Anthropic anunciou que detectou campanhas massivas concebidas para extrair as capacidades de seu modelo de linguagem Claude e reproduzi-las em modelos rivais. Segundo a empresa, três empresas — identificadas como DeepSeek, Moonshot AI e MiniMax — orquestraram um conjunto de acessos fraudulentos que geraram milhões de trocas com Claude através de contas falsas e serviços proxy comerciais. Este tipo de operações, conhecido como ataques de “distillation” ou destilação, não só põe em causa a propriedade intelectual dos desenvolvedores de modelos de vanguarda, mas também levanta sérios riscos de segurança pública quando essas capacidades são reproduzidas sem as salvaguardas originais.
A técnica em questão consiste em usar as respostas de um modelo potente como dados de treinamento para um menor ou mais barato. Em contextos legítimos, essa prática pode servir para criar versões eficientes de um modelo para dispositivos com menos recursos. No entanto, quando um concorrente tira deliberadamente respostas de forma massiva e dissimulada, trata-se de um atalho que esquiva investimentos e controles éticos, e que pode produzir réplicas sem as limitações projetadas pela empresa que criou o modelo original. Anthropic explica em seu próprio comunicado como detectou esses padrões atípicos de uso e linka detalhes técnicos sobre como está enfrentando a ameaça em seu blog oficial: Detecting and preventing distillation attacks.
Segundo a pesquisa de Anthropic, os três laboratórios atacantes tinham objetivos diferenciados: alguns se centraram em capacidades de raciocínio complexas e em respostas que permitem contornar censuras, outros na habilidade do modelo para usar ferramentas ou gerar código, e outros em capacidades de visão por computador e agentes que interagem com software. O que chama a atenção é a escala: milhões de intercâmbios orquestrados através de redes de contas fraudulentas e proxies que distribuem o tráfego para dificultar a detecção. Anthropic ainda afirma que em um caso uma única rede proxy operou mais de 20.000 contas falsas ao mesmo tempo, misturando tráfico malicioso com pedidos legítimos para camuflar o abuso.
Por trás desse disfarce técnico há implicações que vão além da concorrência comercial. Os modelos copiados sem controlos podem perder as barreiras concebidas para evitar usos prejudiciais, facilitando que atores estatais ou grupos para fins maliciosos adaptem e “armen” capacidades de IA para desinformação, vigilância maciça ou ciberoperações ofensivas. Anthropic sublinha-o porque, em sua opinião, os modelos resultantes de uma distilação ilícita são mais propensos a carências em segurança e mitigações, e portanto representam um vetor de risco para a segurança nacional e a estabilidade pública. Para ampliar o contexto da relação entre tecnologias de IA e ameaças à segurança, existem análises de organismos como a Agência da União Europeia para a Cibersegurança (ENISA) que exploram o panorama das ameaças associadas à IA: ENISA — Artificial Intelligence Threat Landscape.
A mecânica operacional das campanhas reveladas é instrutiva: o acesso a Claude foi obtido mediante contas criadas para fins fraudulentos e através de intermediários que revendem acesso a modelos em larga escala. Estas plataformas proxy costumam usar arquiteturas tipo “hydra cluster” que permitem substituir contas bloqueadas por outras novas sem interromper a extração. Para identificar e atribuir as campanhas, Anthropic combinou sinais como metadados dos pedidos, correlação de endereços IP e outros indicadores de infraestrutura, o que lhe permitiu vincular padrões concretos a cada laboratório envolvido e determinar que os pedidos não respondiam a um uso normal, mas a um esforço deliberado de extração.
Diante desta ameaça, a resposta técnica de Anthropic incluiu o desenvolvimento de classificadores e sistemas de impressão comportamental que detectam padrões característicos desses ataques no tráfego da API, bem como medidas de verificação reforçadas para contas acadêmicas e programas de pesquisa e startups. Também implementaram salvaguardas para reduzir a utilidade que podem ter as respostas do modelo para treinar cópias ilícitas. Anthropic fornece mais informações sobre as medidas e as restrições comerciais que aplicam em outra nota pública: Updating restrictions of sais to unsupported regions.
Este caso não é isolado. Em datas recentes, outros provedores de IA relataram tentativas semelhantes de extração e distilação sobre seus modelos, o que evidencia um problema sistêmico no ecossistema de APIs e serviços de IA. A literatura acadêmica e técnica sobre extração de modelos recolhe técnicas similares há anos e documenta por que os APIs podem ser vulneráveis quando as previsões se tornam matéria-prima para treinar réplicas. Um trabalho representativo neste campo é o estudo que analisa o roubo de modelos através de APIs públicas: Stealing Machine Learning Models via Prediction APIs (arXiv).
As perguntas deste episódio são tanto tecnológicas como regulatórias. Do ponto de vista técnico, há um equilíbrio difícil entre oferecer acesso aberto e preventivo para pesquisa legítima, e fechar os vetores que permitem o abuso industrializado. Do ponto de vista normativo, surgem dúvidas sobre como perseguir tribunais essas práticas quando as empresas e as infra-estruturas que permitem o abuso operam em regiões com quadros jurídicos e de segurança diferentes. Além disso, a existência de atores que oferecem acesso a modelos em escala através de redes de contas coloca desafios adicionais de cumprimento e responsabilidade nas cadeias de fornecimento digitais.
Nem tudo está perdido. Os fornecedores de modelos podem mitigar o risco através de detecção avançada, controlos de identidade e limites na granularidade das respostas que facilitem a cópia direta, e as organizações podem investir em auditorias e técnicas de watermarking ou de verificação de procedência do treinamento que ajudem a detectar quando um modelo foi treinado com material obtido ilegalmente. Para quem quiser aprofundar as recomendações práticas e medidas de segurança em ambientes de machine learning, iniciativas como as guias de segurança do OWASP oferecem orientações úteis: OWASP — Machine Learning Security Cheat Sheet.
Em suma, a denúncia de Anthropic expõe um problema crescente: quando a extração de capacidades se industrializa, não só se põe em risco a competitividade das empresas que investem em pesquisa avançada, mas também se amplificam os vetores pelos quais a IA pode ser empregada para fins nocivos. A comunidade tecnológica, os reguladores e os próprios fornecedores devem avançar em conjunto para fechar rachaduras técnicas e legais, mantendo simultaneamente canais seguros para a investigação e a inovação responsável. Enquanto isso, espera-se que os episódios e este promovam melhores práticas de segurança e maior transparência num sector que avança em grande velocidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...