Un fiume di richieste fraudolente, 28,8 milioni di scambi in 45 giorni, orchestrato – secondo Anthropic – da operatori legati ad Alibaba per clonare le capacità di Claude. È l’attacco di “model extraction” più esteso mai documentato dall’azienda, ed è avvenuto dopo che le restrizioni all’export statunitensi avevano già limitato l’accesso cinese ai modelli più avanzati. Una lettera riservata inviata ai senatori Scott e Warren rivela per la prima volta la portata dell’operazione: quasi 25mila account creati ad arte, una violazione sistematica dei termini di servizio, e un targeting mirato di funzionalità chiave come il ragionamento agentico, l’ingegneria del software e i compiti a lungo orizzonte.

Il meccanismo: non un hack, ma un assedio sistematico

La campagna, attiva tra il 22 aprile e il 5 giugno, non ha sfruttato vulnerabilità tecniche del modello o dell’infrastruttura. Ha invece giocato d’astuzia sull’interfaccia pubblica delle API di Claude, utilizzando uno sciame di account falsi per aggirare i limiti di frequenza e le policy di accesso. Ogni scambio, apparentemente legittimo, era un tassello di un tentativo di distillare le capacità del modello: far emergere pattern di risposta, tecniche di catena di pensiero, strategie di decomposizione dei problemi. È la versione moderna della retroingegneria applicata agli LLM, e funziona se il modello bersaglio è sufficientemente accessibile.

La lettera di Anthropic sottolinea che l’operazione puntava ad “alcune delle capacità più preziose di Claude”, proprio quelle che rendono il modello competitivo per carichi di lavoro enterprise complessi. Non una semplice raccolta di output, quindi, ma un tentativo deliberato di mappare le competenze distintive.

Perché il caso Alibaba segna uno spartiacque

L’episodio arriva in un momento di forte tensione geopolitica sui grandi modelli linguistici. Dopo il rilascio di Mythos – il modello di punta di Anthropic – le restrizioni all’export hanno cercato di limitare il trasferimento di capacità avanzate verso attori cinesi. Eppure, l’attacco dimostra che un modello cloud-first, per quanto sorvegliato, resta un bersaglio esposto: la superficie d’attacco delle API è intrinsecamente ampia, e la difesa si gioca sul filo del rate limiting e del monitoraggio comportamentale, che un avversario ben finanziato può aggirare con costanza.

Alibaba, attraverso il suo laboratorio Qwen, sta investendo massicciamente per raggiungere la parità con i modelli occidentali. Clonare Claude, o anche solo estrarne porzioni significative di comportamento, potrebbe abbreviare drasticamente i cicli di sviluppo. In questo scenario, la linea tra competizione lecita e furto di proprietà intellettuale si fa sottile, e le accuse di Anthropic mettono in luce un problema sistemico: i modelli di frontiera, finché erogati come servizio, sono intrinsecamente “aperti” a chiunque disponga delle risorse per interrogarli su scala industriale.

Il nodo on-premise: controllo e sovranità dei dati

Per chi segue le dinamiche del deployment di LLM in azienda, l’attacco rafforza una riflessione già in corso: l’alternativa tra consumo via API e hosting in-house non è solo economica, ma architetturale e di sicurezza. I deployment on-premise riducono drasticamente la superficie esposta a questo tipo di estrazione, perché il modello rimane dietro un perimetro controllato, accessibile solo a sistemi e utenti autorizzati, senza endpoint pubblici. Certo, non eliminano ogni rischio – un attore interno o un endpoint male esposto restano vettori possibili – ma spostano il baricentro della difesa dalla detection di comportamenti anomali su scala globale alla gestione classica della sicurezza di rete e dei privilegi.

La vicenda Claude-Alibaba è un campanello d’allarme per tutti i team che valutano TCO e rischi dei modelli hosted. Il costo di un attacco di model extraction non è immediatamente monetizzabile, ma va a intaccare il vantaggio competitivo accumulato con enormi investimenti in training e fine-tuning. In settori regolamentati o dove la proprietà intellettuale del modello è il vero asset differenziante, la self-hosting diventa un argine concreto.

Uno scenario che evolve rapidamente

L’industria sta già reagendo. I fornitori cloud affinano i sistemi di anomaly detection e introducono autenticazione rafforzata, ma la cattiva notizia è che gli attaccanti imparano in fretta. La lettera di Anthropic ai senatori è anche una richiesta di attenzione politica: l’esportazione di capacità cognitive non passa solo dai chip, ma dalle API. E mentre le regole si adeguano, la scelta architetturale tra cloud e on-premise assume contorni sempre più strategici per chi costruisce sulla frontiera dell’AI.