La tensione tra i colossi dell’intelligenza artificiale ha toccato un nuovo punto di rottura. Anthropic ha formalmente accusato Alibaba di aver orchestrato la più estesa campagna di distillazione mai registrata ai danni di Claude, il suo LLM di punta. In una lettera inviata a senatori statunitensi e funzionari della Casa Bianca – visionata da Bloomberg – l’azienda descrive l’uso di quasi 25.000 account fraudolenti, ricondotti al laboratorio Qwen di Alibaba, che tra aprile e giugno avrebbero estratto sistematicamente le capacità del modello. La notizia ha subito acceso il dibattito non solo sul piano legale, ma anche su quello della sicurezza architetturale dell’AI.

Cos’è la distillazione – e perché questa vicenda è diversa

La distillazione non è una tecnica nuova. In sostanza, consiste nell’addestrare un modello “studente” sugli output di un modello “insegnante” più grande e capace, comprimendone la conoscenza in una rete più leggera e veloce. Di per sé, è una pratica comune nell’industria e viene usata per creare modelli efficienti per dispositivi edge o ambienti con risorse limitate. Tuttavia, condurla su larga scala senza autorizzazione, aggirando i controlli d’accesso di una piattaforma cloud, viola palesemente i termini di servizio e sfiora il furto di proprietà intellettuale. Anthropic sostiene che gli operatori legati a Qwen abbiano generato volumi massicci di richieste attraverso account fasulli, in modo da ottenere abbastanza coppie input‑output per replicare il comportamento di Claude. L’operazione, per dimensioni e metodo, segnerebbe uno spartiacque rispetto a precedenti tentativi noti, come quelli contro modelli di OpenAI o Google.

Il ruolo dell’infrastruttura: API cloud sotto assedio

L’attacco mette in luce una debolezza intrinseca dei modelli esposti esclusivamente via API: la superficie d’accesso è ampia e, nonostante i sistemi di rilevamento, un avversario motivato può simulare traffico legittimo. Per le aziende che oggi valutano come distribuire i propri LLM, la vicenda diventa un argomento concreto a favore di architetture self-hosted. Eseguire inference on-premise, su hardware dedicato e dietro il perimetro aziendale, riduce drasticamente il rischio di esfiltrazione non autorizzata delle capacità del modello. Certo, questa scelta comporta un costo computazionale e una complessità di gestione non indifferenti: servono GPU con VRAM adeguata, pipeline di serving ottimizzate e competenze per mantenere il sistema aggiornato. Ma il vantaggio in termini di controllo, sovranità dei dati e protezione della proprietà intellettuale può superare l’investimento iniziale, soprattutto quando il modello stesso rappresenta un asset strategico.

Il peso della sovranità nella strategia AI

La lettera di Anthropic non è solo una denuncia contro un singolo competitor: solleva interrogativi sulla dipendenza da provider cloud e sulla fragilità di un ecosistema in cui l’innovazione viaggia prevalentemente su endpoint pubblici. Governi e imprese che impongono requisiti di residenza dei dati e conformità GDPR guardano con crescente interesse ai deployment on-premise, non solo per ragioni normative ma anche per difendere i propri investimenti in AI. La distillazione illecita accorcia artificialmente i cicli di sviluppo di chi attinge ai modelli altrui, erodendo il vantaggio competitivo di chi ha speso miliardi nella ricerca. Per AI-RADAR, che segue da vicino le scelte infrastrutturali di chi adotta LLM, l’episodio conferma una tendenza: la sovereignty non è più un’opzione, ma un pilastro per chi considera l’AI una leva di business critica.

Una prospettiva più ampia

Al di là del caso specifico, l’industria dovrà probabilmente dotarsi di strumenti di protezione più robusti: watermarking dei prompt, firme crittografiche sugli output e monitoraggio del consumo per identificare pattern sospetti. Sul fronte degli utenti enterprise, la vicenda può accelerare la migrazione verso piattaforme ibride o interamente private, dove il controllo granulare degli accessi e la segmentazione di rete impediscono prelievi massivi. In gioco non c’è solo la difesa di un modello, ma la sostenibilità stessa di un modello di business basato su API. Per chi oggi pianifica la propria strategia AI, il messaggio è netto: il modo in cui si distribuisce un LLM non è un dettaglio tecnico, ma una decisione che impatta direttamente la sicurezza, il costo totale di possesso e la capacità di mantenere un vantaggio differenziale nel tempo.