En dénonçant des « attaques de distillation » venues de Chine, Anthropic espère alerter les États-Unis sur un nouveau risque existentiel. Mais entre procès pour piratage massif de contenus, bannissements à la chaîne et croisade anti‑puces chinoises, la firme vient de déclencher un retour de flamme spectaculaire.
Anthropic a publié un long billet de blog affirmant avoir identifié trois campagnes industrielles de « distillation » menées par DeepSeek, Moonshot et MiniMax, accusées d’avoir généré plus de 16 millions d’échanges avec Claude via environ 24 000 comptes frauduleux pour entraîner leurs propres modèles. La société présente ces opérations comme une menace directe pour la sécurité nationale américaine, pointant le risque que des capacités d’IA avancées soient réinjectées dans des systèmes militaires, de surveillance et de cyberattaque contrôlés par Pékin.
Pour comprendre pourquoi une partie de la communauté technique rejette violemment ce narratif, il faut rappeler à la fois le contexte géopolitique États‑Unis-Chine, les précédentes accusations de « pillage » visant déjà DeepSeek, et le passif d’Anthropic en matière de données protégées et de bannissements agressifs de concurrents.
Anthropic met DeepSeek, Moonshot et MiniMax au banc des accusés
Dans son billet, Anthropic affirme avoir « attribué avec un haut niveau de confiance » trois campagnes de distillation à DeepSeek, Moonshot (Kimi) et MiniMax, en recoupant adresses IP, métadonnées de requêtes, infrastructures et signaux partagés par d’autres acteurs. Selon l’entreprise, ces trois labos auraient orchestré plus de 16 millions d’échanges avec Claude, via environ 24 000 comptes créés en contournant ses restrictions régionales et ses conditions d’utilisation, dont l’interdiction d’utiliser Claude pour développer des modèles concurrents.
- Upload de fichiers pouvant aller jusqu'à 100 000 tokens (75 000 mots environ)
- Personnalisation avancée
- Conception éthique
Anthropic décrit la distillation comme une technique consistant à entraîner un modèle plus faible sur les sorties d’un modèle plus fort, en précisant que cette méthode est parfaitement courante quand un labo distille ses propres modèles pour produire des variantes plus petites et moins coûteuses — c'est d'ailleurs de cette manière qu'Anthropic entraîne ses modèles Sonnet et Haiku, Opus servant de base à la distillation. Ce qui devient « illégitime » selon elle, c’est de transformer ce procédé en attaque structurée : prompts extrêmement répétitifs, concentrés sur quelques capacités clefs comme le raisonnement, l’utilisation d’outils, le code ou la vision, répétés à grande échelle via des grappes de comptes coordonnés.
Pour DeepSeek, Anthropic parle d’environ 150 000 échanges centrés sur le raisonnement, la génération de chaînes de pensée détaillées et la création de réponses « sûres » à des questions politiquement sensibles, décrits comme des briques potentielles pour entraîner un modèle de récompense et ajuster la censure. Dans le cas de Moonshot, les 3,4 millions d’échanges supposés auraient visé la construction d’agents capables de raisonner, d’appeler des outils, de manipuler du code, d’analyser des données et de combiner vision, interface graphique et contrôle d’ordinateur, ce qui rappelle les ambitions affichées par Kimi K2.5 dans la capture vidéo de maquettes d’applications et la génération directe de code.
MiniMax serait allé encore plus loin, avec plus de 13 millions d’échanges prétendument focalisés sur le codage agentique (grande spécialité de Claude Opus et Sonnet) et l’orchestration d’outils, Anthropic affirmant avoir observé la campagne alors que le modèle entraîné n’était pas encore lancé publiquement. L’entreprise affirme aussi que MiniMax aurait redirigé près de la moitié de son trafic vers le nouveau Claude à peine 24 heures après sa sortie, ce qu’elle présente comme la preuve d’une extraction systématique des capacités les plus récentes.
Officiellement, Anthropic n’ouvre pas Claude au marché chinois « pour des raisons de sécurité nationale » et accuse ces labos d’utiliser des services mandataires commerciaux qui revendront ensuite l’accès à Claude et aux autres IAs de pointe via d’immenses grappes de comptes baptisées « hydra clusters ». L’un de ces réseaux de proxy aurait opéré plus de 20 000 comptes frauduleux en parallèle, mélangeant trafic de distillation et usage client pour masquer les motifs d’attaque.
Anthropic relie explicitement ces campagnes à la bataille autour des contrôles d’exportation de puces, affirmant que ces attaques démontrent que les progrès rapides des labos chinois reposeraient en partie sur des capacités américaines détournées et qu’il faut donc maintenir, voire renforcer, les restrictions sur les GPU avancés comme ceux de NVIDIA. Ce positionnement s’aligne parfaitement avec les prises de parole publiques de Dario Amodei, qui comparait récemment l’exportation de puces H200 vers la Chine au fait de « vendre des armes nucléaires à la Corée du Nord », et multiplie les alertes sur un futur proche où des IA surpuissantes seraient à la portée de n’importe quel État autoritaire.
Une offensive contre la Chine qui percute de plein fouet la communauté IA
Sur le papier, Anthropic décrit un scénario inquiétant : des labos étrangers distilleraient des modèles américains pour récupérer des capacités avancées sans leurs garde‑fous, puis les injecteraient dans des systèmes militaires, de surveillance ou de désinformation, d’autant plus difficile à contrôler si les modèles « distillés » sont publiés sous forme de poids ouverts. L’entreprise va jusqu’à écrire que l’ouverture de tels modèles multiplierait le risque en diffusant ces capacités hors de toute juridiction unique, ce qui revient à désigner de facto l’open source comme menace structurelle.
Problème : la distillation est précisément l’une des techniques les plus répandues pour entraîner des modèles, y compris pour réduire la taille des modèles propriétaires, et Anthropic reconnaît elle‑même ce caractère légitime avant de tracer une frontière assez floue entre usage acceptable et « attaque ». Plusieurs développeurs et créateurs de contenu très suivis dans l’écosystème IA, comme le YouTubeur Theo Brown, dénoncent une instrumentalisation du terme « distillation attack » pour décrire des volumes de requêtes qui ressemblent davantage à des benchmarks intensifs qu’à un siphonnage massif, soulignant que 150 000 échanges pour DeepSeek, par exemple, correspondent au trafic quotidien d’un simple chatbot comme T3 Chat.
Ce flou nourrit un soupçon récurrent : Anthropic chercherait moins à régler un problème technique qu’à criminaliser toute exploitation systématique des sorties de Claude par des acteurs tiers, qu’ils soient concurrents, utilisateurs de proxy ou plateformes qui bâtissent des services au‑dessus de son API. La société a déjà coupé l’accès d’OpenAI à Claude après avoir constaté que ses ingénieurs utilisaient l’API dans leurs outils internes pour développer GPT‑5, en invoquant une violation de ses conditions d’utilisation interdisant d’employer Claude pour construire des produits concurrents, après avoir brièvement fait de même avec le développeur de l’IDE Windsurf, soupçonné d’être proche (et depuis racheté par) d’OpenAI.
Cette politique du « banhammer » n’arrive pas non plus dans un vide politique : OpenAI a utilisé exactement le même registre quelques mois plus tôt, en accusant déjà DeepSeek de distiller ses modèles via des routeurs tiers obfusqués et des scripts destinés à réutiliser des réponses pour entraîner son futur modèle, dans un mémo adressé à une commission de la Chambre des représentants américaine spécialisée sur la Chine. Dans cette affaire, comme dans le bras de fer actuel avec Anthropic, la distillation devient l’arme rhétorique idéale : elle permet de présenter une concurrence chinoise qui progresse sans accès complet aux meilleures puces NVIDIA comme fondamentalement dépendante des modèles américains, donc illégitime, au moment précis où Washington hésite encore sur l’ampleur des restrictions d’exportation de GPU H200.
Le timing se complique encore quand on regarde le bilan d’Anthropic sur la question des données utilisées pour entraîner ses propres modèles. L’entreprise fait déjà face à une plainte à 3 milliards de dollars de plusieurs majors de la musique qui l’accusent d’avoir téléchargé plus de 20 000 chansons, partitions et paroles depuis des archives pirates de plusieurs centaines de téraoctets pour alimenter Claude, après avoir déjà accepté un accord amiable d’environ 1,5 milliard de dollars dans une affaire précédente liée à l’usage de livres protégés.
Autrement dit, Anthropic qui bâtit ses modèles sur des livres et des chansons récupérés dans les recoins les plus sombres d’internet explique aujourd’hui que quand d’autres acteurs utilisent les sorties de Claude pour entraîner un modèle, on passe du côté du « pillage » et de la menace civilisationnelle. Pour les développeurs qui constatent déjà que l’internet libre a été verrouillé par les premiers grands labos, rendant la collecte de nouveaux jeux de données de plus en plus difficile, le discours d’Anthropic ressemble moins à une défense du bien commun qu’à une tentative de geler l’ascenseur derrière elle.
Sur le terrain plus concret, la fracture se voit aussi dans la comparaison avec les concurrents. OpenAI a publié des modèles poids ouverts comme GPT‑OSS, Google pousse la gamme Gemma, pendant que les acteurs chinois multiplient les modèles ouverts performants ainsi que les papiers de recherche, alors qu’Anthropic n’a à ce jour publié aucun modèle open weight malgré son omniprésence médiatique sur la « sécurité » de l’IA. Comme nous l’écrivions déjà en analysant l’essor de Kimi K2.5, capable de transformer une simple vidéo d’interface en prototype fonctionnel, ou les accusations d’OpenAI contre DeepSeek pour distillation de modèles, les labos chinois imposent désormais le tempo fonctionnel et économique, ce qui accentue encore la tentation pour certains acteurs américains de déplacer le combat sur le terrain réglementaire plutôt que technique.
Ajoutez à cela les conditions d’utilisation d’Anthropic, jugées opaques jusque par certains employés, les bannissements de concurrents comme OpenAI, XAI ou Windsurf pour de simples usages de comparaison, et un écosystème open source qui voit dans le discours sur les « distillation attacks » une menace directe pour sa survie, et vous obtenez un cocktail explosif. Quand une entreprise qui refuse de publier le moindre modèle ouvert explique que l’ouverture de modèles distillés constitue un risque systémique et agite l’épouvantail chinois à quelques semaines de décisions clefs sur les exportations de puces, il n’est pas surprenant que « tout internet » commence à douter de sa bonne foi.
La vraie question, désormais, n’est pas de savoir si DeepSeek, Moonshot ou MiniMax ont joué un peu trop fort avec les limites de l’API Claude, mais si l’on accepte que la prochaine grande bataille de l’IA se règle non plus sur le terrain de la recherche, mais sur celui d’un récit de sécurité taillé sur mesure pour verrouiller la concurrence et l’open source au nom d’une menace que seuls ceux qui ont déjà tout à perdre prétendent pouvoir définir.
