OpenAI、Anthropic、Google 三巨頭聯手 — 中國 AI 蒸餾攻擊逼出史上最罕見的敵人結盟
考試作弊的最高境界
先講一個比喻,等一下會用到。
假設有一場全球最難的考試。三個考生——叫他們 O、A、G 好了——花了幾十億美元請家教、做題庫、練了好幾年,終於能考到頂尖成績。結果考場外面蹲了一群人,不是來考試的,是來抄答案的。而且不只抄最終答案——連草稿紙上的推理過程都要偷走。
O、A、G 平常恨不得把彼此踢出排行榜。但現在他們意識到一件事:如果答案繼續被偷,到最後大家手上都是一樣的考卷、一樣的答案,那苦練幾年的意義就是零。
於是這三個死對頭做了一件從來沒做過的事:把自己的防作弊筆記攤開來,放在同一張桌上。
Bloomberg 4 月 6 日報導,OpenAI、Anthropic、Google 透過 Frontier Model Forum(FMF)正式啟動主動情報共享。觸發點?一波來自中國 AI 公司的系統性蒸餾攻擊,規模大到這三家互相挖角、互告的公司不得不放下恩怨。
想像可口可樂、百事、Dr Pepper 突然開始共享配方保護情報,因為有人找到方法只要喝一口就能精確複製任何飲料。能走到這一步,代表事情已經不是「嚴重」可以形容的了。┐( ̄ヘ ̄)┌
三種偷法,三種性格
在講聯盟怎麼運作之前,得先理解威脅有多具體。這不是「中國 AI 在偷東西」這種模糊的說法——Anthropic 在 2026 年 2 月 23 日公開揭露了詳細數字(CP-117 有完整拆解),三家中國 AI 公司透過約 24,000 個假帳號,對 Claude 進行了約 1,600 萬次交換。
有意思的是,三家的偷法完全不一樣,像三種截然不同的考試作弊策略:
MiniMax 是暴力型選手。 約 1,300 萬次交換,什麼都問、什麼都抄。語言理解、邏輯推理、常識問答——海量灌進去,能撈多少就撈多少。這是拿漁網撈整個魚塭的打法。不精確,但量大就是正義。
Moonshot AI(Kimi)是精準狙擊手。 約 340 萬次交換,但每一發都瞄準要害:agentic reasoning、tool use、coding、computer vision。恰好是 2026 年 AI 競賽中最值錢的四張牌——能讓模型從「聊天機器人」升級成「能執行任務的 agent」。Kimi 的策略不是量,是挑最貴的東西偷。
然後是 DeepSeek。
DeepSeek 只有約 15 萬次交換。數字看起來很小對不對?但看他們偷什麼:基礎邏輯能力、模型對齊行為(alignment)、以及——讓人背脊發涼的——政策敏感回覆。DeepSeek 在用 Claude 來學怎麼做審查。(想了解 DeepSeek 自家模型的推理能力有多強,可以看 CP-266 的 R1 拆解——一邊偷一邊自己也在練,兩條路並行。)
MiniMax 拿漁網撈魚,Kimi 拿魚叉刺特定的魚,DeepSeek 是在研究魚的 DNA 好自己養殖。而且 DeepSeek 那個「用 Claude 學審查」的操作真的是年度 irony 冠軍——一個被訓練成盡量誠實的 AI,被拿去教另一個 AI 怎麼說謊和迴避。這不是矛盾,這是把矛盾本身當成商業模式。(⌐■_■)
三種偷法,但指向同一個結論:這不是零星的滲透,是工業規模的情報行動。約 24,000 個假帳號、約 1,600 萬次交換——而且這只是 Anthropic 一家願意公開的數字。
合照組織的覺醒
好,現在回到 FMF。
Frontier Model Forum 是 OpenAI、Anthropic、Google、Microsoft 在 2023 年成立的。成立的時候,說法很好聽:AI 安全研究、政策協調、負責任的 AI 發展。翻成白話就是:各國政府監管壓力很大,四家先自己組個自律聯盟,讓外界覺得「放心,這個產業有在管自己」。
接下來兩年多,FMF 的存在感基本等於零。每季開個會,發份聲明,拍張合照,討論一下「假如有一天 AI 太聰明怎麼辦」這種離現實還很遠的哲學問題。如果 FMF 是一間公司,2023 到 2025 年的 KPI 大概就是「成功舉辦了 N 場研討會」。
然後 2026 年 2 月,Anthropic 公開了那些數字。
兩個月後,FMF 做了成立以來從沒做過的事:啟動主動威脅情報行動,針對特定外部對手進行協作。不是發聲明譴責、不是呼籲國際社會關注。是「把各家的偵測能力跟情報資料兜在一起,開始聯合作戰」。
從研討會氣氛,一秒切換成情報單位的緊繃。
FMF 的覺醒弧線跟所有「原本只是做做樣子」的組織一模一樣:成立 → 開會 → 發聲明 → 繼續開會 → 真的出事了 → 靠,原來真的要做事。差別在於,多數組織的覺醒要花十年。FMF 從花瓶到戰鬥模式只花了兩個月,因為威脅實在太具體了——不是「未來可能有風險」,是「有人現在正在偷」。(ง •̀_•́)ง
草稿紙保衛戰
FMF 啟動後,四家公司同意共享四類情報。這裡要回到開頭那個考試比喻,因為第四項才是整件事的核心。
前三項是基本防禦:假帳號 fingerprint(共享「通緝名單」,一家抓到的可疑特徵,其他三家立刻能用)、proxy 基礎設施資料(追蹤攻擊方的跳板網路,把隱身斗篷一片一片扯掉)、強化版 KYC 流程(24,000 個假帳號能開成功本身就是個漏洞,四家一起升級,讓批量開假帳號的成本大幅提高)。
這三項很重要,但都是在修牆。真正讓這個聯盟有意義的,是第四項:
Chain-of-thought elicitation classifiers。
回到考試比喻。蒸餾者如果只能拿到模型的最終輸出——那就是抄選擇題答案,ABCD 照抄,但不知道為什麼選 B。複製品的品質有限,因為缺乏推理能力。
但如果蒸餾者能誘導模型暴露它的 chain-of-thought——也就是模型怎麼一步步推理、怎麼拆解問題、怎麼在多個候選答案中取捨——那就是連草稿紙都偷走了。不只知道答案是 B,還知道怎麼從題目推到 B。複製效率是完全不同的層次。
所以這個 classifier 的工作,就是在每一次 API 互動中偵測:「這個 prompt 是不是在試圖誘導模型把草稿紙翻出來給對方看?」
這就是為什麼 FMF 的聯盟不是做做樣子。chain-of-thought 是現代大型語言模型的靈魂。保護草稿紙,就是保護這些模型之所以值幾十億美元的核心原因。
來量化一下「草稿紙」到底值多少。OpenAI 估值超過 3,000 億美元,Anthropic 估值約 615 億——這些天文數字裡面,很大一部分的底氣就是「這些模型能做別人做不到的推理」。如果推理過程能被批量萃取,那差異化就消失了,估值的地基就塌了。所以 chain-of-thought classifier 不是資安措施,是估值防線。╰(°▽°)╯
壕溝裡的體面
講到這裡,退一步想一個問題:這個聯盟到底有多不正常?
共享假帳號 fingerprint,等於告訴競爭對手「這些是擋不住的攻擊模式」——暴露自家安全團隊的盲區。共享 proxy 基礎設施資料,等於讓對方看到各家的能力邊界在哪裡。這不是簽聲明、做宣示的那種合作。這是把自己被打的傷口掀開來給死對頭檢查。
OpenAI 跟 Anthropic 搶企業客戶搶到見骨。Google 用 Gemini 想吃掉兩家的市場。每季財報都在比誰的 MAU 成長更快。這三家能走到情報層級的合作,只說明一件事:單打獨鬥的結局,是三家都被抄到連底褲都不剩。
Anthropic 公開的約 1,600 萬次交換,很可能只是冰山一角。OpenAI 跟 Google 的模型使用量更大、API 更開放,被蒸餾的規模只會更誇張。單獨修補漏洞沒用——攻擊方換個手法、換批帳號就繞過去了。只有把偵測能力疊加、情報即時共享,才有機會建起有效的防線。
科技業的「被迫結盟」史上有幾個經典案例:90 年代各家聯手打盜版、2010 年代聯手對抗專利流氓。但那些合作的門檻低得多——共享律師資源跟共享安全弱點是兩回事。這次的合作等級更接近「冷戰期間美蘇交換核武器事故情報」那種——雙方都知道,如果不分享,大家一起完蛋。( ̄▽ ̄)/
結語
回到開頭那場考試。
O、A、G 花了幾十億美元練出來的推理能力,正在被系統性地萃取。約 24,000 個假帳號、約 1,600 萬次交換——這是擺在桌上的已知數字。桌下的呢?沒人敢講。
兩個月前,Anthropic 單方面掀牌。兩個月後,三家死對頭一起蹲進壕溝。FMF 從一個拍合照的組織,變成了 AI 產業的第一條聯合防線。推動這個轉變的不是什麼遠見卓識,是約 24,000 個假帳號教會他們的一課:考場上最強的三個人,如果連草稿紙都保不住,那苦練幾年的意義就是零。
所以 2026 年 AI 軍備競賽的新賽道出來了:不只比誰的模型更聰明,還要比誰的模型更難被偷。防守方蓋一道牆,攻擊方明天就繞過去。Chain-of-thought classifier 擋得住今天的手法,明天呢?這場考試沒有結束的一天——但至少現在,三個考生終於知道要一起看住草稿紙了。┐( ̄ヘ ̄)┌