Anthropic wirft Alibaba einen massiven Versuch vor, Fähigkeiten aus Claude-Modellen abzuziehen. Laut einem von CNBC eingesehenen Brief an den US-Senatsausschuss für Banking, Housing and Urban Affairs sollen Alibaba-nahe Betreiber zwischen dem 22. April und dem 5. Juni rund 28,8 Millionen Interaktionen mit Claude erzeugt und dafür etwa 25.000 betrügerische Konten genutzt haben. Anthropic bezeichnet den Vorgang laut CNBC als den bisher größten bekannten Distillationsangriff auf das Unternehmen.
Wichtig ist die saubere Einordnung: Das ist zunächst eine Behauptung von Anthropic, berichtet von CNBC. Alibaba reagierte laut CNBC nicht unmittelbar auf eine Anfrage. Für Leser bedeutet das: Die Zahlen sind konkret und berichtenswert, aber sie sind nicht dasselbe wie ein rechtskräftig bewiesener Sachverhalt.
Trotzdem ist der Fall relevant, weil er ein Kernproblem der KI-Branche sichtbar macht. Frontier-Modelle werden nicht nur über Benchmarks, Kontextfenster und Preise bewertet. Sie sind inzwischen auch strategische Infrastruktur. Wer ihre Fähigkeiten systematisch kopiert, kann Entwicklungszeit sparen, Sicherheitsbarrieren umgehen und politische Debatten über Exportkontrollen, Modellzugang und Cloud-Überwachung verschärfen.
Was Anthropic Alibaba konkret vorwirft
Nach CNBCs Bericht schickte Anthropic am 10. Juni einen Brief an Senator Tim Scott und Senatorin Elizabeth Warren. Darin soll das Unternehmen Alibaba vorgeworfen haben, eine Kampagne zum „brazenly“ und „illicitly“ Extracting von KI-Fähigkeiten betrieben zu haben. Der zentrale Vorwurf lautet: Betreiber mit Verbindung zu Alibaba und dessen KI-Lab hätten Claude in großem Maßstab genutzt, um Trainingsdaten für eigene Modelle zu erzeugen.
Die wichtigsten Zahlen aus dem CNBC-Bericht:
| Punkt | Angabe laut CNBC |
|---|---|
| Zeitraum | 22. April bis 5. Juni 2026 |
| Umfang | 28,8 Millionen Claude-Exchanges |
| Konten | rund 25.000 betrügerische Accounts |
| Adressaten des Briefs | Tim Scott und Elizabeth Warren |
| Einstufung durch Anthropic | größter bekannter Distillationsangriff auf Anthropic |
Der Bericht nennt als Ziel besonders Fähigkeiten in Bereichen wie Software Engineering, agentisches Reasoning und fortgeschrittenes Coding. Genau diese Fähigkeiten sind für moderne KI-Modelle besonders wertvoll, weil sie nicht nur Text ausgeben, sondern mehrstufige Aufgaben planen, Tools nutzen und komplexe Arbeitsabläufe steuern können.
Was Distillation bedeutet und warum sie nicht automatisch illegal ist
Distillation ist an sich keine dubiose Technik. In der KI-Entwicklung bedeutet Distillation meistens, dass ein kleineres oder günstigeres Modell mit Ausgaben eines stärkeren Modells trainiert wird. Viele KI-Labore nutzen solche Verfahren intern, um schnellere, billigere oder spezialisierte Varianten eigener Modelle zu bauen.
Problematisch wird Distillation, wenn ein Unternehmen systematisch die Ausgaben eines fremden Modells nutzt, dabei Zugangsbeschränkungen umgeht, falsche Konten einsetzt oder gegen Nutzungsbedingungen verstößt. Genau diesen Unterschied betont Anthropic in seinem eigenen Beitrag „Detecting and preventing distillation attacks“ vom Februar 2026. Dort beschreibt das Unternehmen frühere Kampagnen, die angeblich von DeepSeek, Moonshot AI und MiniMax ausgingen und zusammen mehr als 16 Millionen Claude-Exchanges über etwa 24.000 betrügerische Konten erzeugt hätten.
Der neue Alibaba-Vorwurf wäre damit größer als die zuvor öffentlich beschriebenen Kampagnen. Entscheidend ist aber nicht nur die Anzahl der Abfragen. Entscheidend ist das Muster: Viele Konten, hohe Wiederholung, enge Fokussierung auf wertvolle Fähigkeiten und Versuche, normale Nutzung zu imitieren.
Warum 28,8 Millionen Abfragen so viel sind
Eine einzelne Claude-Antwort ist noch kein Modellklau. Auch Tausende normale Nutzer stellen täglich ähnliche Fragen. Der Unterschied liegt in der Skalierung und im Zweck.
Wenn eine Organisation Millionen von Abfragen gezielt auf bestimmte Fähigkeiten richtet, entsteht daraus ein Datensatz. Dieser Datensatz kann genutzt werden, um ein anderes Modell zu trainieren oder zu verbessern. Besonders wertvoll sind Aufgaben, bei denen ein Frontier-Modell nicht nur eine Antwort liefert, sondern auch Struktur, Planung, Tool-Strategien oder Qualitätsbewertungen erzeugt.
Anthropic hatte im Februar bereits beschrieben, dass solche Angriffe oft auf vier Fähigkeiten zielen:
- Agentisches Reasoning, also das Planen mehrstufiger Aufgaben
- Tool Use, also die koordinierte Nutzung externer Werkzeuge
- Coding und Debugging, weil diese Fähigkeiten direkt in Produktivität übersetzt werden
- Rubrikbasierte Bewertung, bei der ein starkes Modell als Qualitätsrichter für ein schwächeres Modell genutzt wird
Wenn diese Art von Daten in großem Stil gesammelt wird, kann ein Konkurrent theoretisch Entwicklungszeit sparen. Er muss dann nicht jede Fähigkeit selbst über teure Trainingsläufe, Evaluationen und menschliches Feedback aufbauen. Genau das macht Distillationsangriffe für Frontier-Labore so sensibel.
Warum der Fall mehr ist als ein Streit zwischen zwei Firmen
Auf den ersten Blick klingt der Fall wie ein gewöhnlicher Konflikt zwischen Wettbewerbern. In Wahrheit geht es um drei größere Fragen.
Erstens geht es um Zugangskontrolle. Anthropic schreibt in seinem Februar-Beitrag, dass Claude in China kommerziell nicht verfügbar sei und dass Proxy-Dienste eine wichtige Rolle beim Umgehen solcher Einschränkungen spielen könnten. Wenn zehntausende Konten über Wiederverkäufer, Proxies oder Drittplattformen laufen, wird es schwerer, legitime Nutzung von systematischer Extraktion zu unterscheiden.
Zweitens geht es um Sicherheitsbarrieren. Anthropic argumentiert, dass unerlaubt destillierte Modelle möglicherweise nicht dieselben Schutzmechanismen behalten wie das Originalmodell. Ein Modell kann also Fähigkeiten übernehmen, ohne die Sicherheitslogik sauber mitzunehmen. Das ist für Bereiche wie Cybersecurity, Biologie, Desinformation oder militärische Nutzung besonders heikel.
Drittens geht es um Industriepolitik. CNBC verweist darauf, dass der Fall zwei Monate nach einem White-House-Memorandum kommt, das die Erkennung und Koordination gegen großskalige Distillation unterstützen sollte. Anthropic selbst verbindet Distillation in mehreren Veröffentlichungen mit Exportkontrollen und der Frage, ob US-Labore ihren Vorsprung gegenüber chinesischen KI-Laboren halten können.
Die geopolitische Ebene: Compute, Modelle und Exportkontrollen
Anthropic sieht Distillation nicht isoliert. In dem Papier „2028: Two scenarios for global AI leadership“ argumentiert das Unternehmen, dass chinesische KI-Labore trotz Talent und Innovationskraft durch begrenzten Zugang zu High-End-Compute eingeschränkt seien. Distillation wird dort als ein Weg beschrieben, über den Labore Fähigkeiten amerikanischer Modelle nachbilden könnten, ohne denselben Trainingsaufwand leisten zu müssen.
Diese Sicht ist politisch aufgeladen. Anthropic unterstützt strengere Exportkontrollen und stellt Distillation in einen nationalen Sicherheitskontext. Das ist eine legitime Position, aber Leser sollten sie als Position eines direkt betroffenen US-KI-Unternehmens verstehen. Andere Marktteilnehmer könnten stärker betonen, dass offene Forschung, Modellvergleich und erlaubte Nutzung von API-Ausgaben ebenfalls Teil des KI-Ökosystems sind.
Trotzdem ist der neue Bericht wichtig, weil die Zahlen ungewöhnlich groß sind. 28,8 Millionen Interaktionen sind nicht mehr Randnutzung. Wenn die Darstellung stimmt, handelt es sich um industrielle Nutzungsmuster, nicht um einzelne Forscher, die ein Modell testen.
Was bedeutet das für Qwen und Alibaba?
Der WorldofAI-Beitrag formuliert zugespitzt, ob Qwen durch solche Praktiken „stehlen“ würde. Diese Formulierung ist klickstark, aber sie ist zu hart, solange nur der CNBC-Bericht und Anthropic-Zitate vorliegen. Korrekt ist: Anthropic wirft Alibaba-nahen Betreibern eine unzulässige Distillationskampagne vor. Ob und in welchem Umfang konkrete Qwen-Modelle davon profitiert haben, ist öffentlich nicht belastbar belegt.
Für Alibaba ist der Vorwurf trotzdem gefährlich. Qwen ist eines der sichtbarsten chinesischen Modell-Ökosysteme, mit starkem Open-Source-Fokus und breiter Entwicklerbasis. Wenn der Eindruck entsteht, dass Fähigkeiten über massenhafte Umgehung fremder Modellzugänge aufgebaut wurden, kann das Vertrauen in Benchmarks und technische Fortschritte beschädigt werden.
Für Nutzer heißt das: Benchmarks allein reichen nicht. Bei neuen Modellen wird künftig stärker gefragt werden, wie Trainingsdaten, Distillation, synthetische Daten und Sicherheitsmaßnahmen dokumentiert sind. Transparenz wird ein Wettbewerbsvorteil.
Warum Frontier-Labore Distillation schwer verhindern können
Ein API-Modell muss Antworten ausgeben. Genau diese Antworten sind aber der Rohstoff für Distillation. Das macht die Verteidigung schwierig. Ein Anbieter kann nicht einfach jede wertvolle Antwort blockieren, ohne das Produkt schlechter zu machen.
Stattdessen setzen Anbieter auf Mustererkennung. Anthropic nennt in seinem Februar-Beitrag mehrere Verteidigungslinien: Klassifikatoren für verdächtige API-Muster, Fingerprinting koordinierter Konten, strengere Prüfung von Zugangspfaden, Teilen technischer Indikatoren mit anderen KI-Laboren und Gegenmaßnahmen auf Produkt- und Modellebene.
Das ist ein Katz-und-Maus-Spiel. Angreifer können Abfragen über Konten verteilen, Zeiten variieren, Aufgaben umformulieren und über Proxy-Dienste laufen lassen. Verteidiger müssen erkennen, wann viele scheinbar normale Nutzer in Wahrheit ein gemeinsames Ziel verfolgen.
Verbindung zu anderen aktuellen KI-News
Der Vorwurf gegen Alibaba kommt in einer Woche, in der ohnehin viel Bewegung im KI-Markt ist. OpenAI und Broadcom haben mit Jalapeño einen eigenen Inferenzchip vorgestellt, der OpenAIs Abhängigkeit von externen Beschleunigern reduzieren soll. Unser Artikel dazu erklärt, warum eigene Hardware für KI-Labore strategisch immer wichtiger wird: OpenAI Jalapeño: Neuer LLM-Chip mit Broadcom.
Parallel kursieren weiter Leaks und Rollout-Gerüchte rund um GPT-5.6. Auch dazu gibt es bereits eine Einordnung auf Kitoolsupdate: GPT-5.6 Pro: Neue Leaks zeigen bestätigtes Release-Datum und massive Benchmarks.
Diese Themen hängen stärker zusammen, als sie auf den ersten Blick wirken. Hardware, Modellzugang und Distillation bestimmen gemeinsam, wer im KI-Rennen vorne bleibt. Wer eigene Chips hat, kann günstiger skalieren. Wer starke Modelle hat, muss sie schützen. Wer keinen Zugang zu Top-Compute hat, hat stärkere Anreize, Fähigkeiten über andere Wege zu approximieren.
Was Unternehmen und Entwickler daraus lernen sollten
Für normale Anwender ist der Fall kein Grund, Claude oder Qwen sofort zu meiden. Aber er zeigt, wie wichtig Governance beim Einsatz von KI-Modellen wird.
Unternehmen sollten prüfen, welche Daten sie an externe Modelle senden, welche Anbieter sie nutzen und wie klar die Nutzungsbedingungen sind. Entwickler sollten verstehen, dass API-Zugriff nicht automatisch bedeutet, dass Ausgaben beliebig für Training, Benchmarking oder Modellverbesserung verwendet werden dürfen. Die rechtlichen und vertraglichen Grenzen unterscheiden sich je nach Anbieter.
Für KI-Anbieter entsteht ein anderes Problem: Sie müssen einerseits leistungsfähige APIs anbieten, andererseits Missbrauch erkennen. Zu aggressive Schutzmaßnahmen verschlechtern legitime Nutzung. Zu lockere Schutzmaßnahmen ermöglichen industrielle Extraktion. Der Markt wird deshalb wahrscheinlich stärker in Richtung Account-Verifikation, Usage-Monitoring und differenzierte Zugangsmodelle gehen.
Fazit: Der Fall ist ein Warnsignal für die KI-Branche
Anthropics Vorwurf gegen Alibaba ist noch kein endgültiger Beweis, aber er ist zu konkret, um ihn als normales KI-Rauschen abzutun. 25.000 Konten und 28,8 Millionen Interaktionen wären eine Größenordnung, die zeigt, dass Distillation nicht nur ein theoretisches Risiko ist.
Der Fall verschiebt die Debatte: Es geht nicht mehr nur darum, welches Modell im Benchmark vorne liegt. Es geht darum, wie Fähigkeiten entstehen, wie sie geschützt werden und welche Regeln für den Zugang zu Frontier-Modellen gelten. Für die kommenden Monate dürfte genau diese Frage wichtiger werden: Wie offen kann KI-Infrastruktur sein, ohne zur kostenlosen Trainingspipeline für Wettbewerber zu werden?
FAQ
Was wirft Anthropic Alibaba vor?
Anthropic wirft Alibaba-nahen Betreibern laut CNBC vor, rund 28,8 Millionen Claude-Interaktionen über etwa 25.000 betrügerische Konten erzeugt zu haben. Ziel soll gewesen sein, Fähigkeiten aus Claude-Modellen für eigene KI-Entwicklung zu extrahieren.
Was ist eine Distillationsattacke bei KI-Modellen?
Eine Distillationsattacke nutzt die Ausgaben eines starken Modells, um ein anderes Modell zu trainieren oder zu verbessern. Distillation ist technisch nicht automatisch problematisch, wird aber heikel, wenn sie über betrügerische Konten, Proxy-Zugänge oder gegen Nutzungsbedingungen erfolgt.
Ist bewiesen, dass Alibaba Claude-Fähigkeiten gestohlen hat?
Öffentlich liegt bisher vor allem der CNBC-Bericht über einen von Anthropic verschickten Brief vor. Alibaba reagierte laut CNBC nicht unmittelbar auf eine Anfrage; deshalb sollte man den Fall als schweren Vorwurf, nicht als abschließend bewiesene Tatsache behandeln.
Warum ist der Fall für Nutzer von KI-Tools relevant?
Der Fall zeigt, dass Modellzugang, Trainingsdaten und Sicherheitsmechanismen künftig stärker geprüft werden. Für Nutzer ist wichtig, ob Anbieter transparent mit Daten, API-Nutzung und Schutzmaßnahmen umgehen.
Welche Originalquellen wurden für diese Einordnung genutzt?
Die wichtigste Quelle ist der CNBC-Bericht vom 24. Juni 2026 über Anthropics Brief an US-Senatoren. Ergänzend wurden Anthropics eigener Beitrag zu Distillationsangriffen vom Februar 2026 und Anthropics Papier zu globaler KI-Führerschaft 2028 herangezogen.