Anthropic diz que “Alibaba extraiu ilegalmente capacidades dos modelos de IA Claude”

Comentários do Hacker News

• Deixo isto aqui: “um juiz decidiu que o download de mais de 7 milhões de livros feito pela Anthropic em sites piratas como o LibGen constitui infração, e também rejeitou a defesa da Anthropic de ‘finalidade de pesquisa’: ‘você não pode se abençoar dizendo que é para pesquisa e depois pegar qualquer livro didático que quiser.’”
  https://www.joneswalker.com/en/insights/blogs/ai-law-blog/wh...

  • No início do streaming de música, muitos entrantes também encheram seus serviços com vastas bibliotecas de conteúdo pirata. Os vencedores fecharam contratos com os detentores dos direitos e depois foram atrás do resto
  • Não é engraçado como, quando você pergunta a letra de uma música, esses modelos de repente se lembram de material protegido por direitos autorais?
  • Mas não seria necessário descartar o modelo treinado com esses livros?
  • Quanto de “capacidade” eles terão “extraído” desses livros?
  • “Você está tentando sequestrar o que eu roubei legitimamente!”

• Existem basicamente dois tipos de destilação. 1) a forma burra em larga escala, de fazer perguntas e usar respostas como sinal de reforço (caixa-preta), 2) uma destilação mais direcionada, em que um modelo ensina, treina e orienta diretamente o outro (RLAIF)
  A segunda, na prática, é ajustar finamente um modelo guiado pela orientação de outro. Inúmeras empresas fazem esse tipo de ajuste fino todos os dias. Institutos de pesquisa chineses quase certamente também usam esse método, porque ele é muito mais eficaz no resultado final do que simplesmente raspar respostas simples para perguntas simples
  Essas reclamações sobre destilação parecem tentar fazer o problema parecer maior do que realmente é, e o objetivo aparenta ser protecionista: levar o governo dos EUA a bloquear ou proibir provedores de modelos chineses. Já pediram um endurecimento dos controles de exportação de chips, o que é engraçado considerando que o DeepSeek v4 foi projetado para rodar em chips da Huawei e outras empresas chinesas estão seguindo o mesmo caminho. Mas como não podem dizer isso abertamente, afirmam que modelos destilados podem não ser tão seguros quanto os deles, então pedem mais controles de exportação. Mas, quando você mostra jailbreaks que contornam as proteções de segurança do próprio modelo deles, dizem que não é preciso se preocupar com segurança, porque qualquer modelo acaba sendo jailbreakado

  • A parte de que “as reclamações sobre destilação fazem o problema parecer maior do que é” está certa, mas, infelizmente, a própria reportagem da Reuters participa dessa dramatização. No primeiro parágrafo, ela repete sem aspas a expressão da Anthropic de que destilação é um “ataque”, dificultando ao leitor perceber que esse enquadramento é uma alegação da empresa. Destilação não é ataque
  • Pode ser uma pergunta boba, mas eu achava que esses modelos eram treinados com dados na escala de petabytes. A quantidade de perguntas/respostas que se pode extrair consultando um modelo maior (Claude) seria bem limitada; comparada ao dataset de treino, não seria só uma gota no oceano?
  • https://research.nvidia.com/labs/lpr/slm-agents/ — dados de destilação são um subproduto natural ao usar modelos como esse. Não existe defesa eficaz. A Anthropic está degradando os blocos de raciocínio em resumos para tentar reduzir a velocidade e esconder o interior do modelo, mas, no fim, matematicamente não há solução, e na escala de multinacionais/grandes empresas isso funciona bem o bastante. No momento em que custo vira prioridade, desaparece o efeito de lock-in que manteria os clientes presos
  • Eles fazem duas afirmações. 1) um determinado jailbreak público existente no Fable 5 não é perigoso, e vários especialistas confirmaram isso, sem haver evidência confiável em contrário. Ou seja, a Anthropic provavelmente está certa
    2) é impossível criar um modelo de linguagem de grande porte imune a todos os jailbreaks. Também não há evidência confiável para refutar isso, então a Anthropic está totalmente certa
    Se a afirmação 1 for falsa, basta divulgar os detalhes do jailbreak. Como supostamente só funciona no Fable 5, também não haveria risco real
    Se a afirmação 2 for falsa, algum outro laboratório de modelos de linguagem de grande porte já deveria ter conseguido isso. Ainda mais porque vários governos já deixaram claro que existe mercado para esse tipo de projeto
  • Se você está fazendo avaliação, na prática é quase a mesma coisa que fazer RLAIF, só que sem treinar o modelo. Você está apenas observando os resultados
    No fundo, é muito difícil impedir isso sem deixar o modelo de IA menos útil

• Isso me lembra quando, no fim dos anos 1980, Steve Jobs reclamava de terem copiado a GUI do Mac. Só que ele próprio não reconhecia publicamente o trabalho feito no Xerox Alto e no sistema operacional Star
  “Você está tentando copiar o que eu já copiei!”
  É o mesmo que rastejar a internet inteira para criar um modelo de linguagem gigante e depois reclamar de ser copiado

  • Acho que você queria citar esta frase, geralmente atribuída ao Bill Gates: “Bem, Steve, acho que não dá para ver isso só de um jeito. É mais como se nós dois tivéssemos um vizinho rico chamado Xerox, e eu entrei na casa dele para roubar a TV e descobri que você já tinha levado.”
  • A Apple deu à Xerox o direito de comprar US$ 1 milhão em ações antes do IPO antes de essa reunião acontecer
  • Sim, a indústria de IA inteira é feita de gente copiando uns aos outros. Começou com empresas de IA engolindo por inteiro as informações que pessoas técnicas ou altruístas compartilharam na internet nos últimos 40 anos para ajudar outros humanos, depois devoraram material pirata e protegido por direitos autorais, e agora as empresas de IA estão copiando umas às outras
    A informação realmente quer ser livre, mas as empresas de IA querem ser as porteiras. No longo prazo, acho que a abordagem mais sustentável, de pesos abertos, vai vencer
  • Todos os modelos de linguagem de grande porte veem Jon Skeet como um deus
  • “Você está tentando sequestrar o que eu roubei legitimamente!”

• É realmente engraçado ver a hipocrisia de a Anthropic reclamar que “extraiu ilegalmente as capacidades do modelo Claude AI” e endossar a acusação da Casa Branca de que a China “rouba propriedade intelectual de laboratórios de IA dos EUA em escala industrial”
  Anthropic, OpenAI, Google, Microsoft etc. treinaram seus modelos coletando conteúdo indiscriminadamente e ignorando os direitos dos detentores de copyright. Agora uma delas está gritando que é injusto quando outro ator fez a mesma coisa que todas elas fizeram?

  • As empresas de IA parecem achar que tudo na internet é grátis, exceto o que é delas. Tudo bem martelar sites aleatórios com crawlers de IA, ignorar robots.txt e fazer os custos de banda dispararem. Mas se as práticas de coleta de dados geram custos para os provedores de IA, aí isso claramente se torna inaceitável
  • Pela lei atual, a saída do Claude é domínio público, então não é exatamente o mesmo caso. Portanto, o lado chinês não roubou nada aqui
  • O que é seu é meu, e o que é meu continua sendo meu
  • Não existe honra entre ladrões

• O que está acontecendo agora é o seguinte: revendedores chineses estão oferecendo tokens do Claude por preços 70% a 90% menores que os da API oficial da Anthropic. Eles conseguem isso agrupando contas Claude Max e revendendo a capacidade, usando fraude de pagamento e revendendo saídas do modelo e cadeias de raciocínio para vários laboratórios chineses. Ao ajudar no acesso ao modelo em troca de logs de usuários e rastros de raciocínio, eles podem vender isso como dados de treinamento e operar abaixo do custo
  Claude e ChatGPT estão ambos bloqueados na China. Para acessar, é preciso VPN, e não dá para pagar com cartão bancário chinês. Então a maioria das pessoas que quer acesso ao Claude compra acesso por meio de revendedores
  É a forma mais fácil e barata de acessar os modelos da Anthropic na China
  Esses revendedores operam dezenas de milhares de contas de bot, e é por isso que a Anthropic introduziu verificação de identidade para tentar desacelerar a ofensiva dos bots
  Um revendedor de tokens oferece o Opus 4.8 com 93% de desconto em relação à tarifa oficial da API: https://yunwu.ai/pricing?provider=Anthropic
  Essa é uma das razões pelas quais os preços do DeepSeek e do GLM são tão baixos. Como precisam competir com preços de tokens absurdamente baixos na China, têm de manter os preços baixos para que as pessoas usem
  Compartilhei isso alguns meses atrás, mas não teve muita repercussão. É um ótimo texto explicando a economia de revenda de tokens na China: https://www.chinatalk.media/p/how-to-buy-cheap-claude-tokens...

  • Isso é bom para a concorrência. Um vendedor chinês oferecer uma solução mais barata é exatamente o tipo de livre mercado que aprendi em economia
    Também aprendi que, se a Anthropic quiser competir, precisa fazer melhor o próprio trabalho
    Senão, alguém vai vencer
    Agora esse princípio não se aplica às grandes empresas americanas?
  • Não convence nem um pouco a explicação de que DeepSeek e GLM são baratos porque precisam competir com preços de tokens absurdamente baixos na China
    DeepSeek e GLM têm pesos abertos, e até provedores americanos de inferência vendem bem mais barato. O motivo de o preço ser baixo é que os modelos são mais eficientes
  • Se a história é que eles agrupam contas Claude Max 5x, revendem capacidade, usam fraude de pagamento e vendem saídas do modelo para vários laboratórios chineses, isso sai mais barato do que obter a própria conta diretamente?
    Se não, isso soa como aquele argumento comum dos pessimistas de IA de que “Anthropic/OpenAI está vendendo US$ 1.000 em tokens por US$ 100 e perdendo uma fortuna”
  • A Anthropic provavelmente poderia colocar o Mythos nisso e resolver o problema dos revendedores de frente. Bastaria comprar várias contas por meio de revendedores, enviar mensagens com UID, capturar isso nos logs da Anthropic, encerrar as contas e repetir o ciclo identificando contas relacionadas pelos metadados
  • Na verdade, esses revendedores só estão fingindo vender Kimi K2.5 ou GLM5.1 como se fosse Opus. Os chineses conhecem bem esse jogo de falsificação em vários setores há muito tempo

• A conduta da Alibaba está sendo descrita como um esforço de “destilação”, que a Anthropic definiu como treinar um modelo mais fraco com as saídas de um modelo mais forte
  O Claude usou terabytes de conteúdo sem permissão para treinar o próprio modelo, e isso teria sido aceitável. Agora alguém usa a saída do modelo Claude para treinar um modelo e eles estão gritando que é injusto

  • Não foi aceitável. Teve que pagar US$ 1 bilhão

• Vai ser interessante ver um julgamento em que a Anthropic tenha de revelar a origem dos dados de treinamento e explicar por que ela pode cobrar dos clientes por dados de treinamento regurgitados, mas a Alibaba não pode treinar seu modelo com o modelo da Anthropic
  Deve ser divertido

  • Já revelou e pagou US$ 1,5 bilhão: https://authorsguild.org/advocacy/artificial-intelligence/wh...
  • Se houver sequer uma única linha de código GPL ali dentro, então os pesos precisam ser publicados sob licença GPL
  • Ser agressivo e barulhento é mais lucrativo do que ser logicamente consistente
  • Entendo esse sentimento, mas considerando a posição internacional das partes e as relações complexas entre elas, parece improvável que isso realmente chegue a julgamento
    A ação da Anthropic parece um gesto performático. Outros já especularam quem seria o público-alvo

• O que exatamente seria ilegal aqui?
  Legalmente, a saída do modelo não pode ser protegida como propriedade intelectual, nem pela legislação doméstica nem pela internacional. No máximo, o que se poderia esperar é algum tipo de reparação civil, e mesmo isso é forçado, considerando que a própria forma como eles treinaram o modelo era literalmente ilegal
  A Anthropic foi tratada exatamente da forma como tratou todo mundo. Eles fizeram a própria cama, então agora têm de deitar nela

  • A Anthropic é mestre em novilíngua. Já antes, no caso do Mythos, chamaram bugs de vulnerabilidades. Destilação é apenas violação dos termos de serviço; isso não é crime, é uma questão civil. Não é ilegal, nem é violação da lei

• O que a Alibaba fez é chamado de “destilação”, isto é, treinar um modelo mais fraco com as saídas de um modelo mais forte, e eu não entendo o que há de errado nisso
  A Anthropic disse que essa campanha ocorreu de 22 de abril de 2026 a 5 de junho e gerou mais de 28,8 milhões de interações com o Claude por meio de quase 25.000 contas fraudulentas
  O que torna essas contas fraudulentas? Se pagaram o preço combinado, não estaria tudo bem? Se não pagaram, por que a Anthropic forneceu o serviço?

  • O que as torna contas fraudulentas? Identidades falsas podem ser uma razão, assim como engano generalizado sobre o propósito de uso
  • Porque os termos de serviço da Anthropic têm muito mais condições do que “se pagar, pode usar o serviço para qualquer finalidade”
  • Também poderiam ler os rastros de raciocínio e aprender sozinhos, né? /s

• A destilação é fundamentalmente impossível de impedir. Tudo o que dá para fazer é atrasar. Tente refutar
  No fim, empresas chinesas vão lançar extensões como o Honey, se apoiar em clientes reais não chineses e, de qualquer forma, mandar tudo para a China
  Acabou

  • Já é tarde demais para impedir a destilação de algumas capacidades, como escrever código ou encontrar vulnerabilidades [1]
    Mas os laboratórios de IA ainda podem continuar gerando enorme valor econômico sem expor seus modelos a uma potencial destilação por meio de lançamento público. Por exemplo, podem usar o modelo apenas internamente para desenvolver tratamentos
    Espero que um dia exista um futuro em que outros também possam acessar modelos de ponta, mas isso não é necessariamente indispensável se a conclusão for que impedir a difusão via destilação é mais importante
    [1]: referência sobre destilação em https://dualuse.dev/posts/export-controls-on-fable
  • O que eu não entendo bem é que a destilação que vemos parece acontecer só na China. O que impede empresas de tecnologia do Reino Unido, da Alemanha etc. de destilar Claude, GPT e afins? É só falta de capacidade?
    O ponto é que talvez não exista solução técnica, mas teoricamente pode haver uma solução política
  • Enquanto os modelos continuarem evoluindo, os modelos destilados inevitavelmente ficarão para trás. Os modelos continuam avançando. Talvez isso acabe um dia, no futuro
    “False Promise of Imitating Proprietary LLMs”, de Berkeley, também concluiu que a imitação reduz rapidamente a lacuna de estilo, mas a lacuna de capacidade permanece grande
    https://arxiv.org/abs/2305.15717
  • Nem consigo pensar em um motivo para considerar isso errado
  • É igual a não ser possível impedir web scraping. Tente refutar.