Claudeの回答2,880万件が、Qwenの「教材」にされていた — Anthropic、Alibabaを米上院に告発

25,000の偽アカウント。2,880万回の対話。45日間。

AnthropicがAlibaba傘下のQwen研究所を相手取り、「史上最大のモデル蒸留攻撃」を米上院銀行委員会に告発した。6月24日付の書簡が公開されるや、CNBC、日経アジア、TechTimesなど主要メディアが一斉に報じた。

AIモデルの知識を別のモデルに「移植」する蒸留攻撃。その規模と手口、そしてAI業界にとっての意味を整理する。

何が起きたのか

Anthropicの書簡によると、事件は2026年4月22日から6月5日にかけて発生した。

Alibaba傘下のQwen AI研究所に関連するオペレーターが、約25,000の不正アカウントを作成し、ClaudeのAPIを通じて2,880万回以上のやり取りを行った。ターゲットとなったのはClaudeのソフトウェアエンジニアリング能力とエージェント推論能力——いまのAI市場で最も商業価値の高い領域だ。

書簡はTim Scott上院議員（共和党）とElizabeth Warren上院議員（民主党）宛てに送付された。超党派の宛先を選んだこと自体が、Anthropicがこの問題を政治的に動かす意図を持っていることを示している。

「蒸留攻撃」とは何か

AIに詳しくない人向けに説明すると、蒸留攻撃とは高性能なAIモデルに大量の質問を投げかけ、その回答を別のモデルの学習データとして使う手法だ。

ソースコードやモデルの重みを直接盗むわけではない。あくまでAPIを通じた「質問と回答」のペアを大量に収集し、それで自前のモデルを訓練する。比喩でいえば、優秀な家庭教師に何百万もの問題を解かせて、その解答集で別の生徒を教育するようなものだ。

開発に数十億ドルかかるモデルの知識を、API利用料だけで「吸い取れる」点が問題視されている。

Anthropicにとっては初めてではない

実は、Anthropicが蒸留攻撃を公表するのは今回が初めてではない。

2026年2月にはDeepSeek、Moonshot AI（Kimiの開発元）、MiniMaxによる蒸留攻撃を報告している。だが今回のAlibaba案件は、規模と攻撃元企業の存在感の両面で従来を大きく上回る。Alibabaは時価総額約2,500億ドルの巨大テック企業であり、スタートアップとは訳が違う。

Anthropicは書簡の中で、Alibabaの行為が「トランプ政権の警告を無視して」行われたと指摘しており、単なる利用規約違反の問題ではなく、国家安全保障の文脈に引き上げようとしている。

米議会の動き

告発を受けて、Bill Hagerty上院議員（共和党・テネシー州）とAndy Kim上院議員（民主党・ニュージャージー州）が防衛法案に制裁条項を追加する動きを見せている。蒸留攻撃を行った企業に対する制裁を法制化する可能性があるということだ。

AI知財の保護が、貿易摩擦の新たな戦線になりつつある。

Alibabaの反応

Alibaba側は「独自モデルの出力で学習を行っていない」と否定している。ただし、Anthropicが提示した25,000アカウント・2,880万回という具体的な数字に対する技術的な反論は、現時点では出ていない。

なお、Alibabaは同時期に米国防総省の「中国軍関連企業リスト」からの除外を求める訴訟も起こしており、米中テック対立の複数の前線で同時に戦っている状況だ。

正直なところ、何が変わるのか

率直に言えば、蒸留攻撃そのものを完全に防ぐのは技術的に極めて難しい。APIを公開している以上、「たくさん質問してくる利用者」と「蒸留を目的とした攻撃者」を完璧に区別することはできない。

だからこそAnthropicは技術的な対策ではなく、法的・政治的な枠組みで対抗しようとしているのだろう。

この事件が示しているのは、AIモデルの「知識」が石油のような戦略資源として扱われ始めたということだ。モデルの重みやソースコードだけでなく、APIを通じて得られる回答そのものが知財として保護されるべきかどうか——この議論がいよいよ本格化する。

日本のAI開発者や企業にとっても、海外モデルのAPIを使う際の利用規約とリスクを改めて確認するきっかけになるはずだ。蒸留に限らず、API経由で得たデータの扱いには今後さらに厳しい目が向けられることになる。