Anthropic 最近用了一个很危险的词:distillation attacks,蒸馏攻击。
它说有部分中国实验室试图绕过 API 的预期用途,从模型接口里拿到更多训练信号。这个行为当然该管。问题是,把它概括成“蒸馏攻击”,就像把“开车肇事”说成“汽车攻击”。词一旦这么用,政策很快会跟着跑偏。
蒸馏不是黑客技术。它是今天 AI 工业里最普通、最核心的训练方法之一。
这件事先讲清楚
蒸馏,简单说,就是用更强模型的输出来训练较弱模型。它常见于后训练、小模型、专用模型、合成数据生成。比如让强模型生成指令答案、偏好数据、验证信号,或者把数学、代码、OCR 这类能力迁移给更便宜的模型。
真正有争议的,不是“用强模型输出训练弱模型”这件事,而是怎么拿输出、拿了什么输出、拿去做什么。
| 项目 | 正常蒸馏 | API滥用 |
|---|---|---|
| 典型做法 | 用公开模型、授权数据或普通 API 输出做训练 | 绕过限制、伪装身份、破解接口行为 |
| 主要用途 | 小模型、专用模型、研究数据、后训练 | 套取隐藏推理信号、复制竞品能力 |
| 该不该打击 | 不该一刀切 | 应该明确禁止和追责 |
Anthropic 案例的核心问题,是部分中国实验室疑似绕过 API 的预期用途,试图获取额外推理数据。比如模型开发者本来不想暴露的 reasoning traces,如果被拿去训练新模型,这当然不是正常使用。
但这不等于蒸馏本身有罪。
闭源 API 蒸馏长期就在服务条款灰区里。OpenAI、Claude、Gemini 这类平台通常禁止用户用 API 创建竞争性大模型产品,但执行并不总是清晰。xAI 被问到是否蒸馏过 OpenAI,马斯克的回答大意是:AI 公司通常都会蒸馏别的 AI 公司。NVIDIA Nemotron、Ai2 OLMo 等模型,也都显示过开源、闭源、不同来源模型之间复杂的蒸馏关系。
这不是中国独有行为。区别在于,有没有越权,有没有伪装,有没有拿到本不该给你的信号。
语言误伤,很快会变成政策误伤
美国现在已经不是单纯行业讨论。国会法案、行政令、监管审查都在往这个方向移动:防 API 滥用,防模型能力外流,审查美国公司使用中国模型的风险。
这些动作各有合理性。美国头部 AI 公司不希望自己的 IP 从 API 漏出去,这很正常。问题是,如果政策把“蒸馏”整体打成可疑行为,再把中国开源权重模型一并放进高风险灰区,后果会很难看。
没有哪个法案会直白写着“禁止中国开源模型”。现实里的监管更擅长制造灰区:合规要求变多,法律风险变高,采购不敢碰,大学不敢用,小公司不敢集成。
最扛得住这种不确定性的,恰恰是大公司。它们有律师、合规团队、替代模型和预算。
最扛不住的,是西方学术界、小型创业团队、长尾 AI 应用开发者。他们很多时候依赖开源权重模型做研究、微调、部署和低成本试错。今天不少中国开源模型在性能、成本、社区采用上都有现实价值。你突然把这条路变成合规雷区,不会自动长出一个同等规模的美国开放生态。
训练新模型要时间,形成社区采用更要时间。半年起步都算乐观。生态断档之后,研究者会转向闭源平台,创业者会转向大厂 API。最后赢的不是“国家安全”,而是又一轮平台集中。
“名不正,则言不顺。”这句老话放在技术政策里很准。术语乱了,治理对象就乱了。治理对象一乱,刀就会砍到最容易砍的人。
该打的是越权,不是蒸馏
我更在意的变量只有一个:边界要划在行为上,而不是技术名词上。
绕过 API 限制、伪装身份、批量规避风控、套取隐藏推理链、违反条款复制竞品能力,这些都应该被明确打击。这里没有什么浪漫的开放精神可讲。商业接口不是公共矿山,别人没义务让你把地下矿脉也挖走。
但合法或灰色的蒸馏不能被一锅端。小模型靠蒸馏变便宜,专用模型靠蒸馏变可用,研究数据靠蒸馏扩规模。今天很多 AI 应用能落地,不是因为人人都能训练前沿基座模型,而是因为蒸馏把能力从昂贵系统里转移出来。
这也是这场争议最反常的地方:美国想守住 AI 领先,结果最容易下手的政策,可能会削弱美国最珍贵的东西——开放研究、小公司试错、长尾应用繁殖。
还有一个更冷的判断。即便美国把 API 滥用封得更严,中国公司也未必会停。它们可能换路径、换供应链、换数据来源。真正被规训住的,往往是守规矩的人。
历史上很多技术封锁都有这个悖论:短期能延缓对手,长期也会逼对手补课。半导体如此,AI 也可能如此。如果中国模型长期依赖蒸馏,未必能学会完整的前沿训练体系;如果一刀切断,反而可能迫使它们建立更独立的能力。
所以,别把问题说错。
该封的是门缝里的撬锁行为,不是整个工具箱。蒸馏是工具。滥用才是问题。监管如果连这点都分不清,最后多半会变成一次昂贵的自伤。