OpenAI, Anthropic und Google gegen KI-Diebstahl
OpenAI, Anthropic und Google teilen erstmals Angriffsdaten gegen KI-Distillation durch DeepSeek, Moonshot und MiniMax. Was das bedeutet.
OpenAI, Anthropic und Google haben Anfang April 2026 eine koordinierte Abwehroperation gestartet. Die drei Unternehmen teilen über das Frontier Model Forum erstmals Angriffsdaten, um sogenannte adversarial Distillation durch chinesische KI-Firmen zu erkennen und zu unterbinden.
Was ist adversarial Distillation?
Bei einer Distillation-Attacke wird ein großes "Teacher"-Modell systematisch abgefragt, um ein kleineres "Student"-Modell zu trainieren. Das Student-Modell lernt nicht aus eigenen Trainingsdaten, sondern aus den Antworten des Teacher-Modells.
Konkret funktioniert das so: Angreifer senden gezielt konstruierte Prompts an ein Frontier-Modell wie Claude oder GPT. Die Antworten enthalten Reasoning-Muster, Chain-of-Thought-Ketten und Entscheidungslogik. Diese Outputs werden dann als synthetische Trainingsdaten verwendet, um ein günstigeres Modell mit vergleichbaren Fähigkeiten zu bauen.
Das Ergebnis: Ein Modell, das einen Bruchteil der ursprünglichen Trainingskosten verursacht, aber ähnliche Leistung liefert. Laut Berichten operieren die so entstandenen Modelle bis zu 14-mal günstiger als die US-Originale.
Wer ist betroffen?
Anthropic hat drei chinesische Firmen namentlich genannt: DeepSeek, Moonshot AI und MiniMax. Laut Anthropic haben diese drei Unternehmen über rund 24.000 betrügerische Accounts mehr als 16 Millionen Exchanges mit Claude generiert. Die abgegriffenen Fähigkeiten umfassen Computer Vision, agentenbasiertes Reasoning und KI-gestütztes Coding.
OpenAI-CEO Sam Altman hat ebenfalls DeepSeek beschuldigt. DeepSeek-R1, das im Januar 2025 international für Aufsehen sorgte, sei durch "unangemessene" Distillation von GPT-Modellen entstanden.
Was das Frontier Model Forum tut
Das Frontier Model Forum wurde 2023 von OpenAI, Anthropic, Google und Microsoft als Nonprofit für KI-Sicherheitsforschung gegründet. Jetzt wird es erstmals als aktive Threat-Intelligence-Plattform genutzt.
Die drei Unternehmen teilen Angriffsmuster: Welche Prompts werden verwendet? Welche Accounts sind verdächtig? Welche Zugriffsmuster deuten auf systematische Distillation hin? Das Forum hat ein Issue Brief zu Gegenmaßnahmen veröffentlicht.
Die Logik: Wenn ein einzelnes Unternehmen verdächtige Accounts sperrt, weichen die Angreifer auf die anderen Plattformen aus. Nur durch koordinierten Austausch lassen sich die Muster plattformübergreifend erkennen.
Was das für die Branche bedeutet
Die Anti-Distillation-Koalition markiert einen Wendepunkt:
Kontrollierter Zugang wird Standard. Sowohl Anthropics Claude Mythos (über Project Glasswing) als auch OpenAIs geplantes Cybersecurity-Modell (über Trusted Access for Cyber) setzen auf eingeschränkte Verteilung an verifizierte Partner. Das Muster: Je leistungsfähiger ein Modell, desto restriktiver der Zugang.
Open Source gerät unter Druck. Wenn Distillation als Diebstahl behandelt wird, hat das Auswirkungen auf die Open-Source-KI-Entwicklung. Die Grenze zwischen legitimem Lernen aus öffentlich zugänglichen Modellen und unerlaubtem Abgreifen ist unscharf.
Geopolitische Dimension. Im US-Senat liegt ein parteiübergreifender Gesetzentwurf für strengere Exportkontrollen bei Halbleitertechnologie. Die Koalition der Frontier-Labs fügt sich in eine breitere Strategie ein, den technologischen Vorsprung der USA zu sichern.
Chinesische Staatsmedien haben die Initiative als Ausdruck "amerikanischer Angst vor Chinas schnellem Fortschritt" bezeichnet. Chinesische Modelle machen inzwischen 41% der Downloads auf Plattformen wie Hugging Face aus.
Einordnung
Die Koalition zeigt, dass KI-Modelle zunehmend wie strategische Vermögenswerte behandelt werden. Für Teams, die mit Frontier-Modellen arbeiten, hat das praktische Konsequenzen: API-Zugang könnte restriktiver werden, Rate-Limits strenger, und die Nutzungsbedingungen könnten explizite Anti-Distillation-Klauseln enthalten.
Gleichzeitig wirft der Vorgang Fragen auf: Wenn ein Modell öffentlich über eine API zugänglich ist, ab wann ist die Nutzung der Outputs "Diebstahl"? Und wer entscheidet das? Diese Fragen werden die KI-Branche 2026 weiter beschäftigen.