Twórcy modelu Claude padli ofiarą zmasowanych kampanii "destylacji", w ramach których zagraniczne podmioty użyły dziesiątek tysięcy fałszywych kont do masowego skopiowania jego zaawansowanych funkcji. To przełomowy moment dla bezpieczeństwa sztucznej inteligencji, udowadniający, że tradycyjne ograniczenia eksportowe technologii stają się nieskuteczne wobec zorganizowanych cyberataków w chmurze.
Najważniejsze w skrócie:
- Anthropic zidentyfikował trzy potężne ataki polegające na przemysłowej ekstrakcji danych (AI model distillation).
- W jednej z kampanii wykorzystano ponad 24 000 kont do wygenerowania 16 milionów zapytań badających logikę systemu.
- Głównym celem napastników było sklonowanie umiejętności programistycznych, analitycznych i tak zwanego "agentic reasoning".
- Skradzione technologie, po pozbawieniu ich filtrów bezpieczeństwa, mogą docelowo służyć reżimom autorytarnym do operacji militarnych i cybernetycznych.
Architektura kradzieży: jak działa chmurowa "hydra"
Nawet surowe blokady regionalne nakładane na podmioty z Chin, motywowane amerykańskim bezpieczeństwem narodowym, nie powstrzymały procederu ekstrakcji wiedzy. Napastnicy z sukcesem wykorzystali skomplikowane sieci komercyjnych proxy, tworząc strukturę, którą badacze opisali mianem "hydry". Kiedy zespół bezpieczeństwa blokował jedno podejrzane konto, w jego miejsce natychmiast pojawiało się kolejne. Rekordowa pod tym względem sieć potrafiła zarządzać 20 tysiącami fałszywych profili jednocześnie, celowo mieszając syntetyczny ruch ze zwykłymi zapytaniami od legalnych klientów.
Zjawisko to definiuje nową jakość w cyberprzestrzeni. Jeszcze dekadę temu kradzież własności intelektualnej polegała najczęściej na omijaniu zapór sieciowych i wykradaniu kodu źródłowego klasycznego oprogramowania. Obecnie wystarczy masowo, w wysoce zautomatyzowany sposób przepytywać zaawansowany LLM przez otwarte API, by "wydestylować" jego mechanizmy. Oznacza to nic innego, jak trenowanie tańszego i słabszego modelu na gotowych, wysokojakościowych odpowiedziach giganta.
Precyzyjne uderzenie w logikę maszyn
Działania te przypominały chirurgiczne operacje celujące w najbardziej zaawansowane możliwości chmury Anthropic. Wymuszano na systemie odpowiedzi w formacie "chain-of-thought", analizując krok po kroku, w jaki sposób maszyna rozwiązuje skomplikowane zadania programistyczne czy analityczne. Największa kampania wygenerowała ponad 13 milionów takich wymian. Hakerzy reagowali z niesamowitą szybkością – zaledwie 24 godziny po premierze nowej wersji modelu potrafili przekierować połowę własnego ruchu, by uczyć się już z nowszych zasobów.
Kolejna z operacji (wykorzystująca 3,4 miliona zapytań) była tak zuchwała, że analitykom udało się powiązać jej metadane logowania bezpośrednio z profilami starszego personelu w jednym z zagranicznych laboratoriów badawczych. Wykorzystując tysiące powtarzalnych, a pozornie niewinnych promptów (np. "zachowaj się jak ekspert analizy danych"), napastnicy systematycznie kopiowali zdolności wnioskowania modelu.
Liderzy rynku tacy jak OpenAI czy DeepMind nie od dziś mierzą się z incydentami nadużywania API. Jednak poziom wyrafinowania i niespotykana skala wymierzona w Claude ukazuje, jak zmieniły się zasady gry. Zamiast czekać miesiącami na potężne klastry wyposażone w drogie akceleratory graficzne NVIDIA H100, napastnicy skutecznie pasożytują na potężnej mocy obliczeniowej ofiary. Z perspektywy rynkowej, wyniki tych nielegalnych działań mylnie uchodzą potem za genialne innowacje twórców "sklonowanego" modelu.
Dlaczego to ważne?
Ten incydent to dzwonek alarmowy dla całego sektora GenAI oraz decydentów zajmujących się geopolityką. Omijanie międzynarodowych sankcji weszło na niedostępny dotąd poziom. Zaledwie rok czy dwa lata temu politycy skupiali całą swoją uwagę na blokowaniu fizycznych dostaw sprzętu obliczeniowego do krajów podwyższonego ryzyka. Dziś te restrykcje okazują się zaledwie półśrodkiem, skoro najbardziej krytyczną i użyteczną wiedzę z amerykańskich sieci neuronowych można całkowicie cyfrowo "wyssać".
Problem ten ma dwie kluczowe płaszczyzny. Z komercyjnego punktu widzenia stanowi dewastujący cios – odtworzenie flagowych technologii, których rozwój pochłonął lata badań i miliardy dolarów, zajmuje zagranicznym rywalom zaledwie ułamek tego czasu. Co więcej, eliminuje po stronie napastnika ryzyko kosztownych ślepych zaułków badawczych. Z perspektywy bezpieczeństwa globalnego rodzi to potężne zagrożenie. Skradzione i nielegalnie wytrenowane systemy nie posiadają obligatoryjnych warstw ochronnych (tzw. guardrails). Taka destylowana, pozbawiona cenzury inteligencja w rękach nieodpowiedzialnych rządów będzie mogła posłużyć do planowania ataków na infrastrukturę krytyczną, a nawet optymalizacji konstrukcji broni masowego rażenia. Ewentualne wycieknięcie tak uformowanych modeli do otwartych środowisk sprawi, że kontrola nad ich rozprzestrzenianiem będzie technicznie niemożliwa.
Co dalej?
- Dostawcy technologii chmurowych i firmy wdrażające API będą musieli natychmiast zintegrować na poziomie serwerów złożone, wielowarstwowe identyfikatory behawioralne (fingerprinting), by wyłapywać próby przemysłowego wysysania danych.
- Czeka nas znaczące zaostrzenie rygorów rejestracji – procesy weryfikacji dla kont badawczych, studenckich oraz start-upowych (najczęstszych wektorów maskowania ataków) staną się znacznie trudniejsze do przejścia.
- Wymuszone zostanie wypracowanie mechanizmów szybkiego, transgranicznego dzielenia się informacjami wywiadowczymi między firmami sztucznej inteligencji, dostawcami infrastruktury i rządem w celu powstrzymania powielania tych ataków na innych platformach.
