Der große Modell-Raub: Wie „Distillation Attacks“ den Kalten Krieg der KI anheizen

Das Rennen um die Vorherrschaft bei der künstlichen Intelligenz hat ein brisantes neues Kapitel aufgeschlagen. Während die Welt die Veröffentlichung immer leistungsfähigerer großer Sprachmodelle (LLMs) beobachtet, wird ein Schattenkrieg um genau die Daten geführt, die zu deren Training verwendet werden. In einer Reihe von aufsehenerregenden Berichten haben führende amerikanische KI-Unternehmen – darunter Anthropic, OpenAI und Google – mehrere prominente chinesische KI-Startups beschuldigt, jahrelange Forschung und Investitionen in Milliardenhöhe durch eine Technik zu umgehen, die als „Distillation Attack“ (Destillationsangriff) bekannt ist.

Im Zentrum der jüngsten Kontroverse steht Anthropic, der Schöpfer der Claude-Modellreihe. Das Unternehmen gab vor Kurzem bekannt, dass es eine massive, koordinierte Aktion zum Diebstahl seines geistigen Eigentums entdeckt hat. Laut Anthropic sollen Firmen wie DeepSeek, Moonshot AI und MiniMax über 24.000 gefälschte Konten genutzt haben, um mehr als 16 Millionen Konversationen mit Claude zu generieren. Das Ziel? Claudes ausgefeilte Argumentations- und Logikfähigkeiten zu nutzen, um eigene konkurrierende Modelle zu einem Bruchteil der Kosten zu trainieren.

Die Distillation Attack verstehen

Um zu verstehen, warum diese Vorwürfe so schwerwiegend sind, muss man das Konzept der Modelldestillation verstehen. In einem legitimen Forschungskontext ist die Destillation eine gängige Technik, bei der ein kleineres, effizienteres „Student“-Modell trainiert wird, um das Verhalten eines größeren, komplexeren „Teacher“-Modells zu imitieren. Dies ermöglicht es Entwicklern, schnelle, leichtgewichtige KI zu erstellen, die auf Smartphones oder lokaler Hardware laufen kann und dabei einen Großteil der Intelligenz eines massiven Modells auf Rechenzentrumsniveau beibehält.

Ein Destillations-Angriff findet jedoch statt, wenn ein Konkurrent die API (Application Programming Interface) des Modells eines Rivalen nutzt, um dessen Wissen ohne Erlaubnis systematisch zu extrahieren. Man kann es sich wie einen Studenten vorstellen, der, anstatt die Original-Lehrbücher zu studieren und die Laborarbeit zu leisten, einfach jedes Wort eines Weltklasse-Professors aufzeichnet und diese Aufnahmen nutzt, um einen Konkurrenzkurs aufzubauen. Der Student spart Jahre an Mühe und Millionen an Studiengebühren, während die ursprüngliche Arbeit des Professors entwertet wird.

Das Ausmaß der Anschuldigungen

Das schiere Ausmaß der von Anthropic gemeldeten Aktivitäten deutet auf eine hochgradig industrialisierte Operation hin. Durch die Erstellung von 24.000 separaten Konten versuchten die Angreifer wahrscheinlich, „Rate Limits“ zu umgehen – die Sicherheitsbremsen, die KI-Unternehmen einsetzen, um zu verhindern, dass ein einzelner Nutzer Ressourcen beansprucht oder Daten abgreift.

Durch die Verteilung von 16 Millionen Abfragen auf diese Konten sammelten die chinesischen Firmen mutmaßlich einen massiven Datensatz an hochwertigen „synthetischen Daten“. Diese Daten sind besonders wertvoll, da sie die „Chain-of-Thought“-Argumentation enthalten, für die Modelle wie Claude 3.5 und Claude 4 bekannt sind. Für ein Unternehmen wie DeepSeek oder Moonshot AI fungieren diese geernteten Daten als Abkürzung, die es ihnen ermöglicht, die Lücke zwischen ihren aktuellen Fähigkeiten und dem Stand der Technik zu schließen, ohne die astronomischen Kosten für originäre Entdeckungen tragen zu müssen.

Ein Muster der Eskalation

Anthropic steht mit seinen Beschwerden nicht allein da. Anfang dieses Monats gaben OpenAI und Google ähnliche Warnungen heraus und stellten fest, dass ihre proprietären Modelle in Mustern abgefragt wurden, die auf eine automatisierte Datenernte durch Einheiten hindeuten, die mit dem chinesischen Tech-Sektor in Verbindung stehen.

Dieser Trend verdeutlicht eine wachsende Verzweiflung im globalen KI-Wettlauf. Da die US-Regierung die Exportkontrollen für High-End-NVIDIA-Chips – die für das Training von KI unerlässliche Hardware – verschärft, stehen chinesische Firmen vor einer „Rechenknappheit“. Wenn sie keinen Zugang zur Hardware haben, um Modelle von Grund auf mit Rohdaten zu trainieren, ist ihr praktikabelster Weg nach vorne die „Destillation“ der Intelligenz, die bereits von amerikanischen Unternehmen perfektioniert wurde, welche über die entsprechenden Chips verfügen.

Die wirtschaftlichen und geopolitischen Auswirkungen

Die Auswirkungen dieser Angriffe gehen weit über die Unternehmensbilanzen hinaus. Wir erleben die Verfestigung eines „Kalten Krieges der KI“, in dem geistiges Eigentum das primäre Schlachtfeld ist.

Für US-Politiker ist dies ein nationales Sicherheitsproblem. Wenn chinesische Firmen den Entwicklungsprozess erfolgreich „kurzschließen“ können, könnte der Vorsprung, den die USA derzeit bei der KI-Sicherheit und -Leistungsfähigkeit halten, schwinden. Dies hat zu Forderungen nach strengeren „Know Your Customer“ (KYC)-Anforderungen für KI-API-Anbieter geführt, wodurch der Zugang zu einem leistungsstarken LLM mit der gleichen Sorgfalt behandelt würde wie ein Bankkonto.

Wie die Branche zurückschlägt

KI-Labore konzentrieren sich nicht mehr nur darauf, ihre Modelle intelligenter zu machen; sie konzentrieren sich darauf, sie schwerer stehlbar zu machen. Mehrere Verteidigungsstrategien werden derzeit eingesetzt:

• Behavioral Fingerprinting: Unternehmen nutzen KI, um den API-Verkehr auf „nicht-menschliche“ Muster zu überwachen. Wenn ein Konto Tausende von komplexen Logikrätseln hintereinander stellt, wird es als potenzieller Bot markiert.
• Watermarking: Einige Forscher experimentieren mit „Soft Watermarking“ von Modellausgaben. Dabei wird die Wortwahl subtil beeinflusst, was für Menschen unsichtbar ist, aber später von einem Algorithmus erkannt werden kann, um zu beweisen, dass ein bestimmter Datensatz von einem bestimmten Modell generiert wurde.
• Aggressives Rate Limiting: Reduzierung der Anzahl der Abfragen, die ein neues Konto stellen kann, bis es eine Historie legitimer Nutzung nachgewiesen hat.

Praktische Erkenntnisse für die Tech-Branche

Da die KI-Landschaft zunehmend von Rechtsstreitigkeiten und Verteidigungsmaßnahmen geprägt ist, sollten sich Entwickler und Unternehmen auf ein restriktiveres Umfeld einstellen.

1. Erwarten Sie strengeren API-Zugang: Wenn Sie auf Claude oder GPT aufbauen, müssen Sie mit einer strengeren Identitätsprüfung und strengeren Nutzungslimits für neue Konten rechnen.
2. Prüfen Sie Ihre Datenquellen: Wenn Sie Open-Source-Modelle verwenden, die „Leistung auf GPT-4-Niveau“ versprechen, überprüfen Sie deren Trainingsmethodik. Die Verwendung von Modellen, die auf gestohlenen Destillationsdaten trainiert wurden, könnte zu rechtlichen Komplikationen oder einem „Modellkollaps“ führen, falls die Daten schlecht gefiltert wurden.
3. Überwachen Sie Ihr eigenes geistiges Eigentum: Wenn Ihr Unternehmen proprietäre Algorithmen entwickelt, stellen Sie sicher, dass Ihre API-Endpunkte über eine robuste Überwachung verfügen, um ähnliche Scraping-Versuche zu verhindern.

Der Weg in die Zukunft

Die Anschuldigungen gegen DeepSeek, Moonshot AI und MiniMax stellen einen grundlegenden Wandel in der KI-Branche dar. Die Ära der „offenen Forschung“ geht rasch zu Ende, da Unternehmen erkennen, dass ihre Ergebnisse ihre wertvollsten Vermögenswerte sind. Während die USA bei den reinen Innovationen weiterhin führen, bleibt die Fähigkeit globaler Wettbewerber, diese Innovationen durch Destillation zu spiegeln, eine starke Bedrohung. Der Kalte Krieg der KI ist keine theoretische Zukunft mehr – er ist die Realität der Gegenwart.

Quellen

• Anthropic Official Blog: Security and Model Integrity Reports
• The New York Times: The Global Struggle for AI Supremacy
• MIT Technology Review: What is Model Distillation?
• U.S. Department of Commerce: Export Controls and Emerging Technologies
• Reuters: Chinese AI Startups and the Quest for Compute