Anthropic ha lanciato un'accusa senza precedenti contro tre dei più importanti laboratori AI cinesi. Secondo quanto pubblicato in un dettagliato blog post il 23 febbraio 2026, DeepSeek, Moonshot AI e MiniMax avrebbero condotto campagne su scala industriale per estrarre illecitamente le capacità di Claude, il modello di punta dell'azienda di San Francisco.
I numeri sono impressionanti: oltre 24.000 account fraudolenti creati e più di 16 milioni di scambi con Claude, tutti in violazione dei termini di servizio e delle restrizioni di accesso regionali. Non si tratta di semplice curiosità verso un concorrente, ma di un'operazione sistematica e coordinata che solleva questioni critiche sulla sicurezza dell'intero ecosistema AI.
Cos'è la distillazione e perché è al centro dello scandalo
La tecnica utilizzata si chiama distillazione, un metodo di deep learning in cui un modello meno potente (lo "studente") viene addestrato sugli output di un modello più avanzato (il "maestro"). Di per sé è una pratica legittima e ampiamente usata: i principali lab AI distillano regolarmente i propri modelli per creare versioni più piccole, economiche e specializzate per i clienti.
Il problema nasce quando la distillazione viene usata per copiare le capacità di un concorrente. In questo caso, un competitor può fingersi un utente legittimo, bombardare un modello avanzato con prompt studiati ad hoc, raccogliere le risposte e usarle per addestrare un sistema rivale. In pratica, si acquisiscono in poco tempo e a costi minimi competenze che hanno richiesto anni di ricerca e miliardi di dollari di investimento.
Come ha sottolineato Ali Ghodsi, CEO di Databricks, la distillazione è diventata una tecnica estremamente potente ed economica, tanto che ricercatori della UC Berkeley sono riusciti a ricreare il modello di ragionamento di OpenAI per soli 450 dollari in 19 ore. La questione, quindi, non è più se sia tecnicamente possibile, ma come difendersi.
DeepSeek: 150.000 scambi per copiare il ragionamento di Claude
Secondo le indagini di Anthropic, DeepSeek ha generato oltre 150.000 scambi con Claude, concentrandosi principalmente sulle capacità di ragionamento logico e di allineamento. L'azienda ha rilevato traffico sincronizzato tra più account, con pattern identici, metodi di pagamento condivisi e tempistiche coordinate, tutti indicatori di tecniche di "load balancing" progettate per aumentare la velocità di estrazione e sfuggire ai sistemi di rilevamento.
Un aspetto particolarmente significativo riguarda una tecnica specifica: i prompt di DeepSeek chiedevano a Claude di immaginare e articolare il ragionamento interno dietro una risposta completata, scrivendolo passo dopo passo. In pratica, venivano generati dati di addestramento chain-of-thought su larga scala, uno degli elementi più preziosi per sviluppare modelli con capacità di ragionamento avanzate.
Ancora più controverso è un altro dettaglio emerso dall'analisi: DeepSeek avrebbe usato Claude per generare alternative sicure dal punto di vista della censura a domande politicamente sensibili su dissidenti, leader di partito e autoritarismo. L'obiettivo era addestrare i propri modelli a deviare le conversazioni lontano da argomenti censurati dal governo cinese, in modo più sofisticato. Un paradosso notevole: un'AI americana usata per costruire un sistema che limita la libertà di espressione in modo più efficace.
Moonshot AI e MiniMax: le campagne più massive
Se DeepSeek ha attirato i titoli dei giornali, le campagne di Moonshot AI e MiniMax sono state ancora più imponenti in termini di volume. Moonshot, nota per i suoi modelli Kimi, ha condotto oltre 3,4 milioni di scambi con Claude, puntando su ragionamento agentico, uso di tool, coding, analisi dati, sviluppo di agenti computer-use e computer vision. Anthropic è riuscita ad attribuire la campagna tramite i metadati delle richieste, che corrispondevano ai profili pubblici di membri senior dello staff di Moonshot.
MiniMax ha condotto la campagna più grande in assoluto: oltre 13 milioni di scambi, focalizzati su coding agentico, uso di strumenti e orchestrazione. Un dettaglio sorprendente: Anthropic ha rilevato la campagna mentre era ancora attiva. Quando l'azienda ha rilasciato un nuovo modello, MiniMax ha cambiato target entro 24 ore, reindirizzando quasi metà del traffico verso il sistema più recente per catturarne le nuove capacità. Un comportamento che rivela una strategia di estrazione altamente adattiva e sofisticata.
Come hanno aggirato le restrizioni di accesso
Claude non è disponibile commercialmente in Cina, né per le sussidiarie delle aziende coinvolte situate in altri paesi. Come hanno fatto quindi i tre laboratori ad accedere? Secondo Anthropic, le campagne hanno seguito un playbook simile: reti di account fraudolenti e servizi proxy per accedere a Claude su larga scala, aggirando i sistemi di rilevamento.
Anthropic descrive queste infrastrutture distribuite come "hydra cluster", grandi pool di account che distribuiscono il traffico attraverso l'API di Anthropic e cloud di terze parti. In un caso, un singolo setup proxy controllava oltre 20.000 account fraudolenti contemporaneamente, mescolando il traffico di estrazione con richieste di uso normale per evitare di attivare gli allarmi.
L'identificazione è avvenuta con "alta fiducia" attraverso la correlazione degli indirizzi IP, l'analisi dei metadati, indicatori infrastrutturali e la conferma da parte di partner industriali che avevano osservato gli stessi attori e comportamenti sulle proprie piattaforme. Un aspetto che suggerisce come il problema non sia limitato alla sola Anthropic, ma coinvolga l'intero settore. Chi si occupa di sicurezza nel mondo AI sa bene quanto queste dinamiche stiano diventando critiche.
Le implicazioni per la sicurezza nazionale
Anthropic non si è limitata a denunciare una violazione dei propri termini di servizio. L'azienda ha inquadrato la questione come un problema di sicurezza nazionale. I modelli ottenuti tramite distillazione illecita, secondo Anthropic, difficilmente mantengono le stesse misure di sicurezza del modello originale. Questo significa che capacità pericolose possono proliferare senza le protezioni necessarie.
I rischi concreti includono l'uso di AI avanzata per operazioni cyber offensive, campagne di disinformazione e sorveglianza di massa da parte di governi autoritari. Se i modelli distillati vengono poi rilasciati come open source, il rischio si moltiplica, rendendo queste capacità accessibili a chiunque, senza alcun controllo. Queste preoccupazioni ricordano quanto emerso riguardo alle vulnerabilità nei sistemi AI come ChatGPT.
Il collegamento con i controlli sulle esportazioni di chip
Le accuse di Anthropic non arrivano in un momento casuale. Il dibattito sui controlli alle esportazioni di chip AI avanzati verso la Cina è uno dei temi più caldi a Washington. L'amministrazione Trump ha recentemente consentito ad aziende come Nvidia di esportare chip avanzati come l'H200 in Cina, una decisione criticata da chi ritiene che aumenti la capacità computazionale cinese in un momento critico.
Anthropic ha sottolineato che la scala delle estrazioni operata da DeepSeek, MiniMax e Moonshot richiede accesso a chip avanzati. Di conseguenza, gli attacchi di distillazione rafforzano la necessità dei controlli sulle esportazioni: limitare l'accesso ai chip riduce sia la capacità di addestramento diretto sia la portata della distillazione illecita.
Dmitri Alperovitch, presidente del think-tank Silverado Policy Accelerator e co-fondatore di CrowdStrike, ha commentato che queste rivelazioni confermano sospetti di lunga data: parte del rapido progresso dei modelli AI cinesi sarebbe legato al furto tramite distillazione dei modelli frontiera americani. Per Alperovitch, questo dovrebbe essere un motivo in più per rifiutare la vendita di qualsiasi chip AI a queste aziende.
Non solo Anthropic: anche OpenAI e Google nel mirino
Le accuse di Anthropic non sono isolate. Già a inizio febbraio 2026, OpenAI aveva inviato un memo ai legislatori americani, avvertendoli che DeepSeek sta conducendo sforzi continui per sfruttare gratuitamente le capacità sviluppate da OpenAI e altri laboratori americani. David Sacks, responsabile AI della Casa Bianca, ha espresso preoccupazioni simili.
Anche Google ha recentemente rivelato di aver identificato un aumento dei tentativi di estrazione dei modelli, le cosiddette "distillation attacks". Il fenomeno sembra quindi coinvolgere tutti i principali lab AI americani, configurandosi come una strategia sistemica piuttosto che un episodio isolato.
DeepSeek aveva già fatto scalpore a gennaio 2025 con il rilascio del suo modello R1, che apparentemente eguagliava le prestazioni dei migliori modelli americani a costi drasticamente inferiori. L'azienda cinese si prepara ora al lancio di DeepSeek V4, un modello che, secondo le indiscrezioni, supererebbe Claude e ChatGPT nel coding.
L'ironia del copyright nell'era dell'AI
Come ha fatto notare The Register, la situazione non è priva di ironia. Anthropic stessa è stata oggetto di cause legali per presunto utilizzo di materiale protetto da copyright per l'addestramento dei propri modelli. Nel 2025 l'azienda ha patteggiato una class-action da 1,5 miliardi di dollari con autori e editori, senza ammettere alcun illecito.
Un progetto interno denominato "Project Panama" era stato descritto come lo sforzo di scansionare tutti i libri del mondo per l'addestramento AI. Questa dualità — lamentarsi del furto dei propri output da parte di competitor cinesi mentre si è accusati di aver usato contenuti altrui per l'addestramento — evidenzia le complessità etiche e legali di un settore in rapidissima evoluzione, dove i confini tra uso legittimo e illecito sono spesso sfumati.
Cosa significa per il futuro dell'AI
Le rivelazioni di Anthropic segnano un punto di svolta nella competizione globale per l'intelligenza artificiale. Alcuni aspetti chiave emergono con chiarezza:
- La sicurezza delle API diventa strategica — L'accesso ai modelli AI non può più essere trattato come una semplice transazione commerciale. Ogni lab AI con un'API pubblica è un potenziale bersaglio di distillazione
- Servono standard internazionali — Attualmente non esistono norme condivise a livello globale che definiscano quando la distillazione diventa illecita. L'enforcement dipende dai termini contrattuali, dal monitoraggio delle API e dai regimi di export compliance
- La corsa agli armamenti AI accelera — La possibilità di colmare il divario tecnologico non solo attraverso investimenti in hardware, ma anche tramite query intelligenti e estrazione strutturata dei dati, cambia radicalmente le dinamiche competitive
- Le difese devono evolversi — Anthropic ha annunciato che continuerà a investire in difese che rendano gli attacchi di distillazione più difficili da eseguire e più facili da identificare
Per chi lavora nello sviluppo web e nelle tecnologie digitali, queste dinamiche hanno implicazioni concrete: la scelta dei modelli AI da integrare nei propri progetti passa anche dalla valutazione della loro affidabilità, provenienza e sicurezza.
Leggi anche
- Claude Code Security: Guida Completa allo Scanner AI
- Automazione AI per PMI: Come Risparmiare 10+ Ore
- Claude Code: Anteprima Live, Review e Merge Automatico
- Chi Vincerà Sanremo 2026? Lo Abbiamo Chiesto a Tutte le AI
- Google Gemini 3.1 Pro: Benchmark, Confronto e Guida
Conclusione
L'accusa di Anthropic contro DeepSeek, Moonshot AI e MiniMax rappresenta il caso più documentato di distillazione illecita su scala industriale mai reso pubblico. Con 24.000 account falsi e 16 milioni di scambi, la portata dell'operazione è tale da richiedere, come lo stesso Anthropic sottolinea, una risposta coordinata tra industria AI, cloud provider e decisori politici.
In un settore dove l'innovazione corre più veloce della regolamentazione, episodi come questo evidenziano la necessità urgente di framework condivisi per la protezione della proprietà intellettuale nell'AI. La finestra per agire, come avverte Anthropic, è stretta. E la posta in gioco va ben oltre gli interessi commerciali di una singola azienda.
Sei uno sviluppatore o un'azienda che vuole integrare l'AI nei propri processi in modo sicuro e consapevole? Contattami per una consulenza personalizzata sulle migliori soluzioni AI per il tuo business.
