Ein trojanischer Wal stiehlt aus dem Rucksack einer Person

Versuchter Angriff von DeepSeek auf Anthropic

Chinesische KI-Entwickler kopieren systematisch das Wissen von Claude. Anthropic zieht jetzt die Notbremse.

Andreas Becker23.02.26 Nano Banana

Kurzfassung Quellen

Anthropic hat einen massiven Datendiebstahl durch chinesische KI-Unternehmen wie DeepSeek und MiniMax aufgedeckt.
Über 24.000 gefälschte Accounts wurden genutzt, um durch automatisierte API-Anfragen hochwertige Trainingsdaten aus den Claude-Modellen zu extrahieren.
Diese sogenannten Distillation-Angriffe dienen dazu, eigene Modelle ressourcenschonend zu verbessern und US-Exportbeschränkungen für Hardware zu umgehen.
Als Reaktion implementiert Anthropic nun strengere Echtzeit-Detektionssysteme, um API-Zugriffe besser zu überwachen und verdächtige Muster sofort zu blockieren.

Anthropic hat koordinierte und groß angelegte Datenabflüsse auf seine KI-Infrastruktur abgewehrt. Chinesische Firmen wie DeepSeek, Moonshot und MiniMax nutzten Millionen automatisierter Anfragen, um Trainingsdaten aus den Modellen systematisch zu extrahieren.

Automatisierte Extraktion im industriellen Maßstab

Die Angreifer setzten auf sogenannte Distillation-Angriffe, um die Fähigkeiten der Claude-Modelle präzise zu kopieren. Bei dieser Methode generiert ein etabliertes, rechenstarkes Modell hochwertige Antworten, die anschließend direkt als Trainingsmaterial in die Datensätze eines konkurrierenden Systems fließen.

Dieser Ansatz reduziert den enormen Rechenaufwand für das Training eigener Architekturen drastisch und spart erhebliche Entwicklungskosten. Um die Schutzmechanismen der Plattform zu umgehen, registrierten die Entwickler der chinesischen Firmen über 24.000 gefälschte Accounts und verschleierten so ihre Identität. Darüber schleusten sie in kurzer Zeit mehr als 16 Millionen Interaktionen durch die Claude-API.

Anthropic identifizierte das verdeckte Netzwerk nach internen Sicherheitsprüfungen und sperrte die betroffenen Konten vollständig.

Das Vorgehen der Angreifer ist eine direkte technische Antwort auf internationale Handelsbeschränkungen, die den Zugang zu modernen KI-Beschleunigern in "unsupported Regions" streng limitieren. Wenn lokale Rechenleistung durch Exportkontrollen fehlt, bietet die massenhafte Nutzung fremder APIs einen effizienten Ausweg, um das komplexe Reasoning an fremde Server auszulagern und die eigenen Systeme dennoch wettbewerbsfähig zu halten.

Strengere Detektionssysteme gegen Datendiebstahl

Um künftige Vorfälle dieser Größenordnung zu unterbinden, verschärft der US-Entwickler die Überwachung der eigenen Infrastruktur erheblich.

Die Sicherheitsteams implementieren neue Detektionssysteme, die das Verhalten von API-Nutzern in Echtzeit evaluieren und maschinelle Zugriffe besser von menschlichen Nutzern unterscheiden. Dazu werten die Algorithmen kontinuierlich Parameter wie die Frequenz der Prompts, die semantische Struktur der Eingaben und spezifische Ausgabemuster aus. Schlagen die Filter an, drosselt das System die Token-Ausgabe oder blockiert den Zugriff auf den Endpoint direkt.

Die Attraktivität der Distillation liegt primär in der außergewöhnlich hohen Qualität der generierten Daten. Anstatt mühsam fehleranfällige Logik-Pfade von Grund auf neu zu trainieren, übernimmt das attackierte Modell die mathematische Schwerstarbeit und liefert fertige Lösungen.

Bereits Mitte Februar meldete OpenAI beinahe identische Vorfälle, bei denen DeepSeek synthetische Daten aus US-Modellen für das Training der eigenen Open-Source-Modelle abschöpfte. Die aktuellen Ereignisse belegen deutlich, dass die unerlaubte Extraktion von KI-Wissen ein zentrales Problem der Branche bleibt. Der Schutz der teuer trainierten Modelle vor externer Ausbeutung rückt für die Infrastruktur-Anbieter damit zwingend in den Fokus der operativen Sicherheit.

Andererseits sollte man sich natürlich auch fragen, warum man diese Daten nicht verwenden darf, während die angegriffenen Firmen gleichzeitig auf alle Daten und Bücher der Welt zugreifen dürfen – und das kostenlos.