--- title: "Anthropic wirft Alibaba „dreiste“ Destillation von Claude im industriellen Maßstab vor: 28,8 Millionen Austausche, ~25.000 gefälschte Konten, 22. April bis 5. Juni" description: "Anthropic hat am 2026-06-24 einen Blogbeitrag veröffentlicht (https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks), in dem Alibaba eine Destillationskampagne gegen Claude im industriellen Maßstab vorgeworfen wird. Anthropic gibt an, dass die Kampagne vom 22. April bis 5. Juni 2026 lief und über beinahe 25.000 gefälschte Konten mehr als 28,8 Millionen Austausche mit Claude produzierte. Die Anklage ist die zweite öffentliche Destillations-Offenlegung von Anthropic: die erste vom 2026-02-23 nannte DeepSeek, Moonshot AI und MiniMax als Urheber von 16 Millionen Austauschen über 24.000 gefälschte Konten. Reuters (Krystal Hu, Eduardo Baptista) und Bloomberg (Saritha Rai) berichteten am 2026-06-24 über die neue Anklage; das WSJ veröffentlichte am selben Tag Anthropic Claims Alibaba Ran 'Brazen' Campaign to Access Its Claude AI Model. Eine öffentliche Stellungnahme von Alibaba lag zum Zeitpunkt der Veröffentlichung nicht vor." date: 2026-06-25 image: "/images/heroes/2026-06-25--anthropic-alibaba-qwen-claude-distillation.png" author: lschvn tags: ["ai", "security"] tldr: - "Der Blogbeitrag von Anthropic vom 2026-06-24 ([Detecting and preventing distillation attacks](https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks) ) wirft Alibaba vor, zwischen dem 22. April und dem 5. Juni 2026 eine Destillationskampagne gegen Claude im industriellen Maßstab betrieben zu haben: über 28,8 Millionen Austausche mit Claude durch beinahe 25.000 gefälschte Konten. Anthropic bezeichnet die Kampagne als „dreist" und ordnet sie in das breitere Muster ein, das es erstmals am 2026-02-23 offenlegte, als DeepSeek, Moonshot AI und MiniMax als Betreiber von 24.000 gefälschten Konten benannt wurden, die 16 Millionen Austausche erzeugten." - "Die neue Anklage kommt vier Monate nach der Februar-Offenlegung und einen Tag, nachdem Anthropic separat offenlegte, dass [eine US-Exportkontrolldirektive vom 12. Juni das Unternehmen zwang, Fable 5 und Mythos 5 weltweit auszusetzen](/articles/2026-06-13--anthropic-fable-mythos-suspended-us-government), einschließlich für ausländische Staatsangehörige innerhalb der Vereinigten Staaten. Die Kombination ist bemerkenswert: innerhalb einer Woche ist Anthropic von der öffentlichen Anfechtung einer US-Exportkontrolldirektive zur öffentlichen Benennung eines chinesischen Frontier-Lab-Kunden als Destillationsangreifer übergegangen. Die Berichterstattung von Bloomberg, Reuters und dem WSJ rahmt die Anklage als das erste Mal, dass Anthropic ein einzelnes großes börsennotiertes Unternehmen in einer Destillations-Offenlegung benennt." - "Weitere konkrete Elemente der Offenlegung: Anthropic gibt an, dass die gefälschten Konten mit spezifischen API-Nutzungsmustern verknüpft waren, die das Unternehmen nun automatisch erkennt; das Unternehmen hat eine neue Erkennung auf der Claude-API-Oberfläche implementiert; der Beitrag beschreibt die Erkennungsmethode (ein Muster von Austauschen mit reproduzierbarer struktureller Ähnlichkeit, die die natürliche Varianz unabhängiger API-Konsumenten übersteigt), veröffentlicht jedoch weder die Modellgewichte noch die Erkennungssignaturen. Das Qwen-Team von Alibaba hat zum Stand 2026-06-24 23:00 UTC nicht auf Anfragen reagiert. Die Geschichte steht zum Zeitpunkt der Veröffentlichung mit 448 Punkten und 782 Kommentaren auf der Hacker-News-Startseite." faq: - question: "Was wirft Anthropic Alibaba konkret vor?" answer: "Der Blogbeitrag von Anthropic erklärt, dass Alibaba zwischen dem 22. April und dem 5. Juni 2026 eine koordinierte Kampagne gegen die Claude-API geführt habe, die über beinahe 25.000 gefälschte Konten mehr als 28,8 Millionen Austausche erzeugte. Anthropics Rahmung ist „Destillation im industriellen Maßstab": ein weniger leistungsfähiges Modell auf den Ausgaben eines stärkeren Modells zu trainieren. Die Anklage lautet, dass die 25.000 Konten keine unabhängigen API-Konsumenten waren, sondern ein koordiniertes Set, dessen Austauschmuster eine reproduzierbare strukturelle Ähnlichkeit aufwiesen, die das übersteigt, was die natürliche Varianz unter unabhängigen Konsumenten erzeugen würde. Der Beitrag ist das erste Mal, dass Anthropic ein einzelnes großes börsennotiertes Unternehmen in einer Destillations-Offenlegung namentlich benennt; die frühere Offenlegung vom 23. Februar benannte drei Unternehmen (DeepSeek, Moonshot AI, MiniMax) mit derselben Größenordnung (~24.000 Konten, ~16 Millionen Austausche)." - question: "Was ist „Destillation" in diesem Kontext, und wie unterscheidet sie sich von gewöhnlicher API-Nutzung?" answer: "Im KI-Entwicklungskontext ist Destillation die Praxis, die Ausgaben eines Frontier-Modells als Trainingsdaten für ein kleineres Modell zu verwenden, sodass das kleinere Modell lernt, das Verhalten des größeren Modells bei denselben Eingaben zu imitieren. Der rechtliche Status der Destillation ist umstritten: ein Modell auf Ausgaben zu trainieren, die man über eine API bezahlt hat, ist standardmäßig nach den meisten kommerziellen API-Nutzungsbedingungen erlaubt. Anthropics Vorwurf ist, dass die Kampagne von Alibaba die API-Bedingungen auf zwei Arten verletzt habe: erstens durch die Nutzung gefälschter Konten (die laut Anthropic den tatsächlichen Konsumenten der API falsch darstellen), und zweitens durch eine API-Nutzung in einem Muster, das das Verbot verletzt, konkurrierende Modelle zu trainieren. Der Blogbeitrag von Anthropic erklärt, dass das Unternehmen das Muster nun automatisch erkennen kann und eine neue Erkennung auf der Claude-API-Oberfläche implementiert hat. Andere KI-Labore (OpenAI, Google DeepMind) haben ähnliche Verbote in ihren Nutzungsbedingungen und ähnliche Erkennungsarbeiten in der Pipeline, doch Anthropics Offenlegung ist die erste öffentliche Benennung eines bestimmten großen börsennotierten Unternehmens." - question: "Wie unterscheidet sich das von der früheren Destillations-Offenlegung vom 23. Februar?" answer: "Am 2026-02-23 hat Anthropic [einen Tweet](https://x.com/AnthropicAI/status/2025997928242811253) und einen Thread auf seinem Konto veröffentlicht, in dem DeepSeek, Moonshot AI und MiniMax als Betreiber von 24.000 gefälschten Konten benannt wurden, die 16 Millionen Austausche mit Claude erzeugten. Der Beitrag vom 24. Juni erweitert dieselbe Untersuchung: Anthropic gibt nun an, eine separate, größere Kampagne identifiziert zu haben, die es Alibaba zuschreibt, mit 25.000 gefälschten Konten und 28,8 Millionen Austauschen über ein engeres Sechs-Wochen-Fenster (22. April bis 5. Juni 2026). Die neue Offenlegung ist zudem die erste, die als vollständiger Blogbeitrag auf der Anthropic-News-Site veröffentlicht wurde, statt als Thread auf X; der technische Detailgrad im Beitrag übersteigt das, was der Februar-Thread lieferte." - question: "Welche Beweise liefert Anthropic?" answer: "Der Blogbeitrag von Anthropic erklärt, dass das Unternehmen das Muster nun automatisch erkennen kann und dass die 25.000 gefälschten Konten strukturelle Austauschmuster teilen, die die natürliche Varianz unter unabhängigen API-Konsumenten übersteigen. Der Beitrag veröffentlicht weder die Erkennungssignaturen noch die Gewichte noch die spezifischen Konten-IDs; er erklärt, dass das Unternehmen eine neue Erkennung auf der Claude-API-Oberfläche implementiert hat und bereit ist, Erkennungssignaturen unter NDA mit anderen Frontier-Laboren zu teilen. Die Reuters-Berichterstattung merkt an, dass Anthropic es ablehnte, Reuters die zugrundeliegenden Kontenprotokolle zur Verfügung zu stellen; das WSJ vermerkt das Gleiche. Der HN-Thread zur Reuters-Story (https://news.ycombinator.com/item?id=48664814) wird von Skepsis dominiert, ob Anthropics Mustererkennungsmethodik koordinierte Destillation von legitimer API-Nutzung im großen Maßstab unterscheiden kann, wobei mehrere Kommentatoren argumentieren, dass die von Anthropic beschriebenen Muster mit beiden Erklärungen vereinbar sind." - question: "Warum kommt diese Offenlegung jetzt, einen Tag nach der Fable-5/Mythos-5-Exportkontrolldirektive?" answer: "Der Zeitpunkt wird weder im Exportkontroll-Beitrag ([Fable-Mythos-Aussetzung vom 2026-06-13](/articles/2026-06-13--anthropic-fable-mythos-suspended-us-government)) noch im Destillations-Beitrag erklärt; die beiden sind in ihrem erklärten Thema unverwandt. Aber die Kombination ist bemerkenswert: Anthropic fechte zugleich eine US-Exportkontrolldirektive öffentlich an (die Fable/Mythos-Aussetzung) und benennt öffentlich einen chinesischen Frontier-Lab-Kunden als Destillationsangreifer. Der Blogbeitrag von Anthropic verbindet die beiden Geschichten nicht; die Verbindung wird von der Fachpresse und auf X gezogen. Die Bloomberg-Berichterstattung vom 2026-06-24 rahmt die Anklage als „Teil einer breiteren Anthropic-Bemühung zu zeigen, dass sie Maßnahmen gegen unbefugten Zugriff auf ihre Modelle ergreift", was das Nächste ist, was die Fachpresse der expliziten Verbindung angenähert hat. Die Kombination wird in den nächsten zwei Wochen vermutlich Thema der EU- und US-Regulierungsgespräche zu KI-Exportkontrollen sein." - question: "Wie sollten Claude-Code/Claude-API-Nutzer reagieren?" answer: "Für legitime Claude-API- oder Claude-Code-Nutzer ändert sich durch diese Offenlegung nichts. Die gefälschten Konten, die Anthropic beschreibt, waren mit spezifischen Nutzungsmustern verknüpft (koordinierte Austauschstruktur über viele Konten), die das Unternehmen nach eigenen Angaben nun automatisch erkennen kann; die neue Erkennung wirkt auf der Claude-API-Oberfläche, nicht auf der Claude.ai-Konsumenten- oder der Claude-Code-Oberfläche. Entwickler, die Claude über die offizielle API, das Anthropic SDK oder Claude Code nutzen, sollten keine Änderung an ihrem Konto oder ihrer Nutzung feststellen. Die Offenlegung ändert auch nicht die kommerziellen API-Nutzungsbedingungen von Anthropic, die das Training konkurrierender Modelle auf Claude-Ausgaben ohnehin verbieten. Entwickler, die diese Bedingungen bereits einhielten, sind nicht betroffen." - question: "Hat Alibaba reagiert?" answer: "Zum Stand 2026-06-24 23:00 UTC hat Alibaba keine öffentliche Stellungnahme veröffentlicht. Das Qwen-Team (@Alibaba_Qwen) hat auf X nichts zur Anklage gepostet; der Pressekontakt der Alibaba Group hat auf die Reuters-Anfrage nicht reagiert. Der Bloomberg-Artikel merkt an, dass Alibaba nicht auf eine Kommentaranfrage außerhalb der Geschäftszeiten in China reagierte. Die Geschichte bewegt sich schnell; eine Reaktion Alibabas ist bis zum 2026-06-26 wahrscheinlich." --- [Anthropic hat am 2026-06-24 einen Blogbeitrag veröffentlicht](https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks), in dem Alibaba beschuldigt wird, zwischen dem 22. April und dem 5. Juni 2026 eine Destillationskampagne „im industriellen Maßstab" gegen Claude geführt zu haben, die über beinahe 25.000 gefälschte Konten mehr als 28,8 Millionen Austausche mit dem Modell erzeugte. Reuters ([Krystal Hu, Eduardo Baptista](https://www.reuters.com/world/china/anthropic-says-alibaba-illicitly-extracted-claude-ai-model-capabilities-2026-06-24/)), Bloomberg ([Saritha Rai](https://www.bloomberg.com/news/articles/2026-06-24/anthropic-accuses-alibaba-of-illicitly-accessing-its-ai-models)) und das Wall Street Journal ([Anthropic Claims Alibaba Ran 'Brazen' Campaign to Access Its Claude AI Model](https://www.wsj.com/tech/ai/anthropic-claims-alibaba-ran-brazen-campaign-to-access-its-claude-ai-mod-69d7a392)) berichteten am selben Tag über die Anklage. Die Geschichte steht zum Zeitpunkt der Veröffentlichung mit 448 Punkten und 782 Kommentaren auf der Hacker-News-Startseite und ist das erste Mal, dass Anthropic ein einzelnes großes börsennotiertes Unternehmen in einer öffentlichen Destillations-Offenlegung namentlich benennt. Die Offenlegung ist die zweite in einer Reihe. Am 2026-02-23 hatte Anthropic [getwittert](https://x.com/AnthropicAI/status/2025997928242811253), es habe „Destillationsangriffe im industriellen Maßstab auf unsere Modelle durch DeepSeek, Moonshot AI und MiniMax identifiziert" und „diese Labore haben über 24.000 gefälschte Konten erstellt und über 16 Millionen Austausche mit Claude erzeugt, um dessen Fähigkeiten für das Training und die Verbesserung ihrer eigenen Modelle zu extrahieren". Der Beitrag vom 24. Juni ist die vollständige Blogform derselben Untersuchung, mit technischen Details, die der Februar-Thread nicht enthielt: Anthropic erklärt nun, dass die neue Kampagne, die es Alibaba zuschreibt, sowohl bei der Kontenzahl (~25.000) als auch bei der Austauschzahl (28,8 Millionen) größer ist und über ein engeres Sechs-Wochen-Fenster (22. April bis 5. Juni 2026) lief. ## Was Destillation ist und warum Anthropic diese Kampagne für anders hält Destillation im KI-Entwicklungskontext ist die Praxis, die Ausgaben eines Frontier-Modells als Trainingsdaten für ein kleineres Modell zu verwenden, sodass das kleinere Modell lernt, das Verhalten des größeren Modells bei denselben Eingaben zu imitieren. Der rechtliche Status der Destillation ist umstritten: ein Modell auf Ausgaben zu trainieren, die man über eine API bezahlt hat, ist nach den meisten kommerziellen API-Nutzungsbedingungen standardmäßig erlaubt. Anthropics Vorwurf ist, dass die Alibaba-Kampagne die API-Bedingungen auf zwei Arten verletzt habe: erstens durch gefälschte Konten (die laut Anthropic den tatsächlichen Konsumenten der API falsch darstellen), und zweitens durch eine API-Nutzung in einem Muster, das das Verbot verletzt, konkurrierende Modelle zu trainieren. Das neue Element im Anthropic-Blogbeitrag ist die Erkennungsmethodik. Anthropic erklärt, dass das Unternehmen das Muster nun automatisch erkennen kann: eine Menge von Austauschen mit reproduzierbarer struktureller Ähnlichkeit, die die natürliche Varianz unabhängiger API-Konsumenten übersteigt. Der Beitrag veröffentlicht weder die Erkennungssignaturen noch die Gewichte noch die spezifischen Konten-IDs; er erklärt, dass das Unternehmen eine neue Erkennung auf der Claude-API-Oberfläche implementiert hat und bereit ist, Erkennungssignaturen unter NDA mit anderen Frontier-Laboren zu teilen. Die Reuters-Berichterstattung merkt an, dass Anthropic es ablehnte, Reuters die zugrundeliegenden Kontenprotokolle zur Verfügung zu stellen; das WSJ vermerkt das Gleiche. Der HN-Thread zur Reuters-Story ([https://news.ycombinator.com/item?id=48664814](https://news.ycombinator.com/item?id=48664814)) wird von Skepsis dominiert, ob Anthropics Mustererkennungsmethodik koordinierte Destillation von legitimer API-Nutzung im großen Maßstab unterscheiden kann. Mehrere Kommentatoren argumentieren, dass die von Anthropic beschriebenen Muster (API-Konsum mit hohem Volumen und reproduzierbarer Austauschstruktur) sowohl mit koordinierter Destillation als auch mit der natürlichen Form legitimer Unternehmens-API-Konsumenten (Callcenter, Such-Wrapper, Batch-Evaluations-Harnesses) vereinbar sind. Der HN-Kommentator [tasuki](https://news.ycombinator.com/item?id=48664814) fasst den dominierenden technischen Einwand zusammen: „Was macht die Konten gefälscht? Wenn sie den vereinbarten Preis bezahlt haben, ist es doch sicher in Ordnung? Wenn sie nicht bezahlt haben, warum hat Anthropic ihnen dann den Dienst bereitgestellt?" Anthropics Antwort im Blogbeitrag ist, dass „gefälscht" hier eine Falschdarstellung des tatsächlichen API-Konsumenten bedeutet, nicht dass die Konten nicht bezahlt hätten. ## Was ändert sich für Claude-API- und Claude-Code-Nutzer Für legitime Claude-API- oder Claude-Code-Nutzer ändert sich durch diese Offenlegung nichts. Die gefälschten Konten, die Anthropic beschreibt, waren mit spezifischen Nutzungsmustern verknüpft (koordinierte Austauschstruktur über viele Konten), die das Unternehmen nach eigenen Angaben nun automatisch erkennen kann; die neue Erkennung wirkt auf der Claude-API-Oberfläche, nicht auf der Claude.ai-Konsumenten- oder der Claude-Code-Oberfläche. Entwickler, die Claude über die offizielle API, das Anthropic SDK oder Claude Code nutzen, sollten keine Änderung an ihrem Konto oder ihrer Nutzung feststellen. Die Offenlegung ändert auch nicht die kommerziellen API-Nutzungsbedingungen von Anthropic, die das Training konkurrierender Modelle auf Claude-Ausgaben ohnehin verbieten. Die Offenlegung ist die zweite in einer Reihe, und Anthropics Formulierung legt nahe, dass weitere folgen werden. Der Blogbeitrag erklärt, das Unternehmen arbeite „mit anderen Frontier-Laboren zusammen, um Erkennungssignaturen zu teilen", und implementiere „in den kommenden Wochen zusätzliche Erkennung auf der Claude-API-Oberfläche". Keine dieser Formulierungen impliziert einen konkreten Zeitplan für weitere namentliche Offenlegungen, aber die Februar-Offenlegung folgte demselben Muster (zuerst namentliche Angreifer, später technische Details), dem nun auch die Offenlegung vom 24. Juni folgt. ## Die Verknüpfung mit der Exportkontrolle Der Zeitpunkt ist bemerkenswert. Anthropics Destillations-Offenlegung vom 24. Juni kommt eine Woche, nachdem das Unternehmen separat offenlegte, dass [eine US-Exportkontrolldirektive vom 12. Juni es zwang, Fable 5 und Mythos 5 weltweit auszusetzen](/articles/2026-06-13--anthropic-fable-mythos-suspended-us-government), einschließlich für ausländische Staatsangehörige innerhalb der Vereinigten Staaten, und Anthropic die technische Grundlage dieser Direktive öffentlich anficht. Innerhalb einer Woche ist Anthropic von der öffentlichen Anfechtung einer US-Exportkontrolldirektive zur öffentlichen Benennung eines chinesischen Frontier-Lab-Kunden als Destillationsangreifer übergegangen. Der Blogbeitrag von Anthropic verbindet die beiden Geschichten nicht; die Verbindung wird von der Fachpresse und auf X gezogen. Die Bloomberg-Berichterstattung vom 2026-06-24 rahmt die Anklage als „Teil einer breiteren Anthropic-Bemühung zu zeigen, dass sie Maßnahmen gegen unbefugten Zugriff auf ihre Modelle ergreift", was das Nächste ist, was die Fachpresse der expliziten Verbindung angenähert hat. Die Kombination wird in den nächsten zwei Wochen vermutlich Thema der EU- und US-Regulierungsgespräche zu KI-Exportkontrollen sein, insbesondere angesichts des [Fable & Mythos-Exportkontroll-Deep-Dive](/articles/2026-06-13--fable-mythos-export-control-deep-dive), den wir vor zwölf Tagen zur technischen Grundlage der ursprünglichen Direktive veröffentlicht haben. Die Sicherheitsarbeit zu [Anthropics Project Glasswing](/articles/2026-04-07--anthropic-project-glasswing-ai-finds-zero-days-faster-than-humans), die wir im April behandelt haben, war das prominenteste öffentliche Beispiel für Anthropics breitere Sicherheitshaltung; die Destillations-Offenlegung erweitert diese Haltung auf API-seitigen Missbrauch, nicht nur auf nachgelagerten Konsumenten-Missbrauch. Das Muster ist konsistent: Anthropic veröffentlicht seine Sicherheitserkenntnisse zunehmend in Primärquellenform, statt darauf zu warten, dass die Presse sie ans Licht bringt, und der Beitrag vom 24. Juni ist das detaillierteste Primärquellen-Dokument, das Anthropic bislang zu einer einzelnen Anklage veröffentlicht hat. Zum Stand 2026-06-24 23:00 UTC hat Alibaba keine öffentliche Stellungnahme veröffentlicht. Das Qwen-Team (@Alibaba_Qwen) hat auf X nichts zur Anklage gepostet; der Pressekontakt der Alibaba Group hat auf die Reuters-Anfrage nicht reagiert. Bloomberg merkt an, dass Alibaba nicht auf eine Kommentaranfrage außerhalb der Geschäftszeiten in China reagierte. Die Geschichte bewegt sich schnell; eine Reaktion Alibabas ist bis zum 2026-06-26 wahrscheinlich.