明豪點評:中國AI竊密全揭露!
《外交事務》:中國AI竊密全揭露!DeepSeek如何從Claude竊取1600萬次對話數據?
美中人工智能競爭已進入新戰場——本地端開放權重模型。中國企業以「蒸餾」技術從美國頂尖AI系統汲取核心能力,以低成本複製高性能模型並廣泛推送至全球設備。美國若不積極回應,即便在AI訓練端領跑,也可能在分發端落敗,最終將全球數十億用戶的數位基礎設施拱手讓予北京。
精要句:「美國耗資千億美元訓練前沿AI,中國卻以欺詐手段蒸餾竊取,再以低廉成本將其推向全球——美國或贏訓練之戰,卻輸分發之戰。」
來源:《外交事務》(Foreign Affairs) 原文網址:https://www.foreignaffairs.com/china/chinas-ai-heist 原文標題:China's AI Heist: How to Counter Beijing's Unauthorized "Distillation" 作者:賈瑞德·鄧蒙(Jared Dunnmon)、阿瓦尼卡·納拉揚(Avanika Narayan)、喬恩·薩德-法爾孔(Jon Saad-Falcon) 發表日期:2026年5月29日
中國AI竊密
如何反制北京未經授權的「蒸餾」行動
美中人工智能競爭已在開放權重本地AI模型領域開闢了一條新戰線。直至近期,最強大的AI模型體量龐大、造價高昂,只能在配備昂貴專用晶片的巨型數據中心裡運行。如今,這些系統正迅速從雲端遷移至消費級硬體——包括筆記型電腦和行動設備——在其中回答問題、編寫代碼、代表用戶執行操作,無需向遠端伺服器傳送任何數據。得益於AI模型與晶片技術的雙重進步,愈來愈多本地AI部署所依賴的「開放權重AI模型」,比其前身更聰明、更精巧,可從網路上自由下載、修改並部署,無需中央化服務提供商。
這些快速的本地AI系統有望使強大技術普及化、降低成本,並讓用戶對日常工具擁有更大主導權。但它們同時也可能固化一種深刻的非對稱格局。目前流向本地設備的最強大開放權重模型,絕大多數來自中國。若現狀持續,中國將保持這一強大優勢。更甚者,許多最優秀的開放權重模型均由中國企業打造,這些企業以工業規模系統性地從美國前沿系統中汲取能力——藉由一種稱為「蒸餾」的技術:將一個更小、更高效的AI模型訓練成模仿更複雜模型的能力。而美國企業受合同與法律規範束縛,無法採取同樣做法——每家主要AI服務提供商的服務條款均明確禁止使用模型輸出訓練競爭系統。
在此動態之下,AI領域的核心競爭已不再局限於開發,而是擴展至分發——亦即,哪個國家的模型、晶片與軟體框架,將成為數十億設備上的默認選項。目前,美國企業設計並銷售最佳晶片與前沿AI模型;中國企業則在蒸餾這些模型後,將其壓縮以在廉價硬體上低成本運行,並將成果輸出至世界各地——甚至在許多情況下,反向輸回美國本土。由此產生的中國優勢扭曲了市場,迫使需要建構在開放權重AI之上的美國企業和全球用戶,面臨一個令人難堪的抉擇:要麼使用中國模型,要麼落後於人。
眼下似乎出現了一種可能:美國贏得AI訓練之戰,卻輸掉分發之戰——不是因為技術能力不足,而是因為未能確保公平競爭環境。所幸,應對之策並非無跡可尋。過去十年,華盛頓已磨礪出一套應對中國反競爭行為的劇本,如今必須將這些策略加以調整,一方面推動美國在開放權重AI領域的進展與領導地位,同時對逾越正當研究慣例、趨近經濟戰的中國主體行為予以懲戒。此策略存在一定風險:若執行過寬,可能通過限制美國所需人才和模型的獲取,反而損害美國AI領導力。但若執行精準,這一策略可與私人部門打擊未授權蒸餾的努力相輔相成,確保美國的AI優勢延續至下一個十年。
新階段的到來
直至近期,普通用戶在本地運行AI仍舉步維艱。日常設備——包括筆記型電腦和手機——內置晶片的記憶體容量不足以容納有能力的模型,計算能力也不足以讓其在可用速度下運行。此外,使模型可靠執行多步驟任務(如閱讀文件、起草回覆並將其保存至正確資料夾)的軟體尚未成熟。
今日,情況已截然不同。硬體效率大幅提升,本地模型自身亦然。史丹福研究人員的一項最新研究顯示,本地模型能夠準確回答的問題比例,從2023年的23%躍升至2025年的71%。這意味著,用戶現在可以將開放權重AI模型直接下載至筆記型電腦或智慧型手機,在無需網路連線的情況下運行,查詢由設備自身晶片處理,而非遠端數據中心。
對本地AI系統的需求因多種原因持續增長。開發者希望能獨立下載、修改和部署模型;企業希望將敏感數據保留在自己的基礎設施中;AI公司則需要能在自有數據上進行微調的模型。經濟與基礎設施因素也在推動AI市場向本地模型傾斜。訪問雲端代價高昂,而基於雲端的模型依賴面臨重大電力限制的超大型數據中心。將AI工作負載轉移至本地設備,可將負擔分散至數百萬台現有設備,繞開數據中心日益突出的物理與政治局限。
AI能力廣泛分佈於地理空間也帶來額外優勢。3月,亞馬遜網路服務(AWS)在阿拉伯聯合大公國和巴林的數據中心遭伊朗無人機打擊,此事揭示了僅依賴數據中心處理AI工作負載的風險——攻擊癱瘓了該地區部分AWS基礎設施,導致銀行系統、支付應用、叫車服務和企業軟體全面宕機。隨後,伊朗伊斯蘭革命衛隊威脅要對十數家美國科技企業在中東的基礎設施發動攻擊,其中包括多家領先AI公司。隨著AI系統愈來愈多地被用於支援軍事行動,數據中心實際上已成為軍民兩用設施,因而成為打擊目標。將AI能力集中於少數幾個暴露在外的大型設施,是一種戰略脆弱性;讓模型在眾多設備上本地運行,才是更安全、更具韌性的替代方案。
危機四伏的商業生態
中國企業意識到本地模型的優勢,正竭力在美國企業無法複製的條件下,通過蒸餾技術從美國模型中汲取能力。今年2月,美國AI公司Anthropic披露,中國AI實驗室DeepSeek、月之暗面(Moonshot)和MiniMax,通過約2.4萬個欺詐賬號,共計向其Claude模型發起逾1600萬次交互,以竊取高價值的推理、編碼及工具使用能力。Anthropic將這一行為定性為系統性蒸餾,而非個別濫用。其結果是:Anthropic耗費數億美元開發的能力,在發布後數週內便被虹吸進入競爭中的中國產品。
問題的癥結並非蒸餾技術本身。知識轉移本是AI生態系統創新的組成部分,全球各地的開發者依賴開放權重模型進行合法研究。問題在於:中國企業可以自由地對美國前沿模型展開大規模能力汲取,而美國企業卻受服務條款與法律規範的制約,其外國競爭對手對這些規範視若無睹。美國前沿實驗室耗費數百億美元訓練模型,但這些能力卻可以被盜取,並以原始成本的零頭複製。如此一來,承擔前沿研究費用的企業,正日益淪為競爭對手產品線的補貼方——而競爭對手隨後又試圖以低價回頭衝擊它們。
蒸餾所伴生的安全與保障風險同樣令人憂慮。蒸餾能轉移模型在訓練中習得的能力,但關鍵的AI防護措施——如對齊調優(訓練模型遵從人類指令並拒絕有害請求)、紅隊測試(專家測試以發現並修復模型缺陷)及安全過濾(篩查危險內容的輸入輸出軟體)——均是在核心訓練流程完成後才附加至模型的。因此,這些防護措施在蒸餾過程中不會同步轉移,後果可能相當嚴峻。2025年初,美國科技企業思科披露,中國開放權重推理模型DeepSeek-R1在業界標準安全測試HarmBench的抽樣提示中全部失手,測試類別涵蓋網路犯罪、非法武器及虛假信息。網路安全公司CrowdStrike進一步發現,當政治敏感詞(如「西藏」、「法輪功」、「維吾爾族人」)被添加至普通編碼提示中時,DeepSeek-R1生成帶有安全漏洞代碼的概率最高提升50%。
OpenClaw案例凸顯了這些模型的安全與保障風險。OpenClaw是一款在用戶自有設備上運行的開源AI代理軟體框架,2025年底發布後迅速成為開發者平台GitHub上增速最快的倉庫之一,月活用戶達數百萬。與基於瀏覽器的聊天機器人不同,OpenClaw賦予本地代理記憶、工具及借助本地硬體採取行動的能力。用戶通常將OpenClaw與開放權重AI模型配對使用。由於OpenClaw及類似系統能自主構建並運行代碼,底層AI模型中的漏洞不再停留於文本層面,而是被編譯、部署並在用戶設備上執行。OpenClaw的「技能」市場——為代理提供執行特定任務的預構建能力,從編寫代碼到管理文件——迅速充斥了逾340個惡意插件。此外,思科的AI威脅與安全研究團隊發現,OpenClaw社群中一款排名靠前的技能在功能上就是惡意軟體,充分說明擁有不肯拒絕明顯惡意指令的開放權重AI模型,其危害何其深重。
中國本地模型從美國產品蒸餾而來,其不受遏制的擴散正走向製造嚴峻地緣政治依賴的軌道。一個開發者或許最初只打算在本地使用某款中國模型,但當其應用需要雲端規模時,自然而然地會轉向最優化支持該模型的雲服務提供商——結果是阿里雲取代了美國的AWS。最終,他使用的是華為晶片,而非英偉達。一個由成本驅動的初始選擇,演變成了全棧式的持久依賴。同樣的模式已在電信、移動支付和數字基礎設施領域一再上演,是更廣泛的中國以技術驅動影響力戰略的組成部分——從「一帶一路」實體基礎設施到華為5G網絡,無不系統性地將初始成本優勢轉化為持久依賴。若從美國模型蒸餾而來的中國模型成為全球數十億設備上的默認智能,美國就面臨允許北京掌控人們在信息獲取、通信與工作中日常所用工具的風險。
關閘門,踩油門
華盛頓必須雙管齊下應對中國優勢:放緩北京的未授權蒸餾行動,同時加速美國開放權重生態系統的發展。主要美國AI企業已在嘗試阻止未授權蒸餾。Anthropic已構建行為指紋識別與響應塑造系統,標記自動化蒸餾特徵使用模式,並對模型輸出進行細微調整,令竊取的數據對競爭對手的用途大打折扣。谷歌也部署了類似的檢測系統,成功識別出一場針對其Gemini模型、涉及逾10萬次提示的攻擊活動。OpenAI則向國會警告,自己同樣遭受了類似的工業規模蒸餾攻勢。
這些舉措是良好開端,但不足以根治問題,因為執著的攻擊者總能找到繞過大多數技術防禦的辦法。企業在模型輸出中嵌入的數字水印可被剪除,其追蹤的行為指紋可被進一步訓練模糊,而檢測本身只在企業能看到模型如何被使用時才有效。為協助私人企業的努力,美國政府應首先聚焦於貿易與監管政策。蒸餾流程仍依賴獲取美國晶片進行訓練,這使得出口管制成為大規模限制蒸餾的最有效政策之一。這些管制應得到維持並進一步收緊,尤其是在已知用以進行未授權蒸餾的晶片方面。
作為這一努力的組成部分,華盛頓應擴展外國直接產品規則(FDPR)的適用範圍——依據該規則,美國可對含有源自美國技術的外國產品施加許可要求。在此框架下,任何從美國前沿系統中系統性汲取能力的中國模型,都將受到許可要求的約束。若許可被拒,結果將是對這些產品的商業部署、融入企業產品及向第三國出口的全面禁令。這一舉措雖無法阻止基於蒸餾的本地模型的創建,但將擾亂其部署與出口。
FDPR的效力已通過其在網絡設備和半導體製造工具領域的應用得到驗證。將其延伸至AI或許更為重要,因為一款蒸餾模型在發布後數小時內便可被部署並整合進商業產品,使下游商業使用管道的管控不可或缺。FDPR式的方法還有一個實用優勢:它針對的是特定模型,而非廣泛懲罰整個企業或主體。因此,它可與其他措施單獨使用或配合使用,例如「實體清單」認定——後者將正式切斷實施未授權蒸餾的中國實驗室獲取美國技術和元器件的渠道。依據《國際緊急經濟權力法》,美國還可凍結這些實驗室在美資產,禁止美國人和企業與其開展業務,並對繼續向其提供供應或合作的外國企業製造二級風險。
AI領域的核心競爭已不再局限於開發,它已延伸至分發。
這些保護措施雖然廣泛,仍嫌不足。華盛頓必須緊迫地推動有競爭力的美國開放權重替代方案的發展。目前,經濟激勵機制正在對美國開放權重開發者不利地運作:前沿實驗室不願發布可能蠶食自身現有成功產品的模型,而獨立美國開發者又無法在不違反服務條款的情況下從前沿系統進行蒸餾。對此,華盛頓應與前沿AI企業合作,在其服務條款中允許美國及盟國企業進行有限度、可問責的蒸餾。此類蒸餾可設定限制並接受安全審查,與某些中國實驗室實施的無邊界、匿名竊取截然有別。與此同時,公共資源和研究資金應用於鼓勵美國主體發布並維護有能力的開放權重模型,讓全球的開發者、企業和政府有充分理由選擇美國選項。谷歌近期發布的Gemma 4——一系列與Gemini同源研究構建的開放權重模型——證明,美國企業在足夠的動力驅動下確實能夠生產有競爭力的開放權重模型。若能廣泛供應可替代中國模型的美國選項,採用在不受監管替代品基礎上構建的竊取能力模型的誘因將大幅降低。
每項措施若能與盟友協調推進,將收到最大成效。華盛頓應與亞洲、歐洲及其他地區的夥伴合作,協調政策方針,組建足夠強大的聯盟以制定蒸餾、模型許可和出口管制的共同標準。若缺乏此類協調,華盛頓單方面施加的管制極易被規避:被拒獲美國晶片的中國實驗室可通過其他市場採購,被禁止進入美國的開放權重模型可在歐洲或日本找到用戶。協調工作固然艱難,但生產全球最先進晶片、前沿模型和最大軟體市場的民主國家,仍掌控著大多數關鍵咽喉要道,仍有能力採取行動。在私人部門層面,美國企業應共享其開發的蒸餾檢測工具,並圍繞模型安全建立合作規範。
去年,本文作者之一鄧蒙曾在本刊警告:若中國的蒸餾行動使中國開放權重模型超越美國,可能從根本上侵蝕美國的AI優勢。如今,這一警告已成現實。竊取行動正以工業規模進行,本地設備計算已跨過拐點;OpenClaw等系統已證明全球用戶想要在自有設備上運行的模型,海灣地區數據中心遭受的打擊也表明,集中式計算資源面臨物理層面的脆弱性。隨著前沿AI系統愈發趨近Anthropic首席執行官達里奧·阿莫代伊所稱的「數據中心裡的天才國度」,開放權重AI已在全球設備上驅動著名副其實的虛擬助手世界,幫助日常用戶更高效、更有效地工作與生活。美中AI競爭的下一階段,在很大程度上將取決於哪個國家的模型成為全球本地設備上的默認選項。除非華盛頓做出必要的改變,否則這一殊榮將歸屬中國。
📊 《明鏡譯報》評論員 · 背景介紹與深度評析
評論員按:本文三位作者均具有高度說服力的學術與實務背景——鄧蒙曾任五角大廈防務創新部AI技術總監,另外兩位則是史丹福大學計算機科學博士生,同時是開源AI代理框架OpenJarvis的共同創始人。這篇文章發表在素有美國外交政策「皇家刊物」之稱的《外交事務》,時機恰在Anthropic公開披露遭中國機構大規模蒸餾竊取的四個月後,意義深遠,絕非偶然。
一、蒸餾戰爭的真實規模
蒸餾(distillation)本身是一種業界通行的AI技術:通過讓小模型學習大模型的輸出,在降低計算開銷的同時保留核心能力。問題的關鍵,在於規模與意圖。Anthropic披露的數字——通過2.4萬個欺詐帳號發起的1600萬次交互——讓人意識到,這已不是零星的技術借鑑,而是有組織的能力汲取行動。三家涉事機構DeepSeek、月之暗面、MiniMax均是中國AI領域的頂尖玩家,其背後均有中國國家資本或科技龍頭的影子。這種行為在性質上接近工業間諜,但因發生在AI模型這一法律灰色地帶,目前在國際法律框架下難以直接認定為違法。
二、開放生態的悖論
開放權重模型(open-weight model)的理念源自「技術應屬公共財」的信念,Meta的LLaMA系列、谷歌的Gemma均屬此列。問題在於,開放意味著任何人都可以下載、修改、再部署,包括去除安全對齊層。文章中Cisco對DeepSeek-R1的測試結果令人警醒:在涵蓋網路犯罪、非法武器、虛假信息等敏感提示的測試中,DeepSeek-R1完全失守。更值得注意的是,一旦涉及西藏、法輪功、維吾爾族等政治敏感詞,其生成有安全漏洞代碼的概率飆升50%,這意味著其安全設計本身存在政治導向的扭曲。這不僅是技術安全問題,更是價值觀層面的深層隱患。
三、分發戰場:被低估的地緣政治
文章最具洞見的論點是「分發戰場」(distribution war)概念。美國過去的AI敘事高度集中在「訓練端」:誰的算力更強、誰的模型更聰明。但文章指出,真正決定全球AI格局的,是哪國模型默認存在於數十億用戶的日常設備中。這一邏輯並非新鮮事:華為5G之爭的本質從來不只是技術優劣,而是誰的硬體基礎設施成為全球電信網絡的神經中樞。AI端的邏輯如出一轍——若中國本地模型成為大多數筆電、手機的默認AI引擎,其背後的雲服務自然是阿里雲,晶片自然走向華為,整條供應鏈將在不知不覺中完成「技術民族主義」的重組。
四、OpenClaw:一個預兆性的警示
文章描述的OpenClaw案例具有標誌性意義。此類本地AI代理框架代表著AI應用的下一個演進方向:不再是聊天助手,而是能夠自主在設備上讀寫文件、執行代碼、管理任務的「數位員工」。當底層模型拒絕過濾惡意指令,其威脅不再停留在文本輸出,而是化為可執行代碼,在用戶設備上悄然運行。340個惡意插件在短期內充斥市場,是一個清晰的信號:開放生態的自由化收益,正在被安全治理的缺失所抵消。
五、政策困局與盟友協調
作者提出的FDPR延伸方案,本質上是將現有晶片出口管制的邏輯,移植至AI模型的商業部署層面。這在操作上面臨挑戰:如何界定「系統性汲取」?如何在技術上認定某一模型的能力確實源自未授權蒸餾?這需要相當複雜的技術鑑定體系。此外,美國盟友——尤其是歐盟——在AI監管方向上更傾向於以使用者保護和透明度為核心,而非以地緣政治競爭為驅動力,協調難度不容低估。更深層的矛盾在於:美國自身的開放生態(Meta的LLaMA、Google的Gemma)本身就是全球蒸餾鏈的重要起點,部分限制政策可能在無意中傷及美國自身的開放創新文化。
六、結語:技術主權的新前線
這篇文章的最終警示,指向一個比算法競賽更深遠的問題:技術主權的實質,不在於「誰創造了什麼」,而在於「誰的基礎設施成為人類日常生活的默認底層」。從操作系統到瀏覽器、從社交平台到支付系統,每一次底層基礎設施的鎖定,都伴隨著難以逆轉的依賴效應。AI的本地化部署潮流,正在將這一競爭推向一個新的、更難辨識的領域——不在數據中心,不在股市,而在每個人手中的設備裡,悄然生根。