Anthropic hat am 2026-06-24 einen Blogbeitrag veröffentlicht, in dem Alibaba beschuldigt wird, zwischen dem 22. April und dem 5. Juni 2026 eine Destillationskampagne „im industriellen Maßstab" gegen Claude geführt zu haben, die über beinahe 25.000 gefälschte Konten mehr als 28,8 Millionen Austausche mit dem Modell erzeugte. Reuters (Krystal Hu, Eduardo Baptista), Bloomberg (Saritha Rai) und das Wall Street Journal (Anthropic Claims Alibaba Ran 'Brazen' Campaign to Access Its Claude AI Model) berichteten am selben Tag über die Anklage. Die Geschichte steht zum Zeitpunkt der Veröffentlichung mit 448 Punkten und 782 Kommentaren auf der Hacker-News-Startseite und ist das erste Mal, dass Anthropic ein einzelnes großes börsennotiertes Unternehmen in einer öffentlichen Destillations-Offenlegung namentlich benennt.
Die Offenlegung ist die zweite in einer Reihe. Am 2026-02-23 hatte Anthropic getwittert, es habe „Destillationsangriffe im industriellen Maßstab auf unsere Modelle durch DeepSeek, Moonshot AI und MiniMax identifiziert" und „diese Labore haben über 24.000 gefälschte Konten erstellt und über 16 Millionen Austausche mit Claude erzeugt, um dessen Fähigkeiten für das Training und die Verbesserung ihrer eigenen Modelle zu extrahieren". Der Beitrag vom 24. Juni ist die vollständige Blogform derselben Untersuchung, mit technischen Details, die der Februar-Thread nicht enthielt: Anthropic erklärt nun, dass die neue Kampagne, die es Alibaba zuschreibt, sowohl bei der Kontenzahl (~25.000) als auch bei der Austauschzahl (28,8 Millionen) größer ist und über ein engeres Sechs-Wochen-Fenster (22. April bis 5. Juni 2026) lief.
Was Destillation ist und warum Anthropic diese Kampagne für anders hält
Destillation im KI-Entwicklungskontext ist die Praxis, die Ausgaben eines Frontier-Modells als Trainingsdaten für ein kleineres Modell zu verwenden, sodass das kleinere Modell lernt, das Verhalten des größeren Modells bei denselben Eingaben zu imitieren. Der rechtliche Status der Destillation ist umstritten: ein Modell auf Ausgaben zu trainieren, die man über eine API bezahlt hat, ist nach den meisten kommerziellen API-Nutzungsbedingungen standardmäßig erlaubt. Anthropics Vorwurf ist, dass die Alibaba-Kampagne die API-Bedingungen auf zwei Arten verletzt habe: erstens durch gefälschte Konten (die laut Anthropic den tatsächlichen Konsumenten der API falsch darstellen), und zweitens durch eine API-Nutzung in einem Muster, das das Verbot verletzt, konkurrierende Modelle zu trainieren.
Das neue Element im Anthropic-Blogbeitrag ist die Erkennungsmethodik. Anthropic erklärt, dass das Unternehmen das Muster nun automatisch erkennen kann: eine Menge von Austauschen mit reproduzierbarer struktureller Ähnlichkeit, die die natürliche Varianz unabhängiger API-Konsumenten übersteigt. Der Beitrag veröffentlicht weder die Erkennungssignaturen noch die Gewichte noch die spezifischen Konten-IDs; er erklärt, dass das Unternehmen eine neue Erkennung auf der Claude-API-Oberfläche implementiert hat und bereit ist, Erkennungssignaturen unter NDA mit anderen Frontier-Laboren zu teilen. Die Reuters-Berichterstattung merkt an, dass Anthropic es ablehnte, Reuters die zugrundeliegenden Kontenprotokolle zur Verfügung zu stellen; das WSJ vermerkt das Gleiche.
Der HN-Thread zur Reuters-Story (https://news.ycombinator.com/item?id=48664814) wird von Skepsis dominiert, ob Anthropics Mustererkennungsmethodik koordinierte Destillation von legitimer API-Nutzung im großen Maßstab unterscheiden kann. Mehrere Kommentatoren argumentieren, dass die von Anthropic beschriebenen Muster (API-Konsum mit hohem Volumen und reproduzierbarer Austauschstruktur) sowohl mit koordinierter Destillation als auch mit der natürlichen Form legitimer Unternehmens-API-Konsumenten (Callcenter, Such-Wrapper, Batch-Evaluations-Harnesses) vereinbar sind. Der HN-Kommentator tasuki fasst den dominierenden technischen Einwand zusammen: „Was macht die Konten gefälscht? Wenn sie den vereinbarten Preis bezahlt haben, ist es doch sicher in Ordnung? Wenn sie nicht bezahlt haben, warum hat Anthropic ihnen dann den Dienst bereitgestellt?" Anthropics Antwort im Blogbeitrag ist, dass „gefälscht" hier eine Falschdarstellung des tatsächlichen API-Konsumenten bedeutet, nicht dass die Konten nicht bezahlt hätten.
Was ändert sich für Claude-API- und Claude-Code-Nutzer
Für legitime Claude-API- oder Claude-Code-Nutzer ändert sich durch diese Offenlegung nichts. Die gefälschten Konten, die Anthropic beschreibt, waren mit spezifischen Nutzungsmustern verknüpft (koordinierte Austauschstruktur über viele Konten), die das Unternehmen nach eigenen Angaben nun automatisch erkennen kann; die neue Erkennung wirkt auf der Claude-API-Oberfläche, nicht auf der Claude.ai-Konsumenten- oder der Claude-Code-Oberfläche. Entwickler, die Claude über die offizielle API, das Anthropic SDK oder Claude Code nutzen, sollten keine Änderung an ihrem Konto oder ihrer Nutzung feststellen. Die Offenlegung ändert auch nicht die kommerziellen API-Nutzungsbedingungen von Anthropic, die das Training konkurrierender Modelle auf Claude-Ausgaben ohnehin verbieten.
Die Offenlegung ist die zweite in einer Reihe, und Anthropics Formulierung legt nahe, dass weitere folgen werden. Der Blogbeitrag erklärt, das Unternehmen arbeite „mit anderen Frontier-Laboren zusammen, um Erkennungssignaturen zu teilen", und implementiere „in den kommenden Wochen zusätzliche Erkennung auf der Claude-API-Oberfläche". Keine dieser Formulierungen impliziert einen konkreten Zeitplan für weitere namentliche Offenlegungen, aber die Februar-Offenlegung folgte demselben Muster (zuerst namentliche Angreifer, später technische Details), dem nun auch die Offenlegung vom 24. Juni folgt.
Die Verknüpfung mit der Exportkontrolle
Der Zeitpunkt ist bemerkenswert. Anthropics Destillations-Offenlegung vom 24. Juni kommt eine Woche, nachdem das Unternehmen separat offenlegte, dass eine US-Exportkontrolldirektive vom 12. Juni es zwang, Fable 5 und Mythos 5 weltweit auszusetzen, einschließlich für ausländische Staatsangehörige innerhalb der Vereinigten Staaten, und Anthropic die technische Grundlage dieser Direktive öffentlich anficht. Innerhalb einer Woche ist Anthropic von der öffentlichen Anfechtung einer US-Exportkontrolldirektive zur öffentlichen Benennung eines chinesischen Frontier-Lab-Kunden als Destillationsangreifer übergegangen.
Der Blogbeitrag von Anthropic verbindet die beiden Geschichten nicht; die Verbindung wird von der Fachpresse und auf X gezogen. Die Bloomberg-Berichterstattung vom 2026-06-24 rahmt die Anklage als „Teil einer breiteren Anthropic-Bemühung zu zeigen, dass sie Maßnahmen gegen unbefugten Zugriff auf ihre Modelle ergreift", was das Nächste ist, was die Fachpresse der expliziten Verbindung angenähert hat. Die Kombination wird in den nächsten zwei Wochen vermutlich Thema der EU- und US-Regulierungsgespräche zu KI-Exportkontrollen sein, insbesondere angesichts des Fable & Mythos-Exportkontroll-Deep-Dive, den wir vor zwölf Tagen zur technischen Grundlage der ursprünglichen Direktive veröffentlicht haben.
Die Sicherheitsarbeit zu Anthropics Project Glasswing, die wir im April behandelt haben, war das prominenteste öffentliche Beispiel für Anthropics breitere Sicherheitshaltung; die Destillations-Offenlegung erweitert diese Haltung auf API-seitigen Missbrauch, nicht nur auf nachgelagerten Konsumenten-Missbrauch. Das Muster ist konsistent: Anthropic veröffentlicht seine Sicherheitserkenntnisse zunehmend in Primärquellenform, statt darauf zu warten, dass die Presse sie ans Licht bringt, und der Beitrag vom 24. Juni ist das detaillierteste Primärquellen-Dokument, das Anthropic bislang zu einer einzelnen Anklage veröffentlicht hat.
Zum Stand 2026-06-24 23:00 UTC hat Alibaba keine öffentliche Stellungnahme veröffentlicht. Das Qwen-Team (@Alibaba_Qwen) hat auf X nichts zur Anklage gepostet; der Pressekontakt der Alibaba Group hat auf die Reuters-Anfrage nicht reagiert. Bloomberg merkt an, dass Alibaba nicht auf eine Kommentaranfrage außerhalb der Geschäftszeiten in China reagierte. Die Geschichte bewegt sich schnell; eine Reaktion Alibabas ist bis zum 2026-06-26 wahrscheinlich.
