تصور کنید هزینهی آموزش یک مدل هوش مصنوعی پیشرو ۱۰۰ میلیون دلار باشد، اما رقیب شما بتواند تنها با پرداخت چند صد هزار دلار، تمام تخصص و رفتارهای آن را به مدل خودش منتقل کند. این کابوس امروز برای شرکت آنتروپیک (Anthropic) به واقعیت تبدیل شده است. در ۲۴ ژوئن ۲۰۲۶، آنتروپیک گروه علیبابا (Alibaba) را متهم کرد که قابلیتهای مدل Claude را از طریق آنچه بزرگترین «حمله تقطیری» (Distillation Attack) در تاریخ شرکت مینامند، بهصورت غیرقانونی استخراج کرده است.
این تقابل در زمانی حساس برای آزمایشگاههای هوش مصنوعی غربی رخ میدهد. در حالی که شرکتهایی مانند آنتروپیک، OpenAI و گوگل از طریق APIهای خود مدلهای پیشرو را تجاریسازی میکنند، همزمان یک سطح حمله (Attack Surface) گسترده را برای رقبا ایجاد کردهاند. اگر به پوششهای قبلی ما درباره نحوه استفاده توسعهدهندگان از این ابزارها برای وظایف با عملکرد بالا نگاه کنیم — برای مثال، چگونه PostHog با استفاده از Claude Code سرعت تجزیه کننده SQL خود را افزایش داد — متوجه میشویم که این رویداد وجه تاریک این دسترسیپذیری است: همان API که بهرهوری را ممکن میسازد، سرقت فناوری را نیز تسهیل میکند.
پارادوکس استخراج API باز
برای درک عمیق این کشمکش، باید از دریچه «پارادوکس استخراج API باز» به موضوع نگاه کرد. این چارچوب توصیفکنندهی یک تضاد ذاتی است؛ آزمایشگاههای هوش مصنوعی برای تولید درآمد مجبورند مدلهای خود را باز کنند، اما همین باز بودن به بازیگران متخاصم اجازه میدهد تا قابلیتهای پیشرو را با هزینهای نزدیک به صفر مهندسی معکوس کنند.
این پارادوکس در چهار سطح مختلف عمل میکند: فنی، حقوقی، ژئوپلیتیکی و مالی. تنش بنیادین در این است که API هم موتور درآمدزایی است و هم سطح حمله. در نتیجه، هرچه یک مدل توانمندتر و سودآورتر شود، استخراج آن برای رقیب از نظر اقتصادی منطقیتر خواهد بود.
این وضعیت را با این مثال تصور کنید: شما بهترین رستوران شهر را اداره میکنید، اما رقیب شما هر شب مامورانی میفرستد تا تمام غذاها را بچشند و دستور پخت آنها را بازسازی کنند. آنها کتابهای آشپزی شما را نمیدزدند؛ بلکه فقط خروجیهای شما را مشاهده میکنند تا زمانی که بتوانند آشپزخانه شما را بازسازی کنند. این دقیقاً ماهیت یک حمله تقطیری است.
مکانیسمهای حمله
کمپین ادعایی علیه Claude از یک خط لوله پنج مرحلهای پیچیده پیروی میکرد. برخلاف هکهای سنتی، در اینجا هیچ رمزنگاری شکست نخورد و هیچ وزن مدل (Model Weights) سرقت نشد. در عوض، این حمله بر پایه «مشاهده سیستماتیک» استوار بود.
جزئیات خط لوله حمله
- استراتژی برداشت پرامپت (Prompt Harvesting): مهاجمان مجموعهای تخصصی از پرامپتها را طراحی کردند که حوزههای استدلال، کدنویسی، پاسخهای منفی (Refusals) و موارد خاص (Edge Cases) را پوشش میداد. این پرامپتها بهگونهای مهندسی شده بودند تا تنوع رفتارهای استخراجشده از کلود در هر پرسوجو به حداکثر برسد.
- پرسوجوهای توزیعشده: علیبابا برای دور زدن سیستمهای شناسایی و نظارتی، میلیونها پرسوجو را در هزاران حساب کاربری مجزا و حوزههای قضایی مختلف پخش کرد. این تاکتیک باعث شد ترافیک ارسالی به جای یک عملیات برداشت سیستماتیک، شبیه به استفادههای تجاری و سازمانی عادی به نظر برسد.
- ضبط توزیع خروجی: پاسخهای مدل — و در جاهایی که در دسترس بود، احتمالات توکن (Token Probabilities) — در یک مجموعه داده آموزشی مصنوعی (Synthetic Training Corpus) ثبت شدند. این فرآیند باعث شد الگوهای استدلالی و رفتارهای ایمنی کلود کدگذاری شوند.
- تنظیم دقیق مدل شاگرد: یک مدل پایه رقیب — بهطور مشخص از سری Qwen — روی این مجموعه دادههای برداشتشده تنظیم دقیق (Fine-tuning) شد. این کار به مدل «شاگرد» اجازه میدهد تا پروفایل توانمندی مدل «استاد» را با کسری از هزینههای تحقیق و توسعه اصلی به ارث ببرد.
- استقرار تجاری: مدل تقطیری سپس در محصولات سازمانی عرضه شد تا با یک بازه زمانی توسعه بسیار کوتاه، مستقیماً با مدلی که از آن تغذیه کرده بود، رقابت کند.
دقیقاً چه چیزی استخراج شد؟
اگر خروجیها صرفاً متن هستند، چه چیزی برای سرقت وجود دارد؟ هدف، دانش خام و فکتها نیست، بلکه «پروفایل رفتاری» است که توسط هوش مصنوعی قانونمدار (Constitutional AI) و یادگیری تقویتشده از طریق بازخورد انسانی (RLHF) ایجاد شده است. از آنجایی که آنتروپیک در آپریل ۲۰۲۶ مدلی داخلی را به عنوان توانمندترین مدل ساختهشده تا آن زمان توصیف کرده بود، هدف ادعایی، قابلیتهای پیشرو وCutting-edge بوده است، نه نسخههای قدیمی.
قابلیتهای خاص استخراجشده شامل موارد زیر است:
- الگوهای استدلال: روشهای خاصی که کلود برای خرد کردن مسائل پیچیده و چندمرحلهای به کار میبرد.
- پروفایل سبک: لحن و فرمت مشخصی که تجربه کاربری کلود را تعریف میکند.
- همراستاسازی ایمنی: الگوهای خاص رد درخواستها و اجتناب از آسیب (که بدون داشتن تضمینهای ایمنی زیربنایی، صرفاً تقلید شدهاند).
- سقف توانمندسازی: محدوده عملکرد سطح بالا در کدنویسی و تحلیلهای متون با بافت طولانی (Long-context).
اقتصاد سرقت مدل
عدم تقارن مالی باعث میشود این موضوع به جای یک پروژه مهندسی تکرو، به یک استراتژی در سطح هیئتمدیره تبدیل شود. طبق گزارش Stanford HAI AI Index 2024، آموزش یک مدل پیشرو با احتساب حقوق کارکنان تحقیق و اجراهای ناموفق، معمولاً بیش از ۱۰۰ میلیون دلار هزینه دارد.
در مقابل، گزارش فنی DeepSeek-V3 مستند کرد که اجرای نهایی آموزش آن تنها ۵.۶ میلیون دلار هزینه داشته است. این تفاوت فاحش در هزینه ورود ایجاد میشود: اگر رقیبی حدود ۵۰۰ هزار دلار برای توکنهای API هزینه کند (با فرض ۵۰ میلیون پرسوجو با میانگین ۰.۰۱ دلار برای هر مورد) و چند میلیون دلار دیگر برای محاسبات تنظیم دقیق بپردازد، میتواند پروفایلی از قابلیتهای ۱۰۰ میلیون دلاری را با هزینهای کمتر از ۱۰ میلیون دلار شبیهسازی کند.
کارآگاهی و شناسایی
شناسایی این حملات به دلیل ظریف بودن امانههای برداشت (Harvesting Signatures) بسیار دشوار است. اکثر تیمها نمیتوانند یک کمپین برداشت را از یک شریک تجاری فعال که درخواستهای زیادی میفرستد تشخیص دهند. کاربران سازمانی واقعی اغلب پرامپتهای مشابهی را برای گردش کارهای خاص، مانند تیکتهای پشتیبانی یا خلاصهسازی روزانه اسناد، تکرار میکنند.
در مقابل، یک کمپین برداشت، تنوع پرامپتها را به سمت ۱.۰ میبرد؛ یعنی تا حد ممکن پرسوجوهای منحصربهفرد و موارد خاص (Edge Cases) را میفرستد تا تمام سطح رفتاری مدل را به capture درآورد.
آنتروپیک ادعا میکند که یک خطکشی فارنزیک (Forensic Baseline) برای کمّی کردن این حملات دارد. اتهام آنها که در نامهای (طبق گزارش CNBC و رویترز در ۲۴ ژوئن ۲۰۲۶) آمده، این کمپین را «گستاخانه» و «غیرقانونی» توصیف کرده است. آنها پیش از این سه آزمایشگاه دیگر چینی را نیز به کمپینهای استخراج در مقیاس صنعتی متهم کرده بودند، هرچند علیبابا تا به امروز برجستهترین نهاد نامبرده شده است. این نشان میدهد که آزمایشگاههای پیشرو قابلیتهای نظارتی داخلی برای رتبهبندی و اندازهگیری حجم استخراج دارند.
دریچه تخلیه فشار ژئوپلیتیکی
این درگیری محصول مستقیم کنترلهای صادراتی آمریکا بر سختافزار (Compute) است. وقتی واشنگتن دسترسی به تراشههای پیشرفته را محدود میکند، مسیر آموزش مدلهای پیشرو از صفر بسته میشود. در این حالت، APIهای باز به یک «دریچه تخلیه فشار» تبدیل میشوند؛ جایی که محدودیت در سختافزار، انگیزه برای استخراج در لایه نرمافزار را افزایش میدهد. این روند نشان میدهد که چگونه مدلهای بازمتن توانستهاند اثرات محدودیتهای صادراتی آمریکا را کاهش دهند و مسیرهای جایگزینی برای دستیابی به قدرت پردازشی ایجاد کنند.
این بُعد ژئوپلیتیکی به این معناست که سیاستهای آمریکا و پارادوکس استخراج بهطور فعال یکدیگر را تقویت میکنند. هرچه فشار بر سختافزار بیشتر شود، تقطیر از طریق کانالهای درآمدی جذابتر میشود. این الگو پیش از این در ژانویه ۲۰۲۵ دیده شد، زمانی که انتشار DeepSeek R1 باعث اتهامات گستردهای مبنی بر تقطیر از مدلهای OpenAI شد؛ موضوعی که خود OpenAI اعلام کرد در حال بررسی آن است.
توهم همراستاسازی
پژوهشگران ایمنی، از جمله Jan Leike (رئیس بخش همراستاسازی در آنتروپیک)، هشدار میدهند که «ایمنی تقطیری» یک توهم خطرناک است. مدلی که صرفاً پاسخهای ردِ کلود را تقلید میکند، در واقع تضمینهای ایمنی زیربنایی هوش مصنوعی قانونمدار را یاد نگرفته است؛ بلکه فقط یاد گرفته است که «ظاهرِ همراستا بودن» را تقلید کند.
تقلید رفتاری معادل همراستاسازی واقعی نیست. مدل شاگردی که یاد میگیرد یک پاسخ منفی را تقلید کند، نمیفهمد که چرا آن پاسخ منفی اهمیت دارد. این موضوع در گزارش «تأمین امنیت وزنهای مدل هوش مصنوعی» (۲۰۲۴) توسط مؤسسه RAND نیز بازتاب یافته است، که توضیح میدهد چگونه قابلیتها حتی بدون رخ دادن نقض امنیت وزنها (Weights Breach)، از طریق کانالهای دیگر نشت میکنند. این نگرانیها در سطح государственный نیز وجود دارد، بهطوری که دولت آمریکا پیشتر مدل Fable آنتروپیک را به دلیل ریسکهای مشابه، تهدید امنیت ملی اعلام کرده بود.
بنبست حقوقی
از دیدگاه حقوقی، آنتروپیک دستش کوتاه است. اگرچه شرایط خدمات (ToS) در API بهطور صریح استفاده از خروجیها برای آموزش مدلهای رقیب را ممنوع میکند، اما اجرای این قانون علیه یک نهاد خارجی که با دولت/حاکمیت گره خورده است، تقریباً غیرممکن است.
مکانیسمها و موانع حقوقی:
- شرایط خدمات (ToS): واضحترین اهرم، نقض شرایط تجاری است، اما این امر مستلزم اثبات قصد و مقیاس در یک حوزه قضایی خارجی است.
- قانون دفاع از اسرار تجاری (DTSA): اگر برداشت سیستماتیک ثابت شود، این قانون میتواند اعمال شود، اما باز بودن API، اثبات سرقت را سختتر از یک نفوذ سنتی میکند. شاکی باید «قصد» را از طریق الگوهای ترافیکی بازسازی کند، زیرا هر پرسوجو در ظاهر یک تماس قانونی و پرداختشده بوده است.
- شکافهای قضایی: در حال حاضر هیچ رویهای برای محاکمه موفقیتآمیز یک نهاد خارجی مرتبط با دولت برای سرقت مالکیت معنوی مبتنی بر تقطیر وجود ندارد.
واقعبینانهترین اهرم فشار آنتروپیک شاید نه در دادگاه، بلکه در بخش مالی باشد. از آنجایی که علیبابا در بورس نیویورک (NYSE) و هنگکنگ (HKEX) لیست شده است، اهرمهای اعتباری و مالی خارج از دادرسیهای حقوقی وجود دارد. این شکاف — و نه خودِ سرقت — نگرانی اصلی سیاستگذاران است.
این موضوع چه معنایی برای شما دارد؟
اگر در حال ساخت کسبوکاری هستید که در اصل یک «پوشش» (Wrapper) دور یک API پیشرو است، بدانید که قلعه دفاعی شما در حال تبدیل شدن به یک کالای عمومی (Commoditized) در زمان واقعی است. لایه مدل در حال تبدیل شدن به یک کالای کپیپذیر است. این تحولات بخشی از یک تغییر سریعتر در اکوسیستم است که در آن تغییرات بنیادین در استراتژیهای مالی و عملیاتی شرکتهای AI به چشم میخورد.
توصیههای استراتژیک برای سازندگان:
- تنوعبخشی به دفاع: ارزش خود را به سمت دادههای اختصاصی، ادغامهای عمیق و جریانهای کاری منحصربهفرد در دامنه تخصصی منتقل کنید. روی دسترسی خام به مدل به عنوان یک مزیت رقابتی تکیه نکنید.
- ارزیابی هزینه-فایده: مدلهای رقیبی ارزانتر و تقطیری شده (مانند برخی گونههای Qwen) ممکن است کیفیت نزدیک به مدلهای پیشرو را با هزینه کمتر ارائه دهند، که به آژانسها اجازه میدهد با ترکیب ارائهدهندگان، هزینهها را کاهش دهند.
- ایمنسازی حجمهای کاری: برای کسانی که با دادههای حساس سروکار دارند، به سمت استقرارهای خصوصی حرکت کنید. گزینههایی مانند Claude for Enterprise یا نقاط انتهایی خصوصی Amazon Bedrock سطح حمله API عمومی را بهطور کامل حذف میکنند.
- آمادگی برای تطبیق: انتظار موجی از تأییدات KYC (شناخت مشتری) و محدودیتهای جغرافیایی سختگیرانهتر در دسترسی به API را داشته باشید، زیرا آزمایشگاهها بقای مالکیت معنوی خود را در اولویت قرار میدهند.
پیشبینیهای آینده (۲۰۲۶–۲۰۲۸)
۱. نیمه دوم ۲۰۲۶: احراز هویت پیشرفته و مسدود کردن حسابهای وابسته به نهادهای خاص برای دسترسی به لایههای پیشرو به یک استاندارد تبدیل خواهد شد.
۲. ۲۰۲۶–۲۰۲۷: احتمال ثبت شکایت تحت DTSA یا ارجاع به FBI برای جاسوسی اقتصادی در صورت کافی بودن شواهد فارنزیک، که میتواند یک رویه حقوقی ایجاد کند.
۳. ۲۰۲۷: گسترش کنترلهای صادراتی هوش مصنوعی توسط کنگره با استفاده از این حادثه به عنوان مستنداتی برای اجباری کردن احراز هویت نهادهای خارجی. این با استدلالهای هلن تونر از CSET دانشگاه جورجتاون در گزارش ۲۰۲۴ درباره کنترل دسترسی به محاسبات ابری همسو است.
۴. ۲۰۲۸ به بعد: تغییر دائمی به سمت استقرارهای پیشرو که فقط روی سختافزار قفل شده و در محل (On-prem) هستند، که بهطور مؤثر مدل API عمومی را برای توانمندترین سیستمها به پایان میبرد.
پرونده آنتروپیک و علیبابا ممکن است به نزاع تعیینکننده مالکیت معنوی در عصر هوش مصنوعی تبدیل شود، درست مانند اختلافات نیمههادیهای کوالکام و هواوی. این اتفاق، هزینه «باز بودن» را به عنوان یک ریسک استراتژیک بازتعریف میکند.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.
گفتگو