Anthropic accuse Alibaba d'avoir extrait les capacités de Claude à l'échelle industrielle
La lettre, adressée aux sénateurs Tim Scott et Elizabeth Warren — président et membre minoritaire de la commission bancaire du Sénat — décrit l'opération comme la plus grande attaque par distillation connue à ce jour sur les systèmes d'Anthropic. Elle a été transmise le 10 juin. Elle est devenue publique le 24 juin.
La campagne a été conduite entre le 22 avril et le 5 juin 2026, générant plus de 28,8 millions d'échanges avec Claude via près de 25 000 comptes frauduleux. Claude n'est pas commercialement disponible en Chine. Chaque compte a donc été créé en violation des conditions d'utilisation d'Anthropic dès le départ.
La distillation adversariale n'est pas du vol de code source. Elle consiste à soumettre un modèle avancé à des requêtes ciblées de façon systématique, pour collecter ses réponses, ses patterns de raisonnement et le code généré — et utiliser ces données pour entraîner un modèle concurrent moins coûteux, sans supporter les frais de recherche et d'entraînement de l'original. Le résultat peut être très proche du modèle cible sur les dimensions spécifiquement sollicitées.
Les capacités visées étaient l'ingénierie logicielle et le raisonnement agentique — deux des frontières les plus commercialement valorisées dans le développement de l'IA actuelle.
Février 2026
Anthropic avait déjà rendu publiques des attaques similaires en février 2026, impliquant DeepSeek, Moonshot AI et MiniMax. Les échanges liés à DeepSeek dépassaient 150 000, ceux liés à Moonshot AI plus de 3,4 millions, et ceux liés à MiniMax plus de 13 millions.
L'opération Alibaba dépasse de 75 % le volume combiné des trois campagnes précédentes.
La formulation d'Anthropic — "opérateurs affiliés à Alibaba et Alibaba Qwen" — est délibérément prudente. Elle ne constitue pas une preuve d'implication directe d'Alibaba, ni la démonstration que les modèles Qwen ont effectivement répliqué les capacités de Claude. Alibaba n'a pas répondu aux demandes de commentaires.
Anthropic, OpenAI et Google ont rejoint un effort commun de partage d'informations sur les tentatives de distillation qui violent leurs conditions d'utilisation. C'est la première fois qu'Anthropic nomme un conglomérat technologique chinois de cette taille dans ce contexte.
La lettre arrive dans une séquence politique chargée. Le 12 juin — deux jours après son envoi — le Département du Commerce a imposé des contrôles à l'export sur les modèles Mythos 5 et Fable 5 d'Anthropic, au motif qu'ils pourraient être utilisés par des entités militaires chinoises. Anthropic a désactivé l'accès à ces modèles pour l'ensemble de ses utilisateurs mondiaux. Fable 5 avait été mis en disponibilité publique le 9 juin. Il a été retiré trois jours plus tard.
Même après des réunions entre les équipes techniques d'Anthropic et des responsables de la Maison Blanche, peu de progrès ont été réalisés pour apaiser les tensions et rétablir l'accès aux modèles
Anthropic demande donc au gouvernement américain de l'aider à lutter contre des pratiques d'extraction menées à partir de Chine, pendant que ce même gouvernement restreint l'accès à ses propres modèles pour des raisons de sécurité nationale. L'action d'Alibaba a perdu environ 3 % sur la nouvelle.
Les sénateurs Hagerty et Kim préparent un amendement à un projet de loi de défense pour sanctionner les entreprises étrangères accédant de manière illicite aux sorties de modèles IA américains.
Les modèles d'IA ne sont plus traités comme de simples services logiciels. Ils entrent progressivement dans des cadres de contrôle de sécurité comparables à ceux appliqués aux semi-conducteurs avancés.
TL;DR
28,8 millions d'échanges, 25 000 comptes fantômes, un modèle cible : Anthropic accuse Alibaba d'avoir mené la plus grande opération de distillation adversariale jamais documentée sur Claude.
- La technique ne vole pas le code source — elle réplique les capacités du modèle par accumulation systématique de ses sorties, ciblant ici l'ingénierie logicielle et le raisonnement agentique.
- Anthropic a transmis ses conclusions au Sénat et à la Maison Blanche le 10 juin ; deux jours plus tard, le Département du Commerce imposait des contrôles à l'export sur ses propres modèles Fable 5 et Mythos 5.
- Pour la première fois, Anthropic, OpenAI et Google partagent formellement leurs informations sur les attaques par distillation — signal que la protection des modèles frontier est devenue un enjeu de sécurité collective, pas seulement contractuel.
Questions fréquentes
Qu'est-ce qu'une attaque par distillation et pourquoi est-ce difficile à détecter ?
La distillation consiste à interroger massivement un modèle avancé pour collecter ses sorties et entraîner un modèle concurrent sur ces données. Elle ne laisse aucune trace d'intrusion classique — chaque requête ressemble à un usage légitime, ce qui rend la détection dépendante d'une analyse comportementale à grande échelle sur les métadonnées de comptes.
Quelles implications concrètes pour un DSI qui déploie des LLM via API ?
Si des modèles concurrents sont entraînés par distillation sur des modèles américains frontier, les capacités disponibles hors marché occidental pourraient converger vers celles de Claude ou GPT-4 à moindre coût — et sans les garde-fous de sécurité intégrés. Le différentiel de performance sur lequel reposent certains choix d'architecture peut se réduire plus vite que prévu.
La désactivation de Fable 5 et Mythos 5 par Anthropic crée-t-elle un risque pour les entreprises qui s'y appuyaient ?
Oui, directement. Anthropic a coupé l'accès à ses deux modèles les plus récents pour l'ensemble de ses utilisateurs mondiaux, y compris ses propres employés étrangers, pour se conformer à la directive du Département du Commerce. Toute organisation ayant intégré ces modèles en production doit prévoir un plan de continuité sur des modèles antérieurs ou des alternatives.