一个问题正在成为AI产业最紧迫的焦点:当你的模型暴露在互联网上供人查询,有人能把你的「智慧」偷走吗?

2026年6月24日,Bloomberg和Reuters几乎同时发出报道:AI公司Anthropic正式指控阿里巴巴非法(illicitly)获取Claude AI模型,非法提取(extracted)了Claude的模型能力。

这是近年来AI领域最具爆炸性的法律指控之一。

不是因为诉讼金额——我们目前不知道确切数字。而是因为它所揭示的:AI时代的知识产权战争,已经从技术层面正式进入法律层面。

「提取」意味着什么?

要理解Anthropic的指控,你需要先理解「模型提取」(model extraction)或「模型蒸馏」(model distillation)是什么。

这是一种已被学术界充分研究的技术手段——早在2016年,Florian Tramèr等人在加州大学发表了《通过预测API窃取机器学习模型》(arxiv.org/abs/1609.02943),系统证明了通过API查询可以「窃取」机器学习模型的功能等价副本。原理并不复杂:

  1. 通过Claude的API发送海量精心设计的查询(可能达到数百万乃至数十亿次)
  2. 记录Claude对每一个输入的输出响应,建立大规模「输入-输出对」数据集
  3. 用这些数据训练一个新模型,使其在行为上逐渐趋近Claude的能力表现
  4. 最终得到一个能够模拟Claude核心能力的模型——成本仅为重新从头训练的极小部分

这个过程类似于雇用一批记者每天专门向一位顶级专家提问并详细记录答案,然后再基于这些记录训练一个「专家替代品」。你没有复制这位专家的大脑,但你通过系统性观察提取了他的「判断逻辑」。

Reuters的标题特意使用了「extracted」(提取)这个词,而不是「copied」(复制)或「stole」(偷)。这是有意义的区别:你无法直接复制Claude的模型权重(它们没有公开发布),但你可以通过系统性地查询API来「提取」它的功能边界——获得一个功能上近似的模型。

Bloomberg的标题则使用了「illicitly accessing」(非法访问),暗示阿里巴巴的行为违反了Anthropic的服务条款。

两种描述指向同一个核心:据Anthropic指控,阿里巴巴系统性地通过API查询Claude,并将这些数据用于强化自身的AI模型能力。

为什么是阿里巴巴?为什么是现在?

阿里巴巴不是一个随机的指控对象。

在中国大模型赛道,阿里巴巴的Qwen系列(通义千问)是最具竞争力的选手之一。Qwen系列在2025-2026年间快速进步,多次在Chatbot Arena等第三方基准测试平台上进入全球前列,展现出与顶级闭源模型相当的推理和指令跟随能力——这速度令部分业内人士感到惊讶。

从研发资源的角度看,这个进步速度值得深思。

一个与顶级闭源模型能力相当的开源模型,需要的不仅是原始计算资源,更需要大量高质量的「偏好数据」(preference data)——即人类或另一个更强模型对不同输出的评分,用于指令微调和强化学习。顶级闭源模型的每次API响应,本质上都是一个高质量的「偏好标注示例」。

这正是Anthropic指控中的核心逻辑:据称阿里巴巴系统性地从Claude的API提取输出,以加速Qwen系列的能力对齐——用一家公司的数十亿研发投入换取另一家公司的能力跃升。

时机也很微妙。

2026年上半年,中美AI竞争进入了新的阶段:GLM-5.2在国际社区引发关注,多家中国模型频繁在主流评测中超越闭源竞争对手,中国模型在成本效益比上的优势正在压缩美国顶级闭源模型的市场空间。就在这个节点,Anthropic选择公开指控阿里巴巴,这本身就是一个战略性动作,而非仅仅是法律程序的自然推进。

法律工具箱:Anthropic有哪些武器?

「提取模型能力」在法律上是否构成违法?这是一个极其复杂的问题,很大程度上仍是法律的无人区。Anthropic至少拥有3套可能的法律工具。

工具一:服务条款违反——最直接但执行困难

查阅Anthropic最新的商业服务条款(Commercial Terms of Service)会发现一条核心约束:Anthropic明确禁止客户将API输出用于「侵犯第三方知识产权」的目的,同时要求客户遵守其使用政策(Usage Policy)。而Anthropic的使用政策明确将「Infringe, misappropriate, or violate the intellectual property rights of a third party」(侵犯、挪用或违反第三方的知识产权)列为禁止行为。

值得注意的一个细节:Anthropic的商业条款同时包含一个对自身的限制——「Anthropic may not train models on Customer Content from Services」(Anthropic不得将服务中的客户内容用于训练模型)。这个条款的存在,一方面体现了Anthropic对「用他人内容训练AI是侵权」的立场,另一方面也使得它的指控具有更强的道德一致性——我自己也不这样做,我不允许别人对我这样做。

工具二:版权法——最不确定但潜力最大

Claude权重和输出的版权地位仍是法律灰色地带。但如果Anthropic能够证明Claude的特定「表达性输出」(expressive outputs)具有足够的创作性,那么系统性收集这些输出可能构成版权侵犯。这是AI知识产权法律中最前沿也最不确定的领域——目前全球尚无明确先例。

工具三:《保护商业秘密法》(DTSA)——技术上可能最有力

如果Anthropic能够证明Claude的特定能力(如特定的推理链格式、安全拒绝的边界逻辑、多步任务分解的模式)构成受法律保护的商业秘密,且阿里巴巴通过「不正当手段」(improper means)获取了这些秘密,则可援引2016年通过的《保护商业秘密法》(Defend Trade Secrets Act)提起联邦民事诉讼。DTSA理论上可以适用于境外实体在美国境内实施的或对美国市场造成损害的商业秘密窃取行为。

问题在于证据链:需要技术上建立从「异常API访问行为」到「阿里巴巴特定模型能力提升」的因果链,这需要极强的技术举证能力。

值得注意的是,Anthropic选择了Bloomberg和Reuters这两个顶级媒体来发出指控,而不是首先提交诉讼书。这种媒体先行策略暗示:目前更多是「公开警告」,或已提交法律诉讼但利用媒体放大建立舆论压力,为后续诉讼程序营造更有利的环境。

DeepSeek的前车之鉴:沉默的代价与选择的勇气

这不是第一次有人公开讨论「AI模型提取」的道德和法律问题。

2025年初,当DeepSeek以据称极低的成本复现了接近顶级闭源模型的能力时,全球AI社区掀起了广泛讨论。OpenAI的团队内部产生了严重担忧——多位研究人员在DeepSeek的部分早期输出中发现了与OpenAI模型高度相似的特定风格标记和错误模式(style markers and error patterns),这类「幻觉签名」(hallucination signatures)在自然语言生成领域被视为模型来源的统计指纹,暗示训练数据可能来自大规模OpenAI API查询。

The Wall Street Journal等媒体随后跟进报道,OpenAI内部已就此展开调查。但OpenAI最终选择了相对安静的处理方式:通过技术手段(加强API监控、封禁疑似异常账号)而非正式法律途径来应对。这种沉默的原因之一,据信是技术举证的极难性——在法庭上证明「我的模型能力被提取了」需要构建极具说服力的技术因果链,而目前的法律框架和技术工具均尚不成熟。

另一个原因:公开诉讼 DeepSeek 可能会在中国引发更大的反向舆论压力,并在政治上引起不必要的复杂性。

Anthropic选择了完全不同的策略:公开指控,且指向一家中国最大的科技公司阿里巴巴。

这是一场更高风险的赌注,但也是一次主动塑造行业规则的机会:

一是建立行业先例:如果Anthropic成功阻止阿里巴巴的行为,将为整个AI产业树立一个参照标准,让潜在的「提取者」面临法律风险时三思而后行。这种先例效应的价值,可能远超任何单次诉讼的赔偿金额——这等于用一场诉讼为整个行业设立了规则。

二是商业护城河保卫:Anthropic的商业模式核心是Claude的能力优势,而Claude是Anthropic估值的核心支柱。据AI产业分析人士的粗略估算,训练一个具有前沿能力的模型需要数亿美元的计算成本,加上大量RLHF人类标注数据的采集成本。如果这些投入换来的能力可以被以相对低廉的API调用费系统性提取,Anthropic的核心商业价值将受到根本性威胁——等于研发护城河的概念本身失效了。

三是地缘政治工具的战略运用:在美国政府越来越关注中国AI技术获取的背景下,一家美国AI安全公司正式指控一家中国科技巨头进行AI能力窃取,可能在政策层面获得来自政府的额外关注和支持。这不仅仅是法院判决的问题,更可能影响出口管制执法、外资审查、乃至更广泛的技术竞争政策的走向——让法律行动成为更宏观博弈的一颗棋子。

阿里巴巴的沉默与整个行业的焦虑

截至Bloomberg和Reuters发稿,阿里巴巴尚未公开回应Anthropic的指控。

中国科技公司面对美国法律压力时,往往倾向于沉默处理或通过私下渠道谈判,而非在美国法院系统中正面迎战。阿里巴巴的沉默可能意味着:正在评估法律风险、进行幕后谈判、或等待对方正式提交诉讼文件后再制定回应策略。

但阿里巴巴的个案之外,这件事已经在整个行业产生了涟漪效应。

中国科技公司通常大量使用顶级美国闭源模型的API,用于产品开发、对比评测和能力参考。如果Anthropic成功建立「系统性API使用=模型提取=侵权」的法律联系,将迫使所有组织重新评估自己使用顶级模型API的边界。

反过来,如果Anthropic无法证明指控,这将传递另一个信号:闭源模型的「能力护城河」在API时代本质上是脆弱的——无论你投入多少亿美元研发,只要通过API暴露输出,就面临能力被系统性提取的风险。

API时代的根本悖论:能力必须暴露,暴露即有风险

Anthropic对阿里巴巴的指控,触及了AI产业一个越来越紧迫的根本性矛盾:在API经济时代,「能力」是否可以被保护?

这个悖论无比精准:

  • 你需要开放API来建立商业模式(API调用是Anthropic的核心收入来源之一)
  • 开放API意味着你的核心能力可以被系统性观察、记录和模仿

传统软件时代,代码是可以加密保护的。但AI时代,模型能力只能通过「输出」来传递,而输出无法加密——你给了全世界「答案」,却无法阻止有人「学习答案背后的逻辑」。

当前应对手段的现实局限:

速率限制和行为检测:技术上可以标记异常调用模式,但复杂的提取行为可以分散在多个账号和地区,极难与正常使用区分。

输出水印技术:理论上可以在输出中嵌入不影响功能的统计指纹,用于追踪提取行为的来源。Google DeepMind等团队正在研究LLM水印技术,如果成熟,将大大降低技术举证的难度——但目前仍处于研究阶段,尚无生产级应用。

法律威慑:Anthropic选择的路线,即使最终难以在中国执行,公开指控本身也会提高潜在提取者的声誉成本和法律风险意识。

持续迭代领先:保持能力持续迭代,让提取到的「旧版本」随着新模型发布而快速贬值。但这要求巨额持续投入,而且理论上并不能解决根本问题,只是拉长了被追上的时间窗口。

Anthropic今天选择的是法律威慑路线。是否奏效,将在接下来数月到数年内揭晓。

开幕式

无论Anthropic最终是否赢得这场法律博弈,2026年6月24日都将作为一个标志性时刻被记录——AI知识产权战争从业内暗流正式走上台面的那一天。

这场战争的真正难点在于其多重复杂性,而这些复杂性并不会因为公开指控而自动消失:

地域维度:中美之间的法律管辖差异,使得跨国AI诉讼的实际执行力存疑。美国法院的判决在中国境内执行力有限,Anthropic需要证明阿里巴巴的行为在美国境内产生了可量化的具体损害。这意味着诉讼策略可能需要聚焦在阿里巴巴在美国的商业实体和资产上。

技术维度:「证明」模型提取行为需要建立严格的技术因果链——某个模型的特定输出特征,确实来自对Claude的系统性提取,而非两个模型独立训练后产生的趋同现象(convergence)。随着越来越多的模型使用相似的互联网语料进行训练,区分「提取」和「趋同」将成为技术和法律的共同挑战。

行业维度:如果「大规模API使用」被宽泛地认定为侵权,将影响无数使用顶级模型API进行研究、评测和应用开发的组织。法律边界的划定需要精确区分「合理使用」和「系统性提取」,这个边界的划定本身就是一个涉及整个AI生态健康发展的重大问题。

但有一件事已经确定:AI公司不会继续对「模型提取」保持沉默。

Anthropic今天指控了阿里巴巴。如果这个指控产生效果——无论是通过法律胜利、和解协议、还是仅仅是舆论威慑——其他顶级AI公司将陆续效仿,将类似指控作为竞争策略的一部分加入工具箱。这是一场正在实时形成规则的战争——每一个参与者都在试图在法院判决之前,先在舆论和行业共识层面影响规则的走向,为自己争取最有利的法律定义。

对于整个AI产业来说,这个问题的答案将决定:谁能真正保住技术护城河,谁的「能力优势」只是尚未被充分提取的暂时领先;API商业模式在现有法律框架下是否可持续;以及下一代AI监管是否需要专门针对「模型提取」建立新的法律框架。

而对于关注中美AI博弈的人来说,这只是一系列即将到来的法律对抗的开始——在贸易战、芯片战之后,AI知识产权战争正在成为这场更大博弈的新前线。而且与贸易战、芯片战不同,这条前线的武器不是关税和出口管制,而是充满争议的法律解释、难以验证的技术证据,和在全球范围内高度碎片化的司法管辖权。

这场战争刚刚开始。

参考来源

  • Bloomberg:「Anthropic Accuses Alibaba of ‘Illicitly’ Accessing AI Models」,2026年6月24日
  • Reuters:「Anthropic says Alibaba illicitly extracted Claude AI model capabilities」,2026年6月24日
  • Anthropic商业服务条款(Commercial Terms of Service):anthropic.com/legal/commercial-terms,2026年6月
  • Anthropic使用政策(Usage Policy / Acceptable Use Policy):anthropic.com/legal/aup
  • Florian Tramèr等人:「Stealing Machine Learning Models via Prediction APIs」,USENIX Security 2016,arXiv:1609.02943