Anthropic ha lanciato un’accusa che suona come un campanello d’allarme per l’intera industria: la cinese Alibaba avrebbe condotto una campagna sistematica di distillazione del modello Claude, creando 25.000 account falsi e totalizzando 28,8 milioni di scambi in soli tre mesi, tra aprile e giugno del 2026. Numeri che delineano non un incidente isolato, ma un’operazione pianificata su scala quasi industriale.

L’accusa: una campagna di distillazione su larga scala

Secondo i dettagli resi noti, l’attività si sarebbe svolta sfruttando l’accesso all’API di Claude, il large language model sviluppato da Anthropic. Gli account fittizi avrebbero permesso di aggirare i limiti di utilizzo e inviare un volume massiccio di richieste, con l’obiettivo di raccogliere abbastanza coppie di prompt e completamenti da addestrare un modello “studente”. La tecnica, nota come distillazione, non copia direttamente i pesi del modello originale, ma ne estrae il comportamento funzionale, trasferendo conoscenza a un nuovo sistema.

Distillazione di LLM: come si estrae un modello dalla "scatola nera"

Nel mondo degli LLM, la distillazione è una pratica legittima quando viene utilizzata per comprimere modelli di grandi dimensioni in versioni più efficienti per l’inference su hardware limitato. Tuttavia, se condotta senza autorizzazione, diventa un furto di proprietà intellettuale. Nel caso specifico, l’assenza di controllo diretto sull’infrastruttura di distribuzione ha reso possibile un attacco così esteso. Qualsiasi organizzazione che espone un modello via API cloud è esposta per definizione a questo rischio, perché il modello non risiede dietro il proprio firewall.

Vulnerabilità delle API cloud e la posta in gioco per le aziende

L’episodio mette a nudo una fragilità strutturale dei servizi cloud-based: la dipendenza da un provider esterno e la necessità di fidarsi dei suoi sistemi di rilevamento delle frodi. Rate limiting, autenticazione robusta e verifica dell’identità sono strumenti essenziali, ma possono essere aggirati con risorse e pazienza. Per un’azienda che basa il proprio vantaggio competitivo su modelli proprietari, perdere segreti di addestramento a causa di un account falso è uno scenario da incubo. Senza dimenticare le implicazioni geopolitiche: il trasferimento di capacità avanzate di intelligenza artificiale verso entità sottoposte a regimi normativi diversi solleva questioni di sovranità e sicurezza nazionale.

La via on-premise: blindare i modelli dietro il proprio perimetro

Chi sceglie di mantenere i modelli in un ambiente self-hosted ottiene un controllo quasi assoluto sull’accesso. In un deployment on-premise, il servizio di inference può essere esposto solo all’interno della rete aziendale, o tramite canali strettamente regolati, rendendo impossibile per attori esterni inviare richieste in massa senza autorizzazione. AI-RADAR analizza regolarmente i trade-off tra i costi di gestione di infrastrutture locali e la protezione offerta da questi modelli. L’accusa di Anthropic rinforza l’importanza di valutare con attenzione il deployment context: non tutte le organizzazioni possono permettersi un datacenter privato, ma per quelle che operano in settori regolamentati o con asset strategici, la scelta del self-hosting diventa un pilastro della strategia di AI.

Oltre il caso: cosa cambia per l’industria dell’AI

Al di là della vicenda specifica, l’accusa segnala una crescente aggressività nella corsa all’accumulo di capacità modellistiche. Se confermata, spingerà i provider di API a investire in contromisure più sofisticate, come la detection comportamentale degli account e l’analisi dei pattern di richiesta. Sul fronte regolatorio, potrebbe accelerare l’introduzione di norme più stringenti sull’esportazione di servizi AI. Per l’utente enterprise, l’insegnamento è chiaro: la protezione del know-how AI passa anche da decisioni architetturali, non solo legali.