Distillazione AI e ipocrisia algoritmica: il caso Anthropic tra sicurezza, proprietà intellettuale e guerra fredda tecnologica
La distillazione AI è diventata la nuova linea del fronte nella guerra fredda algoritmica tra Stati Uniti e Cina. Non si combatte con carri armati, ma con query API. Non si usano missili, ma prompt. Quando Anthropic accusa tre laboratori cinesi di aver estratto milioni di risposte da Claude per addestrare modelli concorrenti, il tema non è solo tecnico. È geopolitico, industriale, quasi ideologico.
Anthropic sostiene che DeepSeek, Moonshot AI e MiniMax abbiano orchestrato campagne su scala industriale, generando oltre 16 milioni di interazioni attraverso circa 24.000 account fraudolenti. L’obiettivo sarebbe stato quello di praticare model distillation, ovvero addestrare modelli più piccoli utilizzando le risposte di un modello più grande, in questo caso Claude.
La keyword centrale qui è distillazione AI. Le correlate sono model extraction e proprietà intellettuale nell’intelligenza artificiale. Tre concetti che oggi valgono più di un brevetto farmaceutico.
La distillazione, in senso tecnico, non è un crimine. È una tecnica legittima. Un modello “studente” apprende da un modello “insegnante”, trasferendo capacità e conoscenza in forma compressa. Tutti i grandi laboratori la utilizzano per creare versioni più leggere, meno costose, più scalabili. Lo fanno OpenAI, Google, Meta. Lo fa la stessa Anthropic.
Il punto critico emerge quando la distillazione si trasforma in model extraction attack. In ambito cybersecurity, significa usare accessi apparentemente legittimi per interrogare sistematicamente un sistema e ricostruirne il comportamento interno. Non si ruba il codice sorgente. Si replica la funzione. È una forma sofisticata di reverse engineering probabilistico.
Qui la narrazione si biforca.
Da un lato, Anthropic afferma che questi laboratori stranieri potrebbero rimuovere i meccanismi di sicurezza incorporati nei modelli americani, riutilizzando le capacità per scopi militari, di intelligence o di sorveglianza. In un contesto di export control sempre più stringenti verso la Cina, l’argomento è potente. Se non puoi esportare i chip, puoi comunque esportare indirettamente il “know how” attraverso le risposte del modello. Ogni prompt diventa una micro-esportazione cognitiva.
Dall’altro lato, la reazione pubblica è stata meno indulgente. Sui social molti hanno evidenziato una tensione evidente: i grandi modelli, incluso Claude, sono stati addestrati su enormi quantità di dati provenienti dall’open internet. Testi, articoli, forum, repository. La linea tra fair use e appropriazione massiva è ancora oggetto di contenzioso globale.
Il cortocircuito è evidente quando si osserva che nel giugno 2025 Reddit ha citato in giudizio Anthropic, accusandola di aver effettuato scraping non autorizzato di oltre 100.000 post e commenti per il fine-tuning di Claude. Una causa che si aggiunge a quelle contro OpenAI, Meta e Google.
La domanda che aleggia è scomoda. Quando l’apprendimento da dati pubblici è innovazione e quando diventa violazione? Se un modello può essere addestrato leggendo milioni di pagine web, perché un altro modello non dovrebbe poter “leggere” milioni di risposte generate da un LLM?
La risposta, ovviamente, sta nei termini di servizio. E nel potere contrattuale.
Anthropic parla di 24.000 account fraudolenti. Qui il problema non è filosofico ma operativo. Se l’accesso è stato ottenuto aggirando controlli, mascherando identità, automatizzando richieste su scala industriale, allora si entra in una zona grigia che sfuma verso la frode informatica. Non è più semplice apprendimento. È sfruttamento sistematico di un’infrastruttura proprietaria.
Il punto strategico è un altro. La distillazione AI rappresenta una forma di arbitraggio tecnologico. I costi di addestramento dei modelli frontier sono astronomici. GPU di ultima generazione, data center energivori, pipeline di ottimizzazione complesse. Se un laboratorio può ottenere una parte significativa delle capacità di un modello avanzato attraverso interrogazioni mirate, riduce drasticamente il gap di investimento.
In termini economici, è compressione del vantaggio competitivo.
Non sorprende che Anthropic invochi una risposta coordinata tra industria, cloud provider e policymaker. Il messaggio è chiaro: la finestra per agire è stretta. Se la distillazione su larga scala diventa la norma, il concetto stesso di modello proprietario rischia di erodersi.
Qui entra in gioco la dimensione geopolitica. Gli Stati Uniti hanno imposto restrizioni sull’export di chip avanzati verso la Cina. L’obiettivo è rallentare lo sviluppo di modelli AI di frontiera. Ma se la conoscenza può essere “distillata” via API, il controllo hardware perde parte della sua efficacia. La sovranità algoritmica non si difende solo con i semiconduttori.
Si difende con policy di accesso, sistemi di rate limiting, verifica identitaria robusta, monitoraggio comportamentale avanzato. In altre parole, con cybersecurity di nuova generazione applicata ai modelli linguistici.
Da CEO tecnologico, la questione è quasi ironica. L’AI è nata come disciplina di ricerca aperta. Paper pubblicati su arXiv, benchmark condivisi, competizioni pubbliche. Oggi i modelli più avanzati sono scatole nere protette da API e contratti legali. La retorica dell’open research convive con barriere sempre più alte.
Il dibattito sulla proprietà intellettuale nell’intelligenza artificiale non è binario. Non si tratta di stabilire chi ha ragione in astratto. Si tratta di ridefinire il concetto di valore. Nel mondo dei LLM, il valore non risiede solo nei pesi del modello, ma nel comportamento emergente. Se riesci a replicare il comportamento con sufficiente fedeltà, hai di fatto ricreato una parte del valore.
La distillazione AI diventa quindi una forma di copia funzionale, non strutturale. Non copi il codice. Copi l’intelligenza percepita.
Questo spiega la crescente sofisticazione delle contromisure. Anthropic ha annunciato l’espansione dei sistemi di rilevamento, il rafforzamento della verifica degli account, la condivisione di intelligence con altri laboratori e autorità. È la nascita di un ecosistema di difesa collettiva tra aziende che, fino a ieri, si consideravano principalmente concorrenti.
Paradossale ma logico. La minaccia esterna consolida il cartello interno.
Il rischio evocato da Anthropic riguarda la rimozione dei safeguard. Se un laboratorio estero distilla un modello americano e ne elimina i filtri di sicurezza, potrebbe integrare le capacità in sistemi militari o di sorveglianza. La narrativa è potente perché tocca corde sensibili: sicurezza nazionale, controllo tecnologico, dual use.
Tuttavia, un’analisi fredda suggerisce cautela. La distillazione non è magia. Non garantisce una replica perfetta delle capacità. I modelli frontier incorporano non solo conoscenza ma anche architetture complesse, dati proprietari, ottimizzazioni iterative. L’output è una finestra, non l’intero edificio.
Resta il fatto che 16 milioni di interazioni non sono un esperimento accademico. Sono un’operazione industriale.
Per i policymaker europei, spesso spettatori in questa partita tra Washington e Pechino, il caso offre una lezione chiara. La sovranità digitale non si costruisce solo con regolamenti come l’AI Act. Si costruisce con infrastrutture, modelli proprietari, capacità di difesa tecnica. Senza massa critica, si resta campo di battaglia, non attori.
Il mercato, intanto, osserva. Gli investitori sanno che il vantaggio competitivo dei laboratori AI è fragile. Se la distillazione su larga scala diventa tecnicamente ed economicamente sostenibile, le barriere all’ingresso si abbassano. I margini si comprimono. Le valutazioni si ridimensionano.
Non è un caso che le aziende parlino sempre più di ecosistemi chiusi, partnership strategiche con hyperscaler, integrazione verticale tra chip, cloud e modello. L’AI non è più solo software. È stack completo.
La vicenda Anthropic contro DeepSeek, Moonshot e MiniMax non è un semplice contenzioso contrattuale. È un sintomo. Indica che l’intelligenza artificiale è entrata in una fase di maturità conflittuale. Dove ogni token generato può diventare materia prima per un concorrente. Dove la linea tra apprendimento e appropriazione è sottile, mobile, litigiosa.
Qualcuno dirà che è ipocrisia. Qualcun altro parlerà di difesa legittima della proprietà intellettuale. Entrambe le letture contengono una quota di verità.
Nel frattempo, la distillazione AI resta una tecnica potente, ambivalente, inevitabile. Come tutte le tecnologie realmente trasformative, non si lascia ingabbiare facilmente in categorie morali semplici. Il mercato premierà chi saprà proteggere il proprio vantaggio senza soffocare l’innovazione. La politica interverrà, spesso in ritardo. Gli utenti continueranno a interrogare modelli, ignari delle guerre silenziose che si combattono dietro ogni risposta.
E ogni risposta, in fondo, è già una forma di trasferimento di conoscenza. La domanda è solo chi la sta distillando.
Blog post: https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks