From Beijing with Love
Cháu đã lớn thế này rồi à. Lại đây chú ôm cái coi.
Trong cuộc đua AI giữa Mỹ và Trung Quốc, việc bảo vệ mô hình không chỉ còn là ngăn đối thủ lấy mã nguồn hay trọng số mô hình. Một thách thức lớn hơn đang xuất hiện: đối thủ có thể “học lại” một mô hình AI mạnh bằng chính những câu trả lời mà nó tạo ra.
Đây là lý do Anthropic gần đây cáo buộc một nhóm liên quan đến Alibaba đã tiến hành hoạt động chưng cất mô hình (AI distillation) từ Claude, dù công ty này đã áp dụng nhiều biện pháp hạn chế truy cập đối với người dùng tại Trung Quốc và các khu vực không được hỗ trợ.
Theo thông tin được công bố, nhóm này không truy cập trực tiếp từ Trung Quốc mà sử dụng một mạng lưới lớn các tài khoản giả mạo để vượt qua các lớp kiểm soát. Gần 25.000 tài khoản được tạo ra, kết hợp với VPN, proxy dân cư, tài khoản thuê hoặc các phương thức che giấu nguồn gốc nhằm khiến hệ thống tưởng rằng đây là những người dùng hợp lệ đến từ các khu vực được phép như Mỹ, Singapore hay Hong Kong. Từ ngày 22/4 đến 5/6/2026, các tài khoản này tạo ra khoảng 28,8 triệu lượt tương tác với Claude, tập trung vào những lĩnh vực có giá trị cao như lập trình phần mềm và khả năng suy luận của AI agent. Đây được xem là một trong những vụ chưng cất mô hình có quy mô lớn nhất mà Anthropic phát hiện.
Điểm quan trọng nằm ở bản chất của distillation. Đối thủ không cần lấy được mô hình Claude bên trong, không cần biết toàn bộ kiến trúc hay dữ liệu huấn luyện ban đầu. Họ chỉ cần liên tục đặt câu hỏi cho một mô hình mạnh, thu thập câu trả lời, sau đó dùng hàng triệu hoặc hàng chục triệu ví dụ đó để huấn luyện mô hình của riêng mình. Nói cách khác, mô hình AI mạnh trở thành một “giáo viên”. Mô hình yếu hơn có thể học lại cách suy luận, cách viết code, cách xử lý vấn đề thông qua những gì giáo viên tạo ra.
Đây là lý do các công ty AI hàng đầu lo ngại distillation. Việc xây dựng một mô hình nền tảng như Claude, GPT hay Gemini đòi hỏi hàng tỷ USD đầu tư vào chip, dữ liệu, nhân sự nghiên cứu và hạ tầng tính toán. Trong khi đó, việc khai thác đầu ra của một mô hình đã hoàn thiện giúp đối thủ rút ngắn đáng kể thời gian và chi phí phát triển.
Vậy tại sao Anthropic không chặn ngay từ đầu?
Thực tế, Anthropic không hề bỏ qua rủi ro này. Họ đã dự đoán khả năng mô hình bị khai thác và xây dựng nhiều lớp phòng vệ. Vấn đề là việc ngăn chặn hoàn toàn gần như không thể khi đối thủ tiến hành ở quy mô công nghiệp. Việc chặn theo quốc gia hay địa lý chỉ là lớp bảo vệ đầu tiên. Nếu một người dùng thật sự ở Mỹ sử dụng Claude, hệ thống rất khó phân biệt ngay lập tức với một tài khoản giả được vận hành thông qua proxy tại Mỹ. Khi có hàng chục nghìn tài khoản khác nhau, mỗi tài khoản hoạt động riêng lẻ, việc phát hiện trở nên phức tạp hơn nhiều.
Anthropic hiện sử dụng các hệ thống phát hiện dựa trên hành vi, thay vì chỉ dựa vào địa chỉ IP. Họ phân tích cách người dùng tương tác với mô hình, phát hiện những mẫu truy vấn giống nhau, dấu hiệu tự động hóa hoặc những hành vi thường xuất hiện trong các chiến dịch thu thập dữ liệu để huấn luyện AI. Ví dụ, một người dùng bình thường có thể hỏi Claude để giải quyết một vấn đề lập trình. Nhưng một nhóm muốn chưng cất mô hình sẽ tạo ra hàng nghìn truy vấn có cấu trúc, liên tục khai thác những khả năng quan trọng nhất của mô hình để thu thập dữ liệu huấn luyện. Anthropic cũng phát triển các biện pháp kỹ thuật khác như điều chỉnh phản hồi đối với những truy vấn đáng nghi, hạn chế việc cung cấp những đầu ra có giá trị cao cho mục đích tái huấn luyện, đồng thời chia sẻ thông tin về các dấu hiệu tấn công với các phòng lab AI khác và cơ quan quản lý.
Tuy nhiên, đây là một cuộc chạy đua liên tục. Khi các công ty AI cải thiện hệ thống phòng thủ, đối thủ cũng cải thiện cách né tránh. Một chiến dịch sử dụng vài tài khoản giả có thể dễ dàng bị khóa, nhưng một mạng lưới hàng chục nghìn tài khoản cùng với nguồn lực lớn thì lại là một bài toán hoàn toàn khác. Trước vụ Alibaba, Anthropic cũng từng cảnh báo về các hoạt động tương tự liên quan đến một số công ty AI Trung Quốc khác như DeepSeek, Moonshot hay MiniMax. Điều này cho thấy vấn đề không nằm ở một công ty cụ thể mà là thách thức chung của các phòng nghiên cứu AI hàng đầu.
Cuối cùng, câu hỏi lớn hơn là liệu Mỹ có thể giữ lợi thế AI bằng cách ngăn Trung Quốc tiếp cận mô hình hay không. Câu trả lời có lẽ là không thể chỉ bằng biện pháp kỹ thuật. Geo-block, xác thực số điện thoại, kiểm tra thanh toán hay hạn chế API đều có giới hạn. Khi giá trị của một mô hình AI lên tới hàng trăm triệu USD, đối thủ có đủ động lực để đầu tư tiền bạc và nhân lực nhằm tìm cách vượt qua.
Cuộc cạnh tranh AI trong tương lai vì vậy sẽ không chỉ là cuộc đua xây dựng mô hình mạnh nhất, mà còn là cuộc đua bảo vệ lợi thế sau khi mô hình được đưa ra thị trường. Các công ty AI sẽ phải kết hợp giữa công nghệ phòng thủ, chính sách kiểm soát và những lợi thế khác như dữ liệu, hệ sinh thái sản phẩm và khả năng triển khai. Bởi trong kỷ nguyên AI, một mô hình có thể bị học lại. Lợi thế thực sự nằm ở khả năng liên tục đổi mới nhanh hơn tốc độ mà đối thủ có thể sao chép.
>> Anthropic tố Alibaba đánh cắp công nghệ AI
Đây là lý do Anthropic gần đây cáo buộc một nhóm liên quan đến Alibaba đã tiến hành hoạt động chưng cất mô hình (AI distillation) từ Claude, dù công ty này đã áp dụng nhiều biện pháp hạn chế truy cập đối với người dùng tại Trung Quốc và các khu vực không được hỗ trợ.
Theo thông tin được công bố, nhóm này không truy cập trực tiếp từ Trung Quốc mà sử dụng một mạng lưới lớn các tài khoản giả mạo để vượt qua các lớp kiểm soát. Gần 25.000 tài khoản được tạo ra, kết hợp với VPN, proxy dân cư, tài khoản thuê hoặc các phương thức che giấu nguồn gốc nhằm khiến hệ thống tưởng rằng đây là những người dùng hợp lệ đến từ các khu vực được phép như Mỹ, Singapore hay Hong Kong. Từ ngày 22/4 đến 5/6/2026, các tài khoản này tạo ra khoảng 28,8 triệu lượt tương tác với Claude, tập trung vào những lĩnh vực có giá trị cao như lập trình phần mềm và khả năng suy luận của AI agent. Đây được xem là một trong những vụ chưng cất mô hình có quy mô lớn nhất mà Anthropic phát hiện.
Điểm quan trọng nằm ở bản chất của distillation. Đối thủ không cần lấy được mô hình Claude bên trong, không cần biết toàn bộ kiến trúc hay dữ liệu huấn luyện ban đầu. Họ chỉ cần liên tục đặt câu hỏi cho một mô hình mạnh, thu thập câu trả lời, sau đó dùng hàng triệu hoặc hàng chục triệu ví dụ đó để huấn luyện mô hình của riêng mình. Nói cách khác, mô hình AI mạnh trở thành một “giáo viên”. Mô hình yếu hơn có thể học lại cách suy luận, cách viết code, cách xử lý vấn đề thông qua những gì giáo viên tạo ra.
Đây là lý do các công ty AI hàng đầu lo ngại distillation. Việc xây dựng một mô hình nền tảng như Claude, GPT hay Gemini đòi hỏi hàng tỷ USD đầu tư vào chip, dữ liệu, nhân sự nghiên cứu và hạ tầng tính toán. Trong khi đó, việc khai thác đầu ra của một mô hình đã hoàn thiện giúp đối thủ rút ngắn đáng kể thời gian và chi phí phát triển.
Vậy tại sao Anthropic không chặn ngay từ đầu?
Thực tế, Anthropic không hề bỏ qua rủi ro này. Họ đã dự đoán khả năng mô hình bị khai thác và xây dựng nhiều lớp phòng vệ. Vấn đề là việc ngăn chặn hoàn toàn gần như không thể khi đối thủ tiến hành ở quy mô công nghiệp. Việc chặn theo quốc gia hay địa lý chỉ là lớp bảo vệ đầu tiên. Nếu một người dùng thật sự ở Mỹ sử dụng Claude, hệ thống rất khó phân biệt ngay lập tức với một tài khoản giả được vận hành thông qua proxy tại Mỹ. Khi có hàng chục nghìn tài khoản khác nhau, mỗi tài khoản hoạt động riêng lẻ, việc phát hiện trở nên phức tạp hơn nhiều.
Anthropic hiện sử dụng các hệ thống phát hiện dựa trên hành vi, thay vì chỉ dựa vào địa chỉ IP. Họ phân tích cách người dùng tương tác với mô hình, phát hiện những mẫu truy vấn giống nhau, dấu hiệu tự động hóa hoặc những hành vi thường xuất hiện trong các chiến dịch thu thập dữ liệu để huấn luyện AI. Ví dụ, một người dùng bình thường có thể hỏi Claude để giải quyết một vấn đề lập trình. Nhưng một nhóm muốn chưng cất mô hình sẽ tạo ra hàng nghìn truy vấn có cấu trúc, liên tục khai thác những khả năng quan trọng nhất của mô hình để thu thập dữ liệu huấn luyện. Anthropic cũng phát triển các biện pháp kỹ thuật khác như điều chỉnh phản hồi đối với những truy vấn đáng nghi, hạn chế việc cung cấp những đầu ra có giá trị cao cho mục đích tái huấn luyện, đồng thời chia sẻ thông tin về các dấu hiệu tấn công với các phòng lab AI khác và cơ quan quản lý.
Tuy nhiên, đây là một cuộc chạy đua liên tục. Khi các công ty AI cải thiện hệ thống phòng thủ, đối thủ cũng cải thiện cách né tránh. Một chiến dịch sử dụng vài tài khoản giả có thể dễ dàng bị khóa, nhưng một mạng lưới hàng chục nghìn tài khoản cùng với nguồn lực lớn thì lại là một bài toán hoàn toàn khác. Trước vụ Alibaba, Anthropic cũng từng cảnh báo về các hoạt động tương tự liên quan đến một số công ty AI Trung Quốc khác như DeepSeek, Moonshot hay MiniMax. Điều này cho thấy vấn đề không nằm ở một công ty cụ thể mà là thách thức chung của các phòng nghiên cứu AI hàng đầu.
Cuối cùng, câu hỏi lớn hơn là liệu Mỹ có thể giữ lợi thế AI bằng cách ngăn Trung Quốc tiếp cận mô hình hay không. Câu trả lời có lẽ là không thể chỉ bằng biện pháp kỹ thuật. Geo-block, xác thực số điện thoại, kiểm tra thanh toán hay hạn chế API đều có giới hạn. Khi giá trị của một mô hình AI lên tới hàng trăm triệu USD, đối thủ có đủ động lực để đầu tư tiền bạc và nhân lực nhằm tìm cách vượt qua.
Cuộc cạnh tranh AI trong tương lai vì vậy sẽ không chỉ là cuộc đua xây dựng mô hình mạnh nhất, mà còn là cuộc đua bảo vệ lợi thế sau khi mô hình được đưa ra thị trường. Các công ty AI sẽ phải kết hợp giữa công nghệ phòng thủ, chính sách kiểm soát và những lợi thế khác như dữ liệu, hệ sinh thái sản phẩm và khả năng triển khai. Bởi trong kỷ nguyên AI, một mô hình có thể bị học lại. Lợi thế thực sự nằm ở khả năng liên tục đổi mới nhanh hơn tốc độ mà đối thủ có thể sao chép.
>> Anthropic tố Alibaba đánh cắp công nghệ AI
