KI Espresso

28,8 Millionen Fragen — klaut man so ein KI-Modell?

Episode 94

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 8:54
28,8 Millionen Fragen: Kann man ein KI-Modell durch seine Antworten kopieren? ⏰ Timestamps: 0:00 — 28,8 Millionen Fragen an Claude. 0:31 — zu extrahieren. Die Frage ist nicht nur hat Alibaba geklaut, die Frage ist,... 1:04 — Und genau diesen Begriff, also Distillation, den missbrauchen große... 1:40 — Das ist doch kein normales Lernen. 2:15 — Wenn wir deiner Logik folgen, erschaffen wir eine völlig dystopische... 2:51 — in Keim. Multimodellstrategien werden für Unternehmen plötzlich zu einem... 3:12 — betrachten. Unzählige europäische Firmen bauen genau jetzt ihre internen... 3:32 — Exakt. Die Gefahr für diese Unternehmen ist ja nicht ein klassischer Heck,... 4:06 — absaugen kann. Das sind wir wieder bei den 28,8 Millionen Exchanges vom Anfang. 4:27 — verteufeln. Ich, also ich vertrete hier ganz klar den Standpunkt. 4:59 — mehr genutzt, um mal punktuell Antworten zu bekommen, sondern als reiner Kanal 5:20 — wirklich bis auf die kleinste Schraube auseinander nimmt, um, naja, den... 5:56 — statisches physisches Objekt. 6:37 — Accounts. Warum braucht man so eine gigantische Menge? 7:00 — Attacke, aber wie definieren wir denn eine gründliche Evaluierung bei... 7:22 — dass das Modell in der Produktion nicht plötzlich unvorhergesehene Fehler macht. 7:43 — hinaus. Meinst du, dass da durch die bloße Menge ein Testdaten zu viel... 8:05 — die API. Wer ein Modell auf diese Weise ausleuchtet, extrahiert vielleicht... 8:38 — Wie sollen Unternehmen diesen schmalen Grad überhaupt navigieren? 💡 3 Empfehlungen: 1. Pruefe API-Vertraege: Duerfen Outputs, Prompts oder Workflows zum Training genutzt werden? 2. Ueberwache Missbrauchssignale: Volumen, Account-Sharing, Proxy-Muster und wiederholte Aufgaben. 3. Plane den Exit: Multi-Model-Strategie, Log-Fristen, Loeschpfade und Wechselmoeglichkeit. 📖 Quellen: • [1] https://www.musicbusinessworldwide.com/files/2026/06/Anthropic-letter.pdf • [2] https://www.forbes.com/sites/jonmarkman/2026/06/26/anthropic-says-alibaba-used-25000-fake-accounts-to-distill-claude/ • [3] https://www.infoworld.com/article/4189342/anthropic-accuses-alibaba-of-using-25000-fake-accounts-to-scrape-claude-ai.html • [4] https://www.bankinfosecurity.com/ai-firms-seek-us-help-against-china-model-distillation-a-32082 • [5] https://www.anthropic.com/legal/consumer-terms • [6] https://www.nist.gov/itl/ai-risk-management-framework • [7] https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng 🔗 Verwandte Episoden: • 4,8% gegen 74,5%: Kann Deutschland bei KI noch aufholen?: https://youtu.be/z2rCNvJSjAg • 2,5 Milliarden — scheitern sie an einer: https://youtu.be/Yub4XwCDVYY • 25 Millionen — und das alles vollautomatisch: https://youtu.be/mDD41CBCabE 🎙️ KI Espresso — Jeden Tag eine neue KI-Debatte in sechs Minuten. 🎧 Podcast hören: • Apple Podcasts: https://podcasts.apple.com/podcast/id1885621764 • Alle Plattformen: https://www.buzzsprout.com/2603567 𝕏 @KIEspresso #Anthropic #Alibaba #Claude
SPEAKER_00

28,8 Millionen Fragen an Claude. Anthropic sagt, so kopiert man ein KI-Modell. Also, laut einem Brief von Anthropic an den US-Senat haben mutmaßlich Alibaba-nahe Betreiber zwischen dem 22. April und dem 5. Juni 2026 über fast 25.000 betrügerische Accounts systematisch API-Antworten gesammelt.

SPEAKER_02

Wahnsinn.

SPEAKER_00

Ja, absolut. Das Ziel war halt, besonders wertvolle Fähigkeiten wie agentisches Denken und Software Engineering zu extrahieren. Die Frage ist nicht nur, hat Alibaba geklaut, die Frage ist, kann man eine Fähigkeit stehlen, wenn sie als Antwort aus einer AP kommt?

SPEAKER_02

Ganz ehrlich, ich kaufe dieses pauschale Narrativ vom Stehlen einfach nicht. Ich meine, das Lernen aus Outputs, systematisches Benchmarking und Evaluierung, das sind doch absolute Industriestandards.

SPEAKER_00

Ja. Aber wir sprechen hier nicht von ein paar hundert Testläufen. Wir sprechen von gezielter Distillation im wirklich industriellen Maßstab.

SPEAKER_02

Und genau diesen Begriff, also Distillation, den missbrauchen große KI-Monopolisten jetzt zunehmend als politisches Schlagwort. Ich meine, machen wir uns doch mal klar, was das technisch überhaupt heißt. Ein kleineres Modell nutzt die Antworten eines großen Modells quasi als eine Art Lehrbuch. Richtig, aber. Warte kurz, wenn ein Kunde für den API-Zugang rechtmäßig bezahlt hat, warum soll dieses Lernen dann plötzlich ein Verbrechen sein? Das kriminalisiert doch völlig offene Forschung und legitimen Wettbewerb.

SPEAKER_00

Naja, weil der Kontext halt entscheidend ist. Das ist doch kein normales Lernen. Die Angreifer jagen tausende hochkomplexe Programmieraufgaben durch die API von Cloud, sammeln die perfekten Lösungswege ein und trainieren damit ein eigenes, billiges Modell. Das ist aber doch. Moment, damit umgehen Sie die gigantischen Entwicklungs- und Rechenkosten, die Entropic für genau diese Fähigkeiten investiert hat. Das ist keine Probefahrt mehr. Das ist so, als würde man ein Auto mieten, um vollautomatisiert Blaupausen für den eigenen Motor zu fräsen.

SPEAKER_02

Boah, das Bild hinkt doch gewaltig. Ein Auto wird ja nicht schlechter, wenn ich es vermesse. Wenn wir deiner Logik folgen, erschaffen wir eine völlig dystopische Architektur.

SPEAKER_00

Inwiefern dystopisch? Enthropic fordert jetzt ein systematisches Thread-Sharing zwischen der US-Regierung und den KI-Labs, um genau solche Attacken zu stoppen. Das ist einfach eine notwendige Sicherheitsmaßnahme. Genau das meine ich doch.

SPEAKER_02

Strenge Exportkontrollen und harte API-Sperren führen zu einer komplett abgeschotteten KI-Welt. Weniger Interoperabilität, null Transparenz. Aber lass mich den Gedanken zu Ende bringen. Wenn jede Weiterverwendung eines legitimen API-Outputs sofort zum Diebstahl erklärt wird, ersticken wir unabhängige Reproduktion in Keim. Multimodel-Strategien werden für Unternehmen plötzlich zu einem unkalkulierbaren Rechtsrisiko.

SPEAKER_00

Das ist ein fairer Punkt, aber du ignorierst völlig das massive Sicherheitsrisiko in der Praxis. Und das betrifft eben nicht nur die Tech-Giganten. Lass uns das mal aus der Sicht eines ganz normalen Unternehmens hier in der Dachregion betrachten. Unzählige europäische Firmen bauen genau jetzt ihre internen Agenten, Supportboards und Coding-Workflows auf fremden Modell APIs auf. Ja, logisch. Wenn Intelligenz als API verkauft wird, wird Zugriff selbst zur Sicherheitsfrage. Weil die API zum Einfallstor wird, meinst du? Exakt. Die Gefahr für diese Unternehmen ist ja nicht ein klassischer Hack, bei dem Server geknackt werden. Die Gefahr ist der Prozess selbst. Ihre eigenen Prompts, die aufwändigen Tests und spezifischen Geschäftsprozesse fließen als Daten in eine API. Stimmt, ein Konkurrent könnte aus Millionen solcher legitimen Antworten die Logik Reverse Engineering. Die hochspezialisierte Fähigkeit, die sich eine deutsche Mittelstandsfirma mühsam aufgebaut hat, wird ungewollt zu einem Trainingssignal, das jemand anderes einfach absaugen kann. Da sind wir wieder bei den 28,8 Millionen Exchanges vom Anfang. Ein Punkt fehlt noch. Wenn wir heute darüber diskutieren, ob KI-Anbieter ihre APIs restriktiver behandeln sollten, dürfen wir die systematische API-Nutzung nicht per se als Diebstahl verteufeln. Also ich vertrete hier ganz klar den Standpunkt. Legitime Nutzung muss möglich bleiben. Kunden brauchen das Zwingen für Benchmarking. Sie müssen evaluieren, synthetische Testfälle generieren und naja, Modelle vergleichen. Es geht da schlichtweg um Portabilität.

SPEAKER_01

Da halte ich aber ganz klar mit der gegenteiligen Position dagegen. Also die Theorie der legitimen Nutzung ist ja nachvollziehbar, aber wir müssen auf die tatsächlichen Dimensionen schauen. Wenn wir hier von industriellem Maßstab sprechen, dann wird die API eben nicht mehr genutzt, um mal punktuell Antworten zu bekommen, sondern als reiner Kanal für die massenhafte Extraktion von Modellfähigkeiten.

SPEAKER_00

Aber warte kurz, nehmen wir mal die klassische Industrie als Vergleich, okay? Wenn jetzt ein Automobilhersteller wie Ford einen Tesla, der Konkurrenz kauft und ihn wirklich bis auf die kleinste Schraube auseinandernimmt, um, naja, den Markt und die Technik zu verstehen. Das ist völlig gängige Praxis. Die stehlen ja nicht Teslas Fabrik, oder? Sie lernen lediglich, wie das Auto funktioniert.

SPEAKER_02

Okay, aber der Vergleich?

SPEAKER_00

Warum sollte also ein API-Kunde das KI-Modell nicht genauso systematisch abfragen dürfen? Wenn wir jeden Output als unantastbares Eigentum der Provider behandeln, zementiert das doch nur die Macht der großen Tech-Monopolisten.

SPEAKER_02

Naja, der Autovergleich greift hier einfach zu kurz. Weil bei einem Auto kaufst du ein statisches physisches Objekt.

SPEAKER_00

Richtig.

SPEAKER_02

Aha, okay.

SPEAKER_00

Was aber über diese APIs passiert, ist was fundamental anderes. Das nennt sich Model-Distillation.

SPEAKER_02

Erklär das mal kurz. Ja, für alle, die das nicht im Detail kennen, bei der Distillation nutzt man diese smarten, extrem teuren Antworten eines riesigen KI-Modells, um damit ein eigenes kleineres Modell billig zu trainieren.

SPEAKER_00

Ah, verstehe.

SPEAKER_02

Man feuert also ganz gezielt Millionen von komplexen Aufgaben an die API, sammelt die perfekten Lösungswege ein und kopiert so quasi das Gehirn des Modells, nicht nur das Gehäuse. Schauen wir uns mal die harten Fakten an. 28,8 Millionen Abfragen. Wow! Verteilt über fast 25.000 Accounts. Warum braucht man so eine gigantische Menge? Weil man den gesamten Lösungsraum des Modells kartografieren will. Also das kaufe ich einfach nicht mehr als legitimes Benchmarking. Das ist der systematische Aufbau einer Kopie.

SPEAKER_00

Gut, also 28,8 Millionen Abfragen klingen natürlich erst einmal nach einer enormen Attacke. Aber wie definieren wir denn eine gründliche Evaluierung bei hochkomplexen Systemen? Wenn du ein Modell für einen wirklich kritischen Unternehmensprozess einsetzen willst, musst du jeden erdenklichen Randfall abdecken. Da braucht man oft also wirklich gigantische Datenmengen, einfach um sicherzugehen, dass das Modell in der Produktion nicht plötzlich unvorhergesehene Fehler macht.

SPEAKER_02

Das mag schon sein. Aber die Grenze wird genau da überschritten, wo die operationelle Sicherheit massiv gefährdet ist. Und das betrifft gerade Dachunternehmen enorm. Inwiefern? Naja, die Gefahr geht weit über das bloße Abgreifen von Kundendaten durch den Provider hinaus.

SPEAKER_00

Meinst du, dass da durch die bloße Menge an Testdaten zu viel internes Wissen abfließt? Exakt.

SPEAKER_02

Denken wir mal an das wirklich sensible Material, das bei solchen großangelegten Extraktionen zwangsläufig offengelegt wird. Wenn du Millionen von Abfragen generierst, schickst du ja tiefgreifende Prompts, interne Testverfahren. Oh, stimmt. Komplette Workflow-Strukturen und extrem wertvolle Evaluierungsrubriken an die API. Wer ein Modell auf diese Weise ausleuchtet, extrahiert vielleicht das Wissen des Anbieters, aber er legt gleichzeitig das gesamte intellektuelle Kapital seines eigenen Unternehmens auf den Servern des Providers ab.

SPEAKER_00

Das ist ein faszinierender Mechanismus. Wenn ich also versuche, mich durch massenhafte Abfragen von einem Modell unabhängig zu machen, liefere ich paradoxerweise mein gesamtes Know-how beim Provider ab? Ganz genau. Das führt uns dann direkt zum Praxistest. Wie sollen Unternehmen diesen schmalen Grat überhaupt navigieren? Wenn dein Modell jeden Tag antwortet, ab wann wird ein Kunde zum Kopierer?

SPEAKER_02

Wenn euch diese Debatte zum Nachdenken gebracht hat, abonniert KI Espresso. Jeden Tag eine neue KI-Debatte in sechs Minuten. Das war KI Espresso.