaudeにアクセスし、不正アカウントやプロキシサービスを用いて地理的制限を回避する行為を指します。これが営業秘密保護法(DTSA)や経済スパイ法(EEA)における営業秘密の不正流用に該当するかどうかは、まだ法廷で争われていません。
●法的および立法的な観点から、今後どのような展開が予想されますか?
アリババは現時点で疑惑に対して回答していません。アンソロピックもアリババに対して民事訴訟を提起していませんが、その主張内容は将来的な連邦民事訴訟の提起と整合するものです。議会では、ハガティ上院議員とキム上院議員が年次国防法案への制裁修正案を準備しており、下院でも同様の超党派法案が検討されています。米国政府がこの問題を制裁対象の通商違反、輸出管理違反、あるいは単なる契約上の問題として扱うかどうかが、今後のAI競争における法執行のあり方を左右することになります。
元記事: Alibaba Ran Largest Known AI Theft Campaign Against Claude, Anthropic Tells Senate