Anthropic 前幾天發了一篇 blog，說他們偵測到 DeepSeek、Moonshot、MiniMax 對 Claude 發動「工業規模蒸餾攻擊」。24,000 個假帳號、1,600 萬次 exchange。數字很嚇人。

然後 Theo（T3 Chat 創辦人，一個支援多模型的 AI 聊天 App）出了一支影片，把這些數字一根一根拆開。

我看完之後覺得，Anthropic 這篇文章的問題比它指控的行為還要多。以下大部分論點來自 Theo 的影片，我寫出來是因為我同意。

150,000 次，很多嗎？

Anthropic 說 DeepSeek 跟 Claude 交互超過 15 萬次。

Theo 說他本來不會公開內部數據，但這篇 blog 讓他受不了了。T3 Chat 一天就能跑到 15 萬次。而且這還算低的——使用者聊天的時候，T3 Chat 會同時呼叫網頁搜尋、工具整合，一個問題背後可能就是好幾次 exchange。

那 T3 Chat 也算在攻擊嗎？

MiniMax 那 1,300 萬次就更荒謬了。跑 SWE-bench、測試 coding 能力，你當然要拿市場上所有主流模型一起比。反覆跑、調整 prompt、出報告，這本來就是做 benchmark 的標準流程。數字很容易堆上去。

Anthropic 還特別點出，MiniMax 在新模型發布後 24 小時內就把將近一半的流量切過去，當成「高度適應性的提取策略」的證據。

Theo 說他在 T3 Chat 看到的完全一樣。新模型一出，舊模型流量馬上萎縮，大概剩三分之一不到。這是使用者的正常行為，不是什麼攻擊策略。

而且他們不是第一次了

Anthropic 之前對 Windsurf、xAI、OpenAI 都做過類似的指控。

Theo 說 Windsurf 那次是錯的，xAI 那次很可能也是錯的，OpenAI 那次更是確定沒有根據。

這不是單一事件，是行為模式。每次有競爭壓力，就指控對方蒸餾。喊多了，就算哪天是真的，也沒人信了。

MCP 讓「次數」這個指標徹底失效

現在 agentic AI 是常態。

一個使用者發一條訊息，背後可能觸發十幾次 MCP tool call，每次 call 又產生新的模型回應。對使用者來說是「問了一個問題」，對 Anthropic 的系統來說是幾十次 exchange。

用次數來判斷意圖，在 2026 年根本沒有意義。

假帳號是你們逼的

Anthropic 說假帳號是惡意的證據。

但 Anthropic 自己把中國流量全封鎖了。沒有合法管道，想用 Claude 的中國開發者要怎麼辦？當然只能找代理服務、用假帳號繞進來。

你不讓我進門，我翻牆進來，然後你說我是小偷。

一個中國新創團隊想在自己的產品裡對比幾個模型的表現，正常流程是什麼？沒有正常流程。所以他們的行為模式，跟 Anthropic 描述的「攻擊」長得一模一樣。根本無法區分。

黃金還是黃金

Anthropic 說蒸餾出來的開放原始碼模型很危險，因為安全防護會被濾掉。

Theo 的比喻是：蒸餾就像用篩子在沙子裡篩黃金。如果你做得夠好，黃金還是黃金，不會因為這層篩網而變質。

如果蒸餾一下安全機制就掉了，問題不在蒸餾技術，問題在那個安全機制本來就只是表面貼上去的。

而且 Anthropic 自己也在蒸餾自己的模型，做成更小更便宜的版本。那他們蒸餾出來的版本，安全機制是完整的嗎？

這篇 blog 的真正目的

DeepSeek V4 快出來了。據說 coding 能力會超過 Claude。

Anthropic 這篇文章裡，花了很大篇幅呼籲晶片出口管制、要求政策制定者介入、說這是國家安全問題。

技術上開始有壓力，然後跑去找政治人物。

而且 Anthropic 目前沒有任何開放原始碼模型。連 OpenAI 都已經有了。Meta 的 Llama 跑得很好。DeepSeek 本身就是開放原始碼的。

一家沒有開放原始碼模型的公司，跑去呼籲治理開放原始碼模型。開放原始碼本來的精神就是任何人都可以拿去用、改、蒸餾、再發布。這不是漏洞，這是設計。

你要治理的話，說穿了就是「開放原始碼這件事本身有問題」。

所以 Theo 認為這篇 blog 的完整邏輯是：技術競爭有壓力了，包裝成安全議題，去推動對自己有利的監管。我覺得這個判斷很難反駁。

那 Cursor 算不算攻擊？

Cursor 付 API 價格使用 Claude，蒐集使用者跟模型互動的資料，然後拿去訓練自己的 composer model。所以 Cursor 的模型「嚐起來有一點 Claude 的味道」。

這跟蒸餾本質上是同一件事。但 Anthropic 沒有指控 Cursor。

同樣的行為，美國公司做叫商業模式，中國公司做叫攻擊。

界線到底在哪？

Will Brown 問了幾個很根本的問題：用 Claude 寫的程式碼放上 GitHub，別人拿去訓練模型，算不算違反 ToS？把 Claude 的輸出分享到公開網路上呢？Cursor 做的事算不算蒸餾攻擊？

Anthropic 的 ToS 模糊到他們自己的員工都解釋不清楚。前幾天才因為條款爭議被社群罵過一輪。

而且最核心的諷刺是：Anthropic 的模型本來就是拿網路上的資料訓練出來的。他們爬別人的可以，別人用他們的就是惡意。

這些問題沒有答案。但 Anthropic 選擇不回答這些問題，而是直接用「攻擊」這個詞把它蓋過去。

---

Theo 在影片最後說，如果他說的是錯的，Anthropic 有很多方法可以找到他，歡迎來澄清，他會馬上把影片下架、發道歉影片。

但如果你現在還看得到那支影片，那就是另一回事了。