Anthropic beschuldigt Alibaba, die Fähigkeiten seines KI-Modells Claude im großen Stil abgegriffen zu haben. In einem Brief an den US-Senat ist von 28,8 Millionen Abfragen über rund 25.000 gefälschte Konten die Rede. Für europäische KI-Anbieter steht damit eine unbequeme Frage im Raum.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die Modell-Extraktion durch Alibaba beschreibt Anthropic als den größten bekannten Distillation-Angriff auf das eigene Haus. Kommt Ihnen das Muster bekannt vor? Vier Monate zuvor hat derselbe Vorwurf bereits einen anderen chinesischen Wettbewerber getroffen.

Das Wichtigste in Kürze

  • Anthropic wirft Alibabas Qwen-Labor vor, zwischen dem 22. April und dem 5. Juni 2026 etwa 28,8 Millionen Abfragen an Claude gestellt zu haben.
  • Rund 25.000 gefälschte Konten und Proxy-Dienste umgingen laut Brief die Sperre für chinesische Nutzer.
  • Im Visier standen die wertvollsten Fähigkeiten von Claude: agentisches Reasoning, Software-Engineering und Aufgaben über lange Zeiträume.

Anthropic hat den Vorwurf am 10. Juni 2026 in einem Brief an den US-Senatsausschuss für Bankwesen formuliert. Policy-Chefin Sarah Heck spricht von einem Vorgehen „illegal, systematisch und im industriellen Maßstab“. Alibaba hat sich zunächst nicht geäußert.

Wie funktioniert Modell-Distillation über die API?

Zwei weiße Affenfiguren, links groß mit „Original“-Sticker, rechts klein mit „NACHBAU“-Schild
Angreifer trainieren kleinere Modelle durch Millionen Anfragen an starke KI-Systeme, um diese nachzubauen, ohne Daten zu stehlen

Beim Distillieren trainiert ein Angreifer ein eigenes, kleineres Modell auf den Antworten eines stärkeren Vorbilds. Der Ablauf braucht keinen Einbruch und keinen geklauten Datensatz. Eine reguläre Programmierschnittstelle genügt, denn jede Antwort des Spitzenmodells dient zugleich als Trainingsbeispiel für den Nachbau.

Der Hebel liegt in der Masse der Fragen. Millionen sorgfältig gewählte Prompts ergeben ein Trainingskorpus, das die Logik des Originals widerspiegelt, ohne dass je ein Modellgewicht den Anbieter verlässt. Anthropic untersagt genau diesen Vorgang in der eigenen Nutzungsrichtlinie, die das Verwenden von Ein- und Ausgaben zum Training fremder Modelle ohne Genehmigung verbietet.

Technisch lässt sich der Diebstahl kaum sauber abwehren. Eine Schnittstelle, die Fragen beantwortet, gibt ihr Wissen preis. Wirksam sind nur abgestufte Hürden: Begrenzung der Abfragerate, Erkennung auffälliger Massenzugriffe und der Verzicht darauf, neben dem Text auch Token-Wahrscheinlichkeiten auszuliefern, die am meisten über das Innenleben verraten. Ähnliche Verteidigungslinien haben wir beschrieben, als Tech-Konzerne Open Source gegen KI-Angriffe abgesichert haben.

Ein Sprachmodell verteilt über seine Schnittstelle täglich die Bauanleitung für den eigenen Klon. Millionen Euro Trainingskosten schützt in Europa kein Geofence, sondern nur eine harte Vertragsklausel und ein wasserdichtes Geschäftsgeheimnis.

— Michael Dobler, Herausgeber Dr. Web

Ist das ein Einzelfall oder ein Muster?

Zwei kupferfarbene Fuchs-Ausstechformen auf hellem Teig mit Abdrücken, eine mit Beschriftung
Zwei baugleiche Ausstechformen stehen sinnbildlich für die wiederholte Distillation von US-Modellen durch verschiedene Wettbewerber.

Der Fall reiht sich in eine klare Eskalation ein. Im Februar 2026 hat OpenAI in einem Memo an das China Select Committee des Kongresses DeepSeek vorgeworfen, über getarnte Drittanbieter-Router auf ChatGPT zugegriffen und dessen Ausgaben für Distillation genutzt zu haben. DeepSeek beteuert ein eigenständiges Training.

Zwei Großkonzerne, zwei chinesische Adressaten, dasselbe Vorgehen binnen weniger Monate: Daraus wird ein Trend statt einer Anekdote. Der mutmaßliche Alibaba-Feldzug hat rund zwei Wochen nach einer Warnung des Weißen Hauses vom 24. April begonnen, die genau vor industrieller Distillation US-amerikanischer Modelle gewarnt hatte. Welche Wucht hinter dem Boom steckt, zeigt sich auch dort, wo der heimliche Gewinner im Schwarzwald sitzt oder Marken um ihre Sichtbarkeit in KI-Antworten ringen.

Was bedeutet das für europäische KI-Anbieter?

Offener Tresor mit Texttafel und einem orangefarbenen Huhn darauf
Ohne dokumentierte Geheimhaltungsmaßnahmen verlieren europäische Modelle vor Gericht den Schutz als Geschäftsgeheimnis.

Im DACH-Raum verschiebt sich der Rechtsrahmen in eine heikle Richtung. Der EU AI Act zwingt Anbieter großer Modelle zu mehr Dokumentation und Transparenz, während dieselben Modellgewichte und Architekturen den eigentlichen Wettbewerbsvorteil bilden. Mehr Offenlegung trifft auf ein Gut, das nur im Verborgenen seinen Wert behält.

Schutz bietet vor allem das Geschäftsgeheimnis. Die EU-Richtlinie 2016/943 und das deutsche Geschäftsgeheimnisgesetz greifen nur bei nachgewiesenen „angemessenen Geheimhaltungsmaßnahmen“. Ohne dokumentierte Vorkehrungen verliert ein europäisches Modell seinen Status als Geheimnis, und ein Distillation-Vorwurf zerfällt vor Gericht. Eine Einordnung der Modelle selbst liefern unser Vergleich der KI-Textgeneratoren und die KI-Rubrik von Dr. Web.

Für die Praxis bleiben drei Schritte. Schreiben Sie ein vertragliches Verbot von Distillation und Modell-Rekonstruktion in jede API-Lizenz. Protokollieren Sie Abfragemuster als technische Geheimhaltungsmaßnahme, die vor Gericht zählt. Prüfen Sie zudem, welche Daten Ihre Schnittstelle wirklich herausgeben muss, und halten Sie Token-Wahrscheinlichkeiten zurück, wo das Geschäftsmodell sie nicht braucht.

Mehr Newshunger?

Roboterhand hält Schale, menschliche Hand hält Pipette, Text „KLONING VERSUCHT?“
Linux Foundation startet Akrites-Projekt: Tech-Riesen verteidigen Open-Source-Software vor KI-Angriffen

4,4 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail