中美AI之間的蒸餾，要撕破了 |【經(jīng)緯低調(diào)分享】

馬年第一彈來(lái)自Anthropic——2026年2月，中美AI領(lǐng)域的技術(shù)博弈驟然升級(jí)，美國(guó)AI企業(yè)Anthropic發(fā)布重磅聲明，公開(kāi)指控DeepSeek、月之暗面、MiniMax三家中國(guó)頭部開(kāi)源大模型公司，對(duì)其旗下Claude模型實(shí)施規(guī)模化“蒸餾攻擊”。這一指控將AI模型蒸餾的技術(shù)爭(zhēng)議，推至企業(yè)合規(guī)、國(guó)際競(jìng)爭(zhēng)與國(guó)家安全的交叉地帶，也讓中美AI產(chǎn)業(yè)的技術(shù)邊界之爭(zhēng)徹底擺上臺(tái)面。

Anthropic稱，三家中國(guó)企業(yè)通過(guò)虛假賬戶、代理網(wǎng)絡(luò)搭建的“九頭蛇集群”，繞開(kāi)其對(duì)中國(guó)的訪問(wèn)限制，發(fā)起超1600萬(wàn)次針對(duì)性交互，定向抽取Claude的智能體推理、工具使用、編程等核心差異化能力，甚至刻意獲取政治敏感問(wèn)題的“審查安全”表述，用于訓(xùn)練自有競(jìng)爭(zhēng)模型。其還披露了三家企業(yè)各有側(cè)重的操作手法與規(guī)模，直指此類行為并非正常技術(shù)應(yīng)用，而是有預(yù)謀的能力竊取。

事件一出即刻引發(fā)行業(yè)震蕩，馬斯克等業(yè)內(nèi)人士直言Anthropic自身存在訓(xùn)練數(shù)據(jù)侵權(quán)問(wèn)題，質(zhì)疑其“雙重標(biāo)準(zhǔn)”，行業(yè)專家也對(duì)蒸餾技術(shù)的合法邊界提出諸多疑問(wèn)。而此前OpenAI已向美國(guó)國(guó)會(huì)指控DeepSeek的蒸餾行為，此次Anthropic的公開(kāi)發(fā)難，讓AI蒸餾成為需要行業(yè)與全球?qū)用娴拿鞔_答案的問(wèn)題。以下，Enjoy：

來(lái)源：未盡研究

中國(guó)前沿AI實(shí)驗(yàn)室最近紛紛對(duì)標(biāo)的Anthropic，開(kāi)始發(fā)飆了。

它感到自己已經(jīng)成為“開(kāi)源攻擊”行為的受害者，公開(kāi)宣布了三家“攻擊者”：DeepSeek（深度求索），Moonshot（月之暗面）和Minimax（稀宇科技），都是中國(guó)領(lǐng)先的開(kāi)放權(quán)重模型公司。

先看下Anthropic說(shuō)了些什么：

下面詳述的三次蒸餾行動(dòng)遵循了相似的套路：使用虛假賬戶與代理服務(wù)，大規(guī)模訪問(wèn) Claude，同時(shí)規(guī)避檢測(cè)。這些提示詞在數(shù)量、結(jié)構(gòu)與關(guān)注點(diǎn)上都明顯不同于正常使用模式，體現(xiàn)的是有意進(jìn)行能力抽取，而非正當(dāng)使用。

我們通過(guò) IP 地址關(guān)聯(lián)、請(qǐng)求元數(shù)據(jù)、基礎(chǔ)設(shè)施指標(biāo)等證據(jù)，并在部分情況下結(jié)合產(chǎn)業(yè)伙伴的佐證（他們也在其平臺(tái)上觀察到同樣的參與者與行為），以高度置信度將每次行動(dòng)歸因于某一家具體實(shí)驗(yàn)室。每次行動(dòng)都瞄準(zhǔn)了 Claude 最具差異化的能力：智能體推理、工具使用與編程。

DeepSeek

規(guī)模：超過(guò) 150,000 次對(duì)話交互

該行動(dòng)重點(diǎn)針對(duì)：

• 覆蓋多種任務(wù)的推理能力

• 基于評(píng)分量表（rubric）的打分任務(wù)，使 Claude 充當(dāng)強(qiáng)化學(xué)習(xí)的獎(jiǎng)勵(lì)模型

• 為政策敏感查詢創(chuàng)建“審查安全”的替代表述

DeepSeek 在多個(gè)賬戶之間生成同步流量。相同的模式、共享的支付方式以及協(xié)調(diào)一致的時(shí)間安排，表明其通過(guò)“負(fù)載均衡”來(lái)提升吞吐量、提高可靠性并規(guī)避檢測(cè)。

在一種值得注意的技術(shù)中，他們的提示詞要求 Claude 想象并闡述某個(gè)已完成回答背后的內(nèi)部推理，并把它一步一步寫出來(lái)，從而在大規(guī)模上有效生成鏈?zhǔn)剿季S（chain-of-thought）訓(xùn)練數(shù)據(jù)。我們還觀察到一些任務(wù)：利用 Claude 為關(guān)于異議人士、黨內(nèi)領(lǐng)導(dǎo)人或威權(quán)主義等政治敏感問(wèn)題生成“審查安全”的替代表述，這很可能是為了訓(xùn)練 DeepSeek 自己的模型，把對(duì)話引導(dǎo)離開(kāi)會(huì)觸發(fā)審查的話題。通過(guò)檢查請(qǐng)求元數(shù)據(jù)，我們能夠把這些賬戶追溯到該實(shí)驗(yàn)室的特定研究人員。

Moonshot AI

規(guī)模：超過(guò) 340 萬(wàn)次對(duì)話交互

該行動(dòng)重點(diǎn)針對(duì)：

• 智能體推理與工具使用

• 編程與數(shù)據(jù)分析

• 計(jì)算機(jī)使用型智能體（computer-use agent）開(kāi)發(fā)

• 計(jì)算機(jī)視覺(jué)

Moonshot（Kimi 模型團(tuán)隊(duì)）使用了數(shù)百個(gè)虛假賬戶，覆蓋多條訪問(wèn)路徑。多樣化的賬戶類型使得這次行動(dòng)更難被識(shí)別為協(xié)調(diào)一致的操作。我們通過(guò)請(qǐng)求元數(shù)據(jù)將該行動(dòng)歸因于 Moonshot，這些元數(shù)據(jù)與 Moonshot 高級(jí)員工的公開(kāi)資料相匹配。在后期階段，Moonshot 采取了更有針對(duì)性的方法，試圖抽取并重建 Claude 的推理軌跡。

MiniMax

規(guī)模：超過(guò) 1300 萬(wàn)次對(duì)話交互

該行動(dòng)重點(diǎn)針對(duì)：

• 智能體編程（agentic coding）

• 工具使用與編排（orchestration）

我們通過(guò)請(qǐng)求元數(shù)據(jù)與基礎(chǔ)設(shè)施指標(biāo)將該行動(dòng)歸因于 MiniMax，并將時(shí)間點(diǎn)與其公開(kāi)產(chǎn)品路線圖進(jìn)行對(duì)照驗(yàn)證。我們?cè)谠撔袆?dòng)仍處于活躍狀態(tài)時(shí)就檢測(cè)到了它——在 MiniMax 發(fā)布其正在訓(xùn)練的模型之前——這讓我們獲得了前所未有的可見(jiàn)性，得以觀察蒸餾攻擊從數(shù)據(jù)生成到模型發(fā)布的完整生命周期。當(dāng)我們?cè)?MiniMax 的活躍行動(dòng)期間發(fā)布了一款新模型時(shí)，他們?cè)?24 小時(shí)內(nèi)調(diào)整策略，將近一半的流量重定向，以捕獲我們最新系統(tǒng)的能力。

蒸餾者如何獲取前沿模型的訪問(wèn)權(quán)限

出于國(guó)家安全原因，Anthropic 目前不向中國(guó)境內(nèi)提供 Claude 的商業(yè)訪問(wèn)，也不向這些公司的境外子公司提供商業(yè)訪問(wèn)。

為了繞開(kāi)限制，這些實(shí)驗(yàn)室使用商業(yè)代理服務(wù)。這些服務(wù)以規(guī)模化方式轉(zhuǎn)售 Claude 以及其他前沿 AI 模型的訪問(wèn)權(quán)限。它們運(yùn)行一種我們稱為“九頭蛇集群（hydra cluster）”的架構(gòu)：由大量虛假賬戶構(gòu)成的龐大網(wǎng)絡(luò)，將流量分散到我們的 API 以及第三方云平臺(tái)。由于網(wǎng)絡(luò)覆蓋面極廣，因此不存在單點(diǎn)失效。當(dāng)一個(gè)賬戶被封禁，另一個(gè)賬戶會(huì)立刻補(bǔ)上。在一個(gè)案例中，單個(gè)代理網(wǎng)絡(luò)同時(shí)管理了超過(guò) 20,000 個(gè)虛假賬戶，并將蒸餾流量與無(wú)關(guān)的客戶請(qǐng)求混雜在一起，以增加檢測(cè)難度。

一旦獲得訪問(wèn)權(quán)限，這些實(shí)驗(yàn)室就會(huì)生成大量精心設(shè)計(jì)的提示詞，旨在從模型中抽取特定能力。其目標(biāo)要么是收集高質(zhì)量回答，用于直接訓(xùn)練模型；要么是生成數(shù)以萬(wàn)計(jì)的獨(dú)特任務(wù)，用于運(yùn)行強(qiáng)化學(xué)習(xí)。區(qū)分蒸餾攻擊與正常使用的關(guān)鍵在于模式。像下面這樣的提示詞（大致近似我們觀察到在規(guī)模化、重復(fù)性使用的提示詞）單獨(dú)看起來(lái)可能并不顯眼：

“你是一位兼具統(tǒng)計(jì)嚴(yán)謹(jǐn)性與深厚行業(yè)知識(shí)的資深數(shù)據(jù)分析專家。你的目標(biāo)是提供數(shù)據(jù)驅(qū)動(dòng)的洞見(jiàn)，而不是摘要或可視化；這些洞見(jiàn)必須基于真實(shí)數(shù)據(jù)，并以完整且透明的推理過(guò)程加以支撐。”

但當(dāng)這種提示詞的變體在數(shù)百個(gè)協(xié)同賬戶中以數(shù)萬(wàn)次規(guī)模反復(fù)出現(xiàn)，并且都瞄準(zhǔn)同一種狹窄能力時(shí)，這種模式就非常明顯了：集中在少數(shù)能力領(lǐng)域的海量請(qǐng)求、高度重復(fù)的結(jié)構(gòu)、以及與訓(xùn)練 AI 模型最有價(jià)值內(nèi)容高度對(duì)應(yīng)的提示詞，正是蒸餾攻擊的典型特征。

但是不能僅聽(tīng)Anthropic一面之詞，正如行業(yè)內(nèi)的資深人士所提出的：

在公開(kāi)、采用寬松許可協(xié)議的 GitHub 倉(cāng)庫(kù)上訓(xùn)練模型（這些倉(cāng)庫(kù)中包含 Claude 的貢獻(xiàn)內(nèi)容），是否違反服務(wù)條款（TOS）？這是否會(huì)被視為蒸餾？在公開(kāi)互聯(lián)網(wǎng)上分享 Claude 的輸出是否違反 TOS？實(shí)驗(yàn)室是否有義務(wù)對(duì)互聯(lián)網(wǎng)內(nèi)容進(jìn)行過(guò)濾？使用 Claude Code 編寫訓(xùn)練代碼，而這些代碼被用于訓(xùn)練競(jìng)爭(zhēng)模型，是否違反 TOS？那么用于構(gòu)建強(qiáng)化學(xué)習(xí)（RL）環(huán)境中的應(yīng)用模擬器呢？用于 RL 環(huán)境中的用戶模擬器提示詞呢？評(píng)判（judge）提示詞呢？合成任務(wù)（synthetic tasks）呢？是否有任何清晰的指南？

馬斯克也跳出來(lái)了：你Anthropic當(dāng)年不也是侵權(quán)使用了海量的訓(xùn)練數(shù)據(jù)了嗎？不過(guò)，馬斯克自己山寨維基百科，搞了個(gè)Grokipedia，最初也在大量搬弄維基百科的內(nèi)容。現(xiàn)在xAI與OpenAI和Anthropic競(jìng)爭(zhēng)，正處于下風(fēng)。

OpenAI也指責(zé)過(guò)DeepSeek的蒸餾行為。它在發(fā)送給美國(guó)眾議院“中國(guó)問(wèn)題特別委員會(huì)”(House Select Committee on China)的備忘錄中表示，DeepSeek使用了所謂的“蒸餾”(distillation)技術(shù)，這是其“持續(xù)搭便車(free-ride)利用OpenAI和其他美國(guó)前沿實(shí)驗(yàn)室所開(kāi)發(fā)能力”的一部分。早在DeepSeek去年R1模型發(fā)布后不久，OpenAI就開(kāi)始私下對(duì)其做法提出擔(dān)憂，當(dāng)時(shí)它與微軟合作展開(kāi)了一項(xiàng)調(diào)查，以確定DeepSeek是否以未經(jīng)授權(quán)的方式獲取了其數(shù)據(jù)。

既然AI的這兩家領(lǐng)軍企業(yè)都提到了蒸餾問(wèn)題，不僅成為企業(yè)合規(guī)層面的爭(zhēng)議，而且上升為產(chǎn)業(yè)結(jié)構(gòu)、技術(shù)開(kāi)放邊界與國(guó)際競(jìng)爭(zhēng)格局的復(fù)雜問(wèn)題，涉及到蒸餾技術(shù)本身、行業(yè)慣例、Anthropic 所指控行為的性質(zhì)區(qū)分、潛在的違約與違法后果、企業(yè)防御路徑，以及未來(lái)開(kāi)源與閉源競(jìng)爭(zhēng)格局的變化，等等。那么，這里就認(rèn)真說(shuō)一下：

01

蒸餾技術(shù)的原理與行業(yè)慣例

“模型蒸餾”最初是一個(gè)標(biāo)準(zhǔn)的機(jī)器學(xué)習(xí)技術(shù)概念。其經(jīng)典定義來(lái)源于知識(shí)蒸餾（Knowledge Distillation）：通過(guò)一個(gè)大型、性能優(yōu)越的“教師模型”（teacher model）為小模型生成軟標(biāo)簽或中間表示，使“學(xué)生模型”（student model）能夠在較低參數(shù)規(guī)模下實(shí)現(xiàn)近似教師模型的性能。這一技術(shù)自 2015 年以來(lái)已成為深度學(xué)習(xí)壓縮和部署的重要方法，被廣泛用于視覺(jué)、語(yǔ)音與 NLP （自然語(yǔ)言處理）領(lǐng)域。

在大模型時(shí)代，蒸餾的形式出現(xiàn)了演化。傳統(tǒng)蒸餾多基于模型權(quán)重的內(nèi)部訪問(wèn)，而前沿大模型通常不開(kāi)放權(quán)重，僅提供 API 接口。因此，新型蒸餾更多依賴于“黑盒蒸餾”（black-box distillation），即通過(guò)大量調(diào)用 API 獲取輸出結(jié)果，再以此訓(xùn)練學(xué)生模型。在技術(shù)上，這種方法并不涉及對(duì)模型參數(shù)的逆向工程，而是基于“可合法獲取的輸出”進(jìn)行再訓(xùn)練。

在行業(yè)實(shí)踐中，蒸餾行為本身并非異常。事實(shí)上，許多商業(yè)公司內(nèi)部都會(huì)使用高性能模型為低成本模型生成數(shù)據(jù)，用于內(nèi)部?jī)?yōu)化或邊緣部署。這種行為在企業(yè)內(nèi)部通常被視為效率提升與成本控制的一部分。然而，蒸餾的合法性邊界在于兩個(gè)關(guān)鍵因素：是否違反合同條款，以及是否存在規(guī)避訪問(wèn)限制的行為。

當(dāng)蒸餾用于優(yōu)化自家模型或構(gòu)建專用系統(tǒng)（例如分類器、信息抽取工具）時(shí)，在多數(shù)服務(wù)條款框架下通常被視為合理用途。但當(dāng)蒸餾目標(biāo)是訓(xùn)練一個(gè)直接與“教師模型”競(jìng)爭(zhēng)的通用生成模型時(shí)，情況則明顯不同。尤其是當(dāng)蒸餾規(guī)模化、結(jié)構(gòu)化、并針對(duì)教師模型差異化能力（如鏈?zhǔn)酵评怼⒐ぞ哒{(diào)用）時(shí)，其性質(zhì)會(huì)從“效率優(yōu)化”轉(zhuǎn)向“能力抽取”。

02

Anthropic指控行為與蒸餾攻擊的區(qū)分

Anthropic 在公開(kāi)聲明中，將所謂“蒸餾攻擊”定義為一系列特征行為：大規(guī)模、同步化的賬戶操作；高度重復(fù)、結(jié)構(gòu)化的提示模式；針對(duì) Claude 差異化能力的能力抽取；使用代理網(wǎng)絡(luò)規(guī)避訪問(wèn)限制；以及利用模型作為獎(jiǎng)勵(lì)模型或生成鏈?zhǔn)剿季S數(shù)據(jù)。

從技術(shù)層面看，單純的蒸餾并不等同于“攻擊”。區(qū)別在于行為是否呈現(xiàn)出規(guī)避機(jī)制、結(jié)構(gòu)化能力抽取與規(guī)模異常三個(gè)特征。若僅通過(guò)合法API訪問(wèn)進(jìn)行常規(guī)調(diào)用，且無(wú)規(guī)避技術(shù)限制或虛假賬戶行為，通常較難被認(rèn)定為“攻擊”。然而，如果存在通過(guò)代理服務(wù)繞過(guò)地理限制、使用大量虛假賬戶以規(guī)避速率控制、集中抽取特定能力并用于訓(xùn)練通用競(jìng)爭(zhēng)模型的行為，那么這種蒸餾便具有明顯的對(duì)抗性特征。

在Anthropic的敘述框架中，三家實(shí)驗(yàn)室的行為被歸類為“hydra cluster”式訪問(wèn)，即分布式虛假賬戶網(wǎng)絡(luò)。這一指控若屬實(shí)，其性質(zhì)便不僅僅是模型蒸餾，而涉及規(guī)避技術(shù)保護(hù)措施的問(wèn)題。與此同時(shí)，Anthropic 特別強(qiáng)調(diào)鏈?zhǔn)剿季S（chain-of-thought）推理軌跡的抽取。鏈?zhǔn)剿季S通常被視為模型內(nèi)部能力結(jié)構(gòu)的顯性化表達(dá)，其批量抽取用于訓(xùn)練學(xué)生模型，確實(shí)會(huì)顯著提升學(xué)生模型的推理能力。

因此，蒸餾攻擊與普通蒸餾之間的分界線，在于是否存在系統(tǒng)性規(guī)避限制與針對(duì)性能力抽取。若行為僅限于合法調(diào)用 API 并訓(xùn)練非競(jìng)爭(zhēng)模型，則難以被界定為攻擊；若行為具有明顯規(guī)避與競(jìng)爭(zhēng)意圖，則風(fēng)險(xiǎn)顯著上升。

03

違約與違法的潛在后果

在法律層面，首先必須區(qū)分“違約”與“違法”。

違約層面主要涉及服務(wù)條款。Anthropic 的商業(yè)條款明確禁止使用服務(wù)或輸出訓(xùn)練與其競(jìng)爭(zhēng)的模型。如果某實(shí)驗(yàn)室是條款的合同相對(duì)方，并且使用 Claude 輸出作為訓(xùn)練目標(biāo)用于構(gòu)建競(jìng)爭(zhēng)性通用模型，則可能構(gòu)成合同違約。違約的后果通常為民事責(zé)任，包括損害賠償、賬戶終止與禁令救濟(jì)。

然而，違約并不等同于刑事違法。在美國(guó)司法實(shí)踐中，僅僅違反服務(wù)條款通常不足以觸發(fā)《計(jì)算機(jī)欺詐和濫用法》（CFAA）的刑事責(zé)任。CFAA 關(guān)鍵在于是否存在“未經(jīng)授權(quán)訪問(wèn)”或“超越授權(quán)訪問(wèn)”。近年來(lái)美國(guó)最高法院在 Van Buren 案中的裁決收窄了“超越授權(quán)”的解釋范圍。如果訪問(wèn)是通過(guò)合法 API 進(jìn)行，而未突破技術(shù)保護(hù)措施，則刑事責(zé)任成立難度較大。

商業(yè)秘密侵權(quán)是另一種可能路徑。但商業(yè)秘密保護(hù)的前提是信息未被公開(kāi)且采取合理保密措施。API 輸出本身是經(jīng)許可交付的內(nèi)容，因此其作為商業(yè)秘密主張的空間有限。除非能夠證明存在逆向工程、破解技術(shù)保護(hù)措施或非法訪問(wèn)服務(wù)器，否則刑事違法的成立概率相對(duì)較低。

此外，跨境執(zhí)行也是現(xiàn)實(shí)難題。即便在美國(guó)獲得判決，若被告主體位于境外且無(wú)美國(guó)資產(chǎn)，執(zhí)行難度極高。因此，從實(shí)務(wù)角度看，合同違約可能是最現(xiàn)實(shí)的法律路徑，而刑事追責(zé)則面臨較高門檻。

04

受害企業(yè)的防范與糾正策略

面對(duì)蒸餾風(fēng)險(xiǎn)，前沿實(shí)驗(yàn)室可以采取多層次防御策略。

首先是技術(shù)防御。包括更嚴(yán)格的速率限制、異常流量檢測(cè)、賬戶行為模式識(shí)別，以及隱藏鏈?zhǔn)剿季S推理過(guò)程。近年來(lái)部分公司已開(kāi)始將鏈?zhǔn)剿季S僅作為內(nèi)部計(jì)算，不再直接輸出，以降低被蒸餾的風(fēng)險(xiǎn)。另一個(gè)方向是引入水印或輸出指紋，以便識(shí)別被再訓(xùn)練的模型。

其次是合同強(qiáng)化。企業(yè)可以明確限制輸出的訓(xùn)練用途，并通過(guò)更嚴(yán)格的身份驗(yàn)證與地理控制來(lái)限制代理訪問(wèn)。同時(shí)，可在條款中加入更明確的仲裁與執(zhí)行機(jī)制。

再次是商業(yè)策略調(diào)整。例如限制高能力模型的 API 訪問(wèn)，轉(zhuǎn)向私有部署或企業(yè)專用實(shí)例；或通過(guò)硬件綁定與算力控制降低規(guī)模化抽取的可能性。

然而，任何技術(shù)防御都難以徹底阻止蒸餾。API模式本身意味著輸出可觀察，而可觀察即意味著可學(xué)習(xí)。因此防御的本質(zhì)是提高成本，而非實(shí)現(xiàn)絕對(duì)封閉。

05

對(duì)未來(lái)前沿實(shí)驗(yàn)室競(jìng)爭(zhēng)格局的影響

這一爭(zhēng)議將深刻影響開(kāi)源與閉源模型的競(jìng)爭(zhēng)關(guān)系。

首先，蒸餾降低了能力復(fù)制成本。閉源模型即便不開(kāi)放權(quán)重，只要提供 API，其能力便可能被部分復(fù)制。這削弱了純API商業(yè)模式的排他性。

其次，閉源公司可能更加趨向封閉化。包括限制鏈?zhǔn)剿季S輸出、收緊訪問(wèn)權(quán)限、強(qiáng)化出口管制配合。這可能加劇技術(shù)陣營(yíng)分化。

與此同時(shí)，開(kāi)源模型的發(fā)展可能受益于蒸餾所帶來(lái)的能力擴(kuò)散。即便無(wú)法完全復(fù)制前沿能力，學(xué)生模型仍可達(dá)到相當(dāng)性能水平，從而增強(qiáng)開(kāi)源生態(tài)的競(jìng)爭(zhēng)力。

從宏觀角度看，這種博弈將推動(dòng)兩個(gè)方向并行：一方面，前沿實(shí)驗(yàn)室將加強(qiáng)防御與法律手段；另一方面，蒸餾技術(shù)將繼續(xù)作為能力擴(kuò)散機(jī)制存在。未來(lái)競(jìng)爭(zhēng)將更多體現(xiàn)在數(shù)據(jù)規(guī)模、算力效率與工程能力上，而不僅僅是模型參數(shù)。

長(zhǎng)期來(lái)看，蒸餾爭(zhēng)議揭示了一個(gè)更深層問(wèn)題：在API時(shí)代，能力是否可以被視為“可被合法觀察并再利用”的資源。若行業(yè)無(wú)法形成共識(shí)，類似爭(zhēng)議將成為常態(tài)，并可能推動(dòng)更嚴(yán)格的國(guó)際技術(shù)管制與產(chǎn)業(yè)分化。

One More Thing

在AI訓(xùn)練與蒸餾的爭(zhēng)議里，范布倫訴美國(guó)案（Van Buren v. United States，593 US 374 (2021)）經(jīng)常被引用。這是美國(guó)最高法院審理的一起案件。一名美國(guó)警察范布倫有權(quán)限訪問(wèn)警察數(shù)據(jù)庫(kù)，但他為了私人目的（收錢幫別人查信息）使用了數(shù)據(jù)庫(kù)，被控違反 CFAA。檢方的邏輯是：你雖然有訪問(wèn)權(quán)限，但你違反了訪問(wèn)目的限制，因此屬于“超越授權(quán)訪問(wèn)”。

但最高法院6–3推翻了這一判決。理由是“超越授權(quán)訪問(wèn)”只指訪問(wèn)了你本來(lái)不能訪問(wèn)的部分，不包括“你訪問(wèn)了你有權(quán)限訪問(wèn)的內(nèi)容，但出于不當(dāng)目的”。這被稱為“Gates-up-or-down” rule（門開(kāi)還是門關(guān)規(guī)則），即如果系統(tǒng)的“門是開(kāi)的”，你進(jìn)去但動(dòng)機(jī)不純，不算黑客。

如果一個(gè)實(shí)驗(yàn)室用真實(shí)賬號(hào)，正常調(diào)用 API，沒(méi)有破解系統(tǒng)，沒(méi)有繞過(guò)技術(shù)訪問(wèn)控制，那么即便它批量調(diào)用，用來(lái)訓(xùn)練競(jìng)爭(zhēng)模型，出于能力抽取的目的，按照范布倫判例的邏輯，很難構(gòu)成刑事層面的非法訪問(wèn)。換句話說(shuō)，“動(dòng)機(jī)是蒸餾”本身不構(gòu)成黑客行為。這對(duì)平臺(tái)方是一個(gè)約束。

但范布倫判例沒(méi)有保護(hù)規(guī)避技術(shù)限制的行為。范布倫判例的關(guān)鍵前提是：訪問(wèn)發(fā)生在門開(kāi)著的區(qū)域。如果出現(xiàn)偽造身份，批量虛假賬戶，繞過(guò)rate limit，使用代理網(wǎng)絡(luò)隱藏來(lái)源，規(guī)避封禁機(jī)制，那就可能構(gòu)成繞過(guò)技術(shù)訪問(wèn)控制。而這仍然可能落入CFAA的適用范圍。這也是為什么 Anthropic 特別強(qiáng)調(diào)“hydra cluster”結(jié)構(gòu)。因?yàn)樗麄兿胍C明，這不是“使用動(dòng)機(jī)問(wèn)題”，而是“繞過(guò)訪問(wèn)控制問(wèn)題”。