蒸馏攻击暴露企业AI供应链中的隐藏风险

有时候模仿更像是盗窃而非恭维。

Anthropic最近发布了一篇博客文章，描述了三家AI实验室如何利用特定方法提取Claude的能力来增强自己的模型。这就是蒸馏攻击。

本质上，蒸馏攻击是教一个AI模型模仿更强大的AI。通过向目标AI发送大量提示，攻击者可以收集响应，以低成本训练自己的AI模型。蒸馏本身并非恶意行为。Anthropic指出，高度先进的"前沿"AI模型会使用蒸馏来为客户创建较小的版本。

"你可以把它想象成一个教师模型和一个仍在学习的学生模型，"第三方物流履行公司Capacity的首席信息官Shatabdi Sharma说。

根据Anthropic的说法，DeepSeek、Moonshot和MiniMax将蒸馏方法扩展到工业规模，利用数千个欺诈账户和代理服务从Claude中提取能力。OpenAI也指控DeepSeek进行了蒸馏攻击。

Anthropic强调，蒸馏模型中缺乏安全保障措施会带来国家安全风险。这些蒸馏模型的成本也显著降低，对Anthropic和其他前沿模型的竞争优势构成威胁。

普通AI用户可能不会面临蒸馏攻击的风险，但这并不意味着首席信息官不应关注蒸馏攻击。蒸馏引发了关于模型来源、数据泄露和知识产权保护的问题。

谁面临蒸馏攻击的风险？

蒸馏攻击是竞争对手可能使用的工具。蒸馏现有模型可能比自己构建模型更便宜、更高效。

拥有用于构建专有模型的高价值知识产权的企业，可能成为寻求捷径的竞争对手（包括国家行为者或其他对手）的目标。

"如果某人在特定垂直领域（无论是法律还是医疗保健等）开发了一个特别好的模型，那么肯定会面临攻击，有人想做得更好、更快、更便宜，"专注于现代化人寿保险基础设施的公司Infineo的首席信息和安全官Tony Garcia说。

非法蒸馏模型的用户最终也可能面临风险，无论他们是因为价格便宜而选择该模型，还是实际上不知道它是蒸馏的。正如Anthropic指出的，蒸馏模型可能缺乏安全保障。首席信息官必须考虑这对进入这些模型的企业数据意味着什么。它是否有被泄露或以使企业面临风险的方式使用的危险？

"使用盗版大语言模型的组织将面临法律风险，"IT服务公司CBTS的咨询首席信息安全官John Bruggeman说。

首席信息官如何保护企业

随着企业投身AI竞赛，许多人认为落后是最大的风险。但是，在不考虑安全和法律后果的情况下快速部署AI是一个错误。

"目前每个人都想赶上潮流而不被落下，"Garcia说。"我认为这可能导致我们承担的风险超出我们的理解。"

对于使用前沿模型的企业，首席信息官必须假设蒸馏攻击将持续进行。一如既往，数据治理至关重要。

"你必须承担有人可能从该模型中蒸馏并可能获取你不想要的东西的风险，"Garcia说。"如果你是首席信息官或首席信息安全官，你必须通过匿名化数据来尽量减少这种风险。"

随着AI模型的激增，首席信息官和其他关键决策者需要向供应商询问有关模型来源和防止蒸馏的保障措施的问题。

"是否存在任何水印……以便我们可以确认模型的血统，并确保它不是蒸馏攻击的结果？"Sharma问道。

开发自己专有模型并面临蒸馏风险的企业也可以采取措施保护这些有价值的知识产权。Bruggeman将速率限制描述为第一道防线。

"你必须确保设置速率限制，比如'在一分钟、十分钟或一天内只能进行这么多查询，'"他说。虽然这无法应对拥有数千个账户进行蒸馏活动的威胁行为者，但它是一个有用的保障措施。

水印是保护知识产权的另一个潜在策略。开放全球应用安全项目（OWASP）正在开发一个水印项目，旨在减少未经授权的使用并验证模型的真实性。

Bruggeman还提到了芝加哥大学的Glaze项目，这是一个开发工具使未经授权的AI训练更加困难的计划。

蒸馏攻击就像任何其他供应链风险一样。无论首席信息官及其企业选择如何应对这种风险，他们都需要一个AI和数据治理的基础作为起点。

"计算数据的价值。进行业务影响评估，问'如果这些数据泄露会造成什么损失？'"Bruggeman说。"我必须在它周围设置什么控制措施，以确保它像保护任何其他资产一样受到保护？"

Q&A

Q1：什么是蒸馏攻击？它是如何工作的？

A：蒸馏攻击是指一个AI模型通过模仿更强大的AI来获取其能力的方法。攻击者通过向目标AI发送大量提示，收集响应来训练自己的AI模型，从而以低成本获得先进模型的能力。DeepSeek、Moonshot和MiniMax等公司利用数千个欺诈账户和代理服务从Claude中提取能力，将这种方法扩展到工业规模。

Q2：哪些企业容易成为蒸馏攻击的目标？

A：拥有用于构建专有模型的高价值知识产权的企业最容易成为目标，特别是在法律、医疗保健等特定垂直领域开发了优秀模型的企业。竞争对手（包括国家行为者）可能会使用蒸馏攻击作为捷径，因为蒸馏现有模型比自己构建更便宜、更高效。使用非法蒸馏模型的企业也面临风险，因为这些模型可能缺乏安全保障，导致数据泄露。

Q3：首席信息官可以采取哪些措施防范蒸馏攻击？

A：首席信息官可以采取多种措施：首先是数据治理和匿名化数据；其次是设置速率限制，限制特定时间内的查询次数；第三是向供应商询问模型来源和防蒸馏保障措施；第四是使用水印技术验证模型真实性；最后是进行业务影响评估，计算数据价值并设置相应的保护控制措施。OWASP正在开发水印项目，芝加哥大学的Glaze项目也提供了防止未经授权AI训练的工具。