Während die Vereinigten Staaten und China um die Entwicklung künstlicher Intelligenz (KI) konkurrieren, ist das amerikanische Unternehmen Anthropic das jüngste Unternehmen, das Alarm schlägt, dass chinesische KI-Unternehmen die Technologie gestohlen haben, die darüber entscheiden könnte, wer gewinnt.
DeepSeek, Moonshot AI und MiniMax haben heimlich über 16 Millionen Gespräche mit dem KI-Chatbot Claude von Anthropic geführt und dabei mehr als 24.000 gefälschte Konten genutzt, um dessen Informationen zu sammeln und ihre eigenen Konkurrenzmodelle zu trainieren, behauptet das Unternehmen.
OpenAI und Google haben diesen Monat auch vor ähnlichen Anschuldigungen bei chinesischen Firmen gewarnt und damit die Befürchtung geweckt, dass China jahrelange, kostspielige KI-Forschung zunichte macht.
Was ist KI-Destillation?
Model Extraction Attacks (MEA), auch bekannt als „Destillation“, ist eine Technik, bei der jemand mit Zugriff auf ein leistungsstarkes KI-Modell dieses nutzt, um einen günstigeren, schnelleren Konkurrenten zu trainieren.
Die Methode füttert das größere Modell mit Tausenden von Fragen, sammelt seine Antworten und verwendet diese Antworten, um einem neuen Modell beizubringen, auf die gleiche Weise zu denken.
Der Benutzer kann dem größeren Modell Fragen stellen und seine Antworten verwenden, um das kleinere Modell zu trainieren, das die kleinere KI schneller und „zu einem Bruchteil der Kosten“ entwickelt, als wenn der Bedrohungsakteur die ursprüngliche Arbeit selbst erledigt hätte, behauptet Anthropic.
Die Destillation sei eine „legitime“ Praxis, wenn Grenzlabore für KI ihre eigenen Modelle destillieren, um „kleinere, günstigere Versionen für ihre Kunden zu erstellen“, sagte das US-Unternehmen.
Laut Google beantworten kleinere Modelle Anfragen viel schneller und benötigen zum Betrieb weniger Computerleistung oder Energie als das größere Modell.
Unterdessen stellen die mithilfe der Destillation entwickelten Modelle erhebliche Risiken für die nationale Sicherheit dar, da ihnen laut Anthropic „die notwendigen Sicherheitsvorkehrungen fehlen“, um die potenzielle Gefahr dieser Modelle zu begrenzen.
Anthropic erklärte, dass destillierte Modelle nicht über die Sicherheitsvorkehrungen verfügen werden, um staatliche und nichtstaatliche Akteure daran zu hindern, KI in Biowaffen einzusetzen oder Cyberangriffe durchzuführen.
Für normale KI-Verbraucher bestehe bei einem Destillationsangriff kein Risiko, fügte Google hinzu, da die Angriffe „nicht die Vertraulichkeit, Verfügbarkeit oder Integrität von KI-Diensten gefährden“.
Unterdessen teilte OpenAI den US-Gesetzgebern im Februar mit, dass es DeepSeek beim Versuch erwischt habe, seine leistungsstärksten KI-Modelle heimlich zu kopieren – und warnte, dass das chinesische Unternehmen neue Methoden entwickle, um seine Aktivitäten zu verschleiern.
Was bringen Hacker ihren Modellen bei?
Angeblich haben Chinas KI-Unternehmen den Datenverkehr über Proxy-Adressen weitergeleitet, die ein riesiges „Hydra-Netzwerk“ verwalteten, eine große Gruppe gefälschter Konten, die ihre Aktivitäten über Plattformen verteilten, um Zugang zu Anthropic zu erhalten, da es in China verboten ist.
Sobald die Unternehmen dabei waren, generierten sie große Mengen an Eingabeaufforderungen, entweder um qualitativ hochwertige Antworten für das Modelltraining zu sammeln oder um Zehntausende Aufgaben für Reinforcement Learning zu generieren, also wie ein Agent lernt, Entscheidungen anhand von Feedback zu treffen.
Die DeepSeek-Konten, die Claude gehackt haben, forderten das Modell auf, zu artikulieren, wie es eine Antwort auf eine Aufforderung rationalisierte, und es Schritt für Schritt aufzuschreiben, was nach Angaben des Unternehmens „in großem Maßstab Daten zum Gedankenkettentraining generierte“.
Claude wurde von den DeepSeek-Konten auch verwendet, um „zensursichere Alternativen zu politisch sensiblen Anfragen zu generieren“, wie etwa Fragen zu Gegnern der aktuellen Kommunistischen Partei, behauptet Anthropic.
Das US-Unternehmen vermutete, dass diese Fragen die Modelle von DeepSeek trainierten, „Gespräche von zensierten Themen wegzulenken“, was eine aktuelle Studie stützen könnte, die ergab, dass chinesische KI-Modelle wahrscheinlich dieselben Themen wie ihre Medien zensieren.
MiniMax AI und Moonshoot AI hatten größere Destillationskampagnen als DeepSeek, aber Anthropic bot keine Beispiele für die Arten von Informationen, die diese beiden Unternehmen in ihren Eingabeaufforderungen sammelten.
Google gab an, dass sein KI-Chatbot Gemini regelmäßig für Codierungs- und Skriptaufgaben oder das Sammeln von Informationen wie vertraulichen Kontoanmeldeinformationen und E-Mail-Adressen missbraucht wird.
Anthropic gibt an, Erkennungsmaßnahmen entwickelt zu haben, um diese Kampagnen zu erkennen, sobald sie stattfinden, weist jedoch darauf hin, dass kein KI-Unternehmen das Problem allein lösen kann.
