Alibaba prý 28,8 milionu dotazy kopírovala Claude. Anthropic obviňuje čínského giganta z největšího distilačního útoku

Ilustrační obrázek
Americký startup Anthropic obvinil čínského technologického giganta Alibaba z dosud největšího koordinovaného útoku na svůj AI model Claude. Podle Anthropicu provozovatelé napojení na Alibabinu laboratoř Qwen vygenerovali přes 28,8 milionu výměn s Claudem prostřednictvím zhruba 25 000 falešných účtů — a vše s jediným cílem: zkopírovat schopnosti modelu, za jejichž vývoj Anthropic zaplatil stovky milionů dolarů.

Co je „distilační útok" a proč je tak nebezpečný?

Technika, o které Anthropic hovoří, se nazývá adversariální distilace (adversarial distillation). Zjednodušeně řečeno: místo toho, abyste roky trénovali vlastní AI model od nuly, opakovaně se ptáte silnějšího modelu — například Claude — a jeho odpovědi používáte k trénování vlastního, méně výkonného systému. Výsledkem je model, který „saje" z výzkumu a vývoje konkurenta, aniž by za něj zaplatil jedinou korunu.

Jde o podobný princip, jako kdyby někdo fotografoval každou stránku jinak nedostupné knihy a pak z ní vydal vlastní. Technicky vzato nejde o hackování — stačí mít přístup k API a hodně trpělivosti. Proto je obrana tak obtížná.

Anthropic na svém blogu publikoval podrobnou analýzu metod detekce a prevence distilačních útoků, nicméně útočníci se neustále přizpůsobují.

28,8 milionu výměn: rekordní útok

Podle dopisu, který Anthropic zaslal 10. června 2026 dvěma americkým senátorům ze Senátního výboru pro bankovnictví, bydlení a urbanismus, probíhal útok od 22. dubna do 5. června 2026. Operátoři napojení na Alibabinu AI laboratoř Qwen vytvořili přibližně 25 000 podvodných účtů a prostřednictvím nich s Claudem uskutečnili 28,8 milionu výměn.

Cílem přitom nebyly náhodné odpovědi na obecné dotazy — útok byl podle Anthropicu zaměřen na velmi specifické schopnosti: softwarové inženýrství a agentické uvažování, tedy oblasti, ve kterých Claude vyniká a které jsou nejdražší na vývoj.

Anthropic incident oznámil i Bílému domu a vyzval Washington k zavedení přísnějších regulačních opatření. Podle CNBC Alibaba na žádosti o vyjádření zatím nereagovala.

Alibaba není první — ale je největší

Tento případ není izolovaným incidentem. Už v únoru 2026 Anthropic veřejně obvinil tři čínské AI laboratoře — DeepSeek, Moonshot AI a MiniMax — ze soustavných distilačních útoků. Tehdy šlo o přibližně 24 000 podvodných účtů a přes 16 milionů výměn. Nyní Alibaba tento rekord téměř zdvojnásobila.

Rozložení předchozích útoků bylo přitom technicky zajímavé: MiniMax se zaměřil na agentické kódování (přes 13 milionů výměn), Moonshot AI na agentické uvažování a nástroje (3,4 milionu výměn), DeepSeek pak na fundamentální logiku a alignment. Každá firma si šla po jiném „kousku" Claudových schopností — jako by spolupracovaly na skládání kompletního puzzle.

Stejnou situaci zažívá i OpenAI, která v otevřeném dopise americkým zákonodárcům upozornila na pokusy DeepSeekem distilovat jejich modely.

Qwen: co to vlastně je?

Alibabina laboratoř Qwen (dříve Tongyi Qianwen) vyvíjí rodinu open-source jazykových modelů, které jsou dostupné na platformě Hugging Face a staly se velmi oblíbenými po celém světě — včetně Evropy a Česka. Vývojáři je využívají jako základní modely pro vlastní aplikace. Paradoxně tedy existuje šance, že část schopností, které Alibaba údajně distilovala z Claude, mohla skončit i v open-source verzích Qwenu přístupných komukoli.

Nejnovější verze Qwen 3 sice dosahuje slušných výsledků v benchmarcích, ale na Claude Opus nebo GPT-4o stále ztrácí — zejména v komplexním uvažování a agentech. Právě proto jsou tyto schopnosti pro čínské laboratoře tak atraktivní.

Technologická válka v novém kabátě

Případ Anthropic vs. Alibaba je daleko více než firemní spor. Symbolizuje hlubší strukturální napětí: americké AI laboratoře investují miliardy do frontier výzkumu, zatímco jejich čínská konkurence se snaží zkrátit cestu prostřednictvím distilace. Výsledkem jsou modely, které dosahují srovnatelných výsledků za zlomek nákladů — a to se zákonitě dotýká i obchodního modelu celého odvětví.

Jak upozorňuje Euronews, celá situace připomíná technologickou studenou válku — s tím rozdílem, že zbraněmi jsou dotazy a API klíče, nikoli rakety. Americké firmy proto naléhají na Kongres, aby distilační útoky zakotvil jako jasně ilegální kategorii a umožnil jejich postih i na mezinárodní úrovni.

Co to znamená pro české uživatele a firmy?

Přímo? Zatím nic dramatického. Claude je pro české uživatele dostupný přes claude.ai (plán zdarma i předplatné Pro za cca 20 USD/měsíc), zatímco modely Qwen jsou k dispozici zdarma jako open-source. Pokud ale distilační kampaně povedou k tomu, že AI firmy zpřísní přístup ke svým API nebo výrazně zdraží enterprise plány, pocítí to vývojáři a firmy, kteří Claude nebo GPT-4o integrují do svých produktů.

V širším kontextu jde i o otázku pro Evropu a EU AI Act: kdo nese odpovědnost, pokud open-source model — třeba Qwen — obsahuje schopnosti distilované z proprietárního systému bez souhlasu původce? Tato právní šedá zóna zatím čeká na definitivní odpověď.

Jak se Anthropic brání?

Anthropic nasazuje kombinaci technických a právních opatření. Na technické straně jde o detekci podezřelých vzorců chování — náhlé přívaly strukturovaných dotazů z nových účtů jsou červenou vlajkou. Falešné účty jsou blokovány a přístupy rušeny. Na právní straně firma aktivně komunikuje s vládou USA a lobuje za regulaci, která by distilační útoky klasifikovala jako porušení podmínek použití s právními důsledky.

Reálná ochrana ale naráží na limity: kdokoli může vytvořit tisíce účtů a rozkládat provoz tak, aby nepřekračoval detekční prahy. Je to závod ve zbrojení, kde útočník drží iniciativu.

Co přesně je distilace AI modelu a je to legální?

Distilace je technika, při které trénujete menší nebo méně výkonný model na výstupech silnějšího modelu. Samo o sobě to není ilegální — například Google využívá distilaci při vývoji menších verzí svých modelů. Problém nastává, když někdo obchází podmínky použití (terms of service) tím, že vytváří tisíce falešných účtů a systematicky extrahuje schopnosti cizího modelu ve velkém měřítku. Takové jednání porušuje smluvní podmínky a může naplnit znaky nekalé soutěže či krádeže obchodního tajemství — i když konkrétní právní rámec zatím není v USA ani EU zcela ujasněn.

Může se Alibaba bránit tím, že Qwen je open-source?

Open-source povaha Qwenu neznamená, že způsob jeho trénování byl automaticky legální. Pokud byl model vytrénován na datech získaných porušením podmínek použití Claude, jde o problém bez ohledu na licenci finálního produktu. Je to podobné jako u softwaru: open-source kód může obsahovat části, jejichž původ je sporný. Alibaba dosud na obvinění nereagovala, takže není jasné, jakou obrannou strategii zvolí.

Hrozí, že Claude nebo GPT-4 budou kvůli těmto útokům dražší nebo méně dostupné?

Bezprostřední zdražení není na obzoru, ale distilační kampaně zvyšují provozní náklady (zpracování milionů falešných dotazů) a nutí firmy investovat do bezpečnostní infrastruktury. Pokud se útoky budou opakovat ve stále větším měřítku, mohou AI laboratoře přistoupit k přísnějšímu ověřování uživatelů nebo omezení přístupu pro určité regiony. Pro firemní zákazníky v Česku by to znamenalo komplikovanější onboarding.

Add Jarvis AI as a preferred source on Google
X

Nezmeškejte novinky!

Přihlaste se k odběru novinek a aktualit.