アリババがClaudeを社内で全面禁止。背景に、Anthropicがアリババを『2万5000の偽アカウントで能力を蒸留した』と米議会へ告発した係争がある。数値は未検証でアリババは否定。蒸留の手口と米中AIの断層を読み解く。
2つの動きが、2週間の間に相次いだ。ひとつは告発だ。米国のAI企業Anthropicが2026年6月10日、米上院銀行委員会の委員長と筆頭理事に宛てた書簡で、アリババと同社のQwen研究室に関係する運営者が、自社のモデルClaudeから能力を抜き取ろうとしたと訴えた。この書簡の写しをBloombergが実見し、ReutersとCNBCとともに6月24日に報じた。もうひとつは、その反対向きの動きだ。アリババは7月10日を発効日として、Claudeの各系列(Sonnet、Opus、Fable)と、開発支援の相棒であるClaude Codeを社内で全面的に使えなくし、全社員にアンインストールを求めた。代わりに使うのは自社のQoderだという。告発された側が、告発した側の製品を締め出す。立場が上下ひっくり返ったこの応酬を、複数の報道機関が「逆向きの禁止」と呼んだ。
この一件は、単なる2社の喧嘩ではない。半導体の輸出を止めても、モデルの「能力」そのものがAPIの応答として漏れ出すなら、規制は何を守っているのか——そういう問いを正面から突きつける。本稿は、この係争の骨格を確定した事実と一方の主張とに丁寧に分けたうえで、その中心にある「蒸留」という技術の仕組みと、それがなぜ国家安全保障の言葉で語られるに至ったかを解剖する。断っておくべき点がひとつある。告発の核心にある数字は、いずれもまだ独立に確かめられておらず、アリババはこれを否定している。
蒸留とは何か、そして「攻撃」とどう違うか
蒸留、正しくは知識蒸留と呼ぶ技術それ自体は、後ろ暗いものではない。大きくて賢いモデル(教師)に大量の問いを解かせ、その答えを手本にして、小さくて安いモデル(生徒)に同じ振る舞いを覚えさせる。自社の巨大モデルを自社の軽量モデルに写し取るのは、ごくありふれた正規の手法だ。前々回に触れたDeepSeekが、大きな推論モデルの思考の跡で小型モデルを鍛えたのも、この蒸留だった。
問題になるのは、同じ技術の矛先を他社のモデルに向けたときだ。攻撃者はソースコードにも、重みにも、学習データにも一切触れない。触れるのはただ一点、公開されたAPIだけだ。通常の利用者のふりをして、周到に設計した膨大な問いを送り込み、返ってきた答えを片端から集める。集めた「問いと答えの対」を教師信号にして、自前のモデルを微調整すれば、相手の能力が手元に移る。Anthropicの説明を借りれば、攻撃者は「防火壁を破らず、データベースを盗まず、すべて通常のAPIアクセスを通して」これを行った。抜き取られるのは単なる回答だけではない。どう考えたかという推論の跡、道具をどう使ったかという操作の軌跡、生成したコードそのものが、価値の高い教師データになる。技術としては正規の蒸留と寸分違わない。分けるのは、その矛先が自社か他社か、そして相手の利用規約が何を禁じているか、という一点だけだ。
なぜ2万5000ものアカウントが要るのか
Anthropicが書簡で示した数字は具体的だ。およそ2万5000の偽アカウントを使い、2026年4月22日から6月5日までのおよそ44日間に、Claudeと2880万回を超えるやり取りを行った、というものだ。標的は、ソフトウェア工学や長い手順を要するエージェント的な作業といった、Claudeの中でも最も商業価値が高く、最も作るのが難しい能力に絞られていた。ここで一つの疑問が浮かぶ。なぜ1つや2つのアカウントではなく、2万5000もの偽アカウントが要るのか。
理由は3つある。第1に、レート制限をかいくぐるためだ。一つのアカウントには一定時間あたりのリクエスト数に上限がある。2880万回を短期間に叩き込むには、負荷を2万5000の口に分けて並列に流すしかない。第2に、規約違反を目立たなくするためだ。多くのAI企業は「自社の出力で競合モデルを訓練すること」を利用規約で明確に禁じている。一つのアカウントから体系的に網羅するような問いを送れば、異様なふるまいとして検知され凍結される。多数の口に薄く分ければ、一つひとつは熱心な利用者にしか見えない。第3に、凍結への耐性だ。いくつかの口が止められても、大量の予備があれば収集を続けられる。2万5000で割ると、一口あたりの対話は平均およそ1150回になる。一人のヘビーユーザーの中に紛れうる水準に、あえて薄めてある。分散そのものが、見つからないための設計だった。
能力は移り、安全装置は移らない
この事件が知的財産の侵害という枠を超えて国家安全保障の言葉で語られるのは、蒸留がもたらす結果の非対称性による。生徒モデルは教師の能力を近似できる。だが、教師モデルに施された安全のための学習、使ってよい範囲を定めた方針、危険な要求をはねつける仕組みは、いっしょには移らない。抜き取れるのは何ができるかであって、何をしてはいけないかではない。能力は移り、歯止めは移らない。Anthropicが議会に訴えた懸念の核はここにある。手本にした側が安全装置を作り直さなければ、能力だけを備えて歯止めを欠いたモデルが世に出る。フロンティアのモデルを一から鍛えるには数億ドル規模の投資が要る一方、抜き取りは桁違いに安い。ある実証研究では、APIを叩いて作った代理モデルが元のモデルの性能の9割超を、1000ドル足らずで再現した。模倣が割に合ってしまう、この費用の落差が問題の底にある。
見えにくい攻撃を、どう見つけるか
抜き取りが厄介なのは、一つひとつの問いがまともに見える点だ。百科事典の記述やよくある質問のような自然な文で、単体では悪意の痕跡がない。侵入の跡も残らない。だから、リクエストを一件ずつ採点する方法では捕まえられない。
見つける鍵は、集めて眺めることにある。抜き取りのための問いは、束ねると分布が偏る。体系的に領域を網羅し、特定の能力へ集中的に探りを入れるその癖が、意味を座標に落とし込んだ空間の上で、ふつうの利用とは違う形の塊として現れる。2026年6月に公開された検知手法は、問いの群れを意味ベクトルに変換し、正常なトラフィックの分布とどれだけ隔たっているかを統計量で測る。その報告では、正常なトラフィックの誤検知は0.3%に抑えつつ、純粋な攻撃者は100%、正常に1割混じった攻撃で9割超を捕らえた。ただし裏返せば、攻撃者のトラフィックが薄まるほど検知率は落ちる。5%まで薄めると6割を切る。2万5000への分散が「正常に紛れる」戦術として合理的だった理由が、ここにも見える。もっとも、Anthropicは実際にはAPIトラフィックのパターン分析でこの campaign を特定したと述べており、規模が大きすぎたことが、かえって集約したときの信号を濃くした可能性がある。
透かしという別の防ぎ方もある。出力に統計的な透かしを埋めておけば、その出力で学習した生徒に透かしが伝わり、自社から抜き取られた証拠になりうる。ただし、この防ぎ方は万能ではない。2025年の学会発表は、蒸留の前に文を言い換えるだけで透かしが消せること、蒸留の後にも中和できることを示した。Anthropicが本件で透かしの証拠を用いたかどうかは、公開された情報では分からない。
「私はQwenです」は証拠にならない
この係争を語るとき、しばしば持ち出される現象がある。2026年5月末にClaude Opus 4.8が公開された直後、一部の利用者が「あなたはどのモデルか」と尋ねると、Claudeが自らを「Qwen」だと答えることがあった。これをもって「ClaudeがQwenを蒸留した証拠だ」とする声が出た。
だが、これは技術的に見て、どちら向きの証拠にもならない。モデルが「私はQwenです」という文を生成したことは、それがQwenであることを意味しない。ただ「私はQwenです」という文字列を吐いただけだ。原因はおおむね学習データの汚染にある。Qwenの自己紹介文や説明書きが中国語のネット上に大量にあり、中国語の問いに対してそのパターンが再生産される。実際、こうした自称はQwenだったりDeepSeekだったりClaudeだったりと安定しない。これは意図した蒸留ではなく、汚れた学習分布に当たった兆候だ。第三者の仲介業者が、安いモデルへ問いをこっそり転送している場合もある。重みを解析した証拠も、内部分布を突き合わせた証拠もなく、この自称からは何も確定できない。Anthropicの告発が拠って立つのは、この種の自称ではなく、2万5000のアカウントと2880万回という、トラフィックのパターン分析にもとづく別種の証拠だ。両者を混同しないことが、この件を正しく読む第一歩になる。
前例と、各社の自衛
他社のモデルを抜き取ったという告発は、これが初めてではない。2025年1月、DeepSeekが高性能な推論モデルを公開した直後、OpenAIとMicrosoftは、それが自社の出力を無断で使って学習された疑いを表明した。OpenAIは英紙に「蒸留の証拠を一部見た」と述べたが、これも司法で確定した事実ではなく、DeepSeekは否定している。防ぐ側の動きも広がった。Metaは蒸留のリスクを理由に、自社の従業員がClaude Codeや競合の開発支援ツールを使うことを制限したと報じられた。今回のアリババの社内禁止も、告発への報復という文脈だけでなく、この自衛の流れの中にも置ける。
規約の文面も、この対立を先取りしていた。Anthropicの商用利用規約は、競合する製品やサービスを作ること、その中には競合AIモデルの学習が含まれる、と明示して禁じている。OpenAIも、自社の出力を使って「模倣フロンティアモデル」を開発することを禁じている。API出力を訓練の材料に転用して競合を作る行為は、すでに契約の言葉で封じられていた。今回の争いは、その禁止を実際にどう立証し、どう執行するのかという、次の段階の問題だといえる。
出力は誰のものか、法が追いつかない
抜き取りを法で裁こうとすると、3つの壁にぶつかる。まず著作権だ。米国の著作権は原則として人間の著作者性を求めるため、AIモデルの出力そのものには権利を主張しにくい。次に営業秘密だ。出力そのものは秘密ではなく、抜き取った出力と、その結果生まれた能力との因果を技術的に立証するのが極めて難しい。
そこで有力になっているのが、意外にも輸出管理という別の道だ。米国の輸出管理の枠組みは、管理対象の設計や開発に必要な「技術情報」を、それを書いたのが人間かAIかを問わず対象にする。ミサイル誘導系の詳細図は、漏れた文書に載っていようとAIの応答窓に出てこようと、拡散のリスクは同じだ、という理屈になる。ただしこの道にも障害がある。AIは公開情報を合成して未発表の新しい情報を生みうるため、公知だから除外という例外が効きにくい。受け手の国籍や所在をその場で確かめられず、利用者は詐称できる。そもそも誰が「輸出者」なのかの特定も難しい。法はまだ、この新しい漏れ方に追いついていない。
政策の号砲と、締めるほど広がる逆説
政策の側は、すでに動き出していた。ホワイトハウスの科学技術政策局は2026年4月23日、米国のAIモデルへの敵対的な蒸留に関する覚書を出し、主に中国を拠点とする主体が組織的に蒸留を仕掛けているとの情報を持つと明かした。Anthropicは、アリババの campaign がこの覚書の直後、政権の警告を無視して行われたと主張している。議会でも、加害者を特定して公表し、取引先の一覧から締め出す法案の動きが進む。米国のAIモデルの窃取を抑止する法案は、4月に下院の委員会を43対0で通過した。報道が出た当日、アリババの米国預託証券は3%超下げた。
だが、この分野には皮肉な逆説がある。米国が自国の最先端モデルを閉じ、蒸留を警戒して囲い込むほど、コストの安い中国のオープンな公開モデルの採用が世界で広がる。ありふれたコーディングの作業なら、中国のモデルは1ドル足らずで済み、米国のフロンティアモデルの10分の1から20分の1の費用で動く。閉じる戦略と抜き取りへの警戒が、かえって開いた重みの優位を後押しするという、門番の逆説がそこにある。半導体の輸出を止めて計算資源を絞っても、モデルの出力すなわち能力そのものがAPIから漏れるなら、規制の実効はどこまで保てるのか。チップは止められても、能力は止められるのか。デカップリングの最前線は、重みやチップから、出力や能力へと移りつつある。今回の一件は、その移動を告げる号砲だった。
Claude Code禁止の理由をめぐる、もうひとつの係争
アリババが掲げた社内禁止の表向きの理由は、報復とは別の顔をしている。争点になったのは、2026年4月に公開されたClaude Codeのある版が、利用者の端末の時間帯や、プロキシ、独自のAPIアドレスを読み取り、中国のクラウド事業者やAI企業に関わる語(アリババ、バイドゥ、ByteDance、Moonshotなど)を照合する仕組みを埋め込んでいた、というものだ。アリババはこれを利用者を選別する偵察のような機構ととらえ、セキュリティ上の危険として禁止の根拠にした。
これにAnthropic側は反論している。開発チームの担当者は、これは2026年3月に始めた実験的な措置で、アカウントの不正な転売とモデルの蒸留を防ぐのが目的であり、次の版で削除すると説明した。中国側の報道には、すでに完全に取り消されたとするものもある。ここでも、同じ機能を一方は「バックドア」と呼び、他方は「不正対策の実験」と呼ぶ。告発の数字と同じく、この機能の性格づけもまた、両者の主張が真っ向からぶつかる係争点として扱うのが正しい。
確定した事実と、係争中の主張
読者のために、何が確かめられていて、何がまだ一方の主張にとどまるのかを、最後に切り分けておく。複数の信頼できる報道機関が確認した確定的な事実は次のものだ。Anthropicが2026年6月10日、米上院銀行委員会に宛てた書簡でアリババとQwen研究室に関係する運営者による蒸留を告発したこと。その書簡をBloombergが実見し、Reuters、CNBCとともに6月24日に報じたこと。アリババがClaude各系列とClaude Codeを社内で禁止し、7月10日を発効日として全社員にアンインストールを求め、代替に自社のQoderを据えたこと。ホワイトハウスの覚書が4月に出ていたこと、議会で関連法案が動いていること。
一方、帰属をつけて慎重に扱うべき主張は次のものだ。2万5000という偽アカウントの数、2880万回という対話の回数、4月22日から6月5日という期間。これらはAnthropicが書簡で述べた値であり、独立には検証されていない。終了日を6月6日とする報道もある。「史上最大の蒸留攻撃」という表現は、Anthropicの自己評価だ。アリババが実際に蒸留を行ったのかどうかは決着しておらず、アリババは「他社の専有モデルの出力で自社を学習させていない」と否定している。Claude Codeの機能が「バックドア」なのか「不正対策」なのかも、両者の主張が対立したままだ。告発の主体をAnthropicは「アリババとQwen研究室に関係する運営者」と表現しており、アリババ本体の直接の指揮が確定したわけではない。
本稿の作成には、この件の当事者であるAnthropicの製品Claude Codeを用いている。利益相反を避けるため、Anthropicの主張は一方の主張として扱い、アリババの反論と並べて記した。技術の解説は、特定の企業の立場ではなく、公開された技術文献と複数の報道の突き合わせにもとづく。
出典
事件の骨格(告発・書簡・禁止令)は Bloomberg・Reuters・CNBC の6月24日報道、および Caixin Global・SCMP(いずれも7月3日)に依った。告発の数値と表現は CNBC・Forbes。蒸留と抽出の技術、検知の統計手法は arXiv:2606.05725 と、透かしの限界は arXiv:2502.11598(ACL 2025)。出力の輸出管理は Just Security、政策と法案は IAPS。OpenAIとDeepSeekの前例は Forbes。「私はQwen」現象の技術的説明は kilo.ai。中国側の一次報道は 智东西。数値・加害性の認定はいずれも係争中であり、断定を避けて記した。
💬 この記事へのコメント 0
まだコメントはありません
最初のコメントを投稿してみましょう!⚠️ エラーが発生しました