---
type: Blog Post
title: "Anthropics Alibaba-Vorwurf: Warum Modell-Herkunft zählt"
description: "Anthropic teilte dem US-Senat mit, Alibaba-nahe Akteure hätten Claude im großen Stil distilliert. Warum Modell-Herkunft jetzt zur Stack-Wahl gehört."
resource: "https://www.contextstudios.ai/de/blog/anthropic-alibaba-vorwurf-modell-herkunft"
tags: [Modell-Herkunft, Anthropic, Alibaba, KI-Strategie, Anbietervertrauen, Distillation]
language: de
timestamp: "2026-06-26T07:27:05.201Z"
---

# Anthropics Alibaba-Vorwurf: Warum Modell-Herkunft zählt

<div data-speakable>
Ein führendes KI-Labor hat dem US-Senat mitgeteilt, dass ein Konkurrent sein Modell über die Programmierschnittstelle im großen Stil abgeschöpft habe. Für alle, die Software bauen, zählt dabei nicht die Geopolitik – sondern die Erkenntnis, dass die Herkunft eines Modells inzwischen über die Wahl des Technologie-Fundaments mitentscheidet.
</div>

In einem Schreiben vom 10. Juni 2026 hat <span data-entity-name="Anthropic" data-entity-type="Organization">Anthropic</span> dem <span data-entity-name="Senate Banking Committee" data-entity-type="Organization">Senate Banking Committee</span> mitgeteilt, dass mutmaßlich mit <span data-entity-name="Alibaba" data-entity-type="Organization">Alibaba</span> verbundene Akteure den nach eigener Darstellung „größten bekannten Distillation-Angriff" auf die <span data-entity-name="Claude" data-entity-type="Product">Claude</span>-Modelle durchgeführt hätten (CNBC). Die Zahlen sind das, was Schlagzeilen macht – rund 25.000 betrügerische Konten und 28,8 Millionen Interaktionen zwischen dem 22. April und dem 5. Juni 2026 (Tom's Hardware). Doch wer auf diesen Modellen Software betreibt, sollte eine Ebene tiefer schauen: Herkunft und Vertrauenswürdigkeit eines Modells sind unbemerkt zu architektonischen Entscheidungen geworden.

Das ist keine Sicherheitsanleitung. Es ist eine Frage der Unternehmensführung, die in Ihrem Technologie-Fundament landet, ob Sie wollen oder nicht. Wenn dem Unternehmen, dessen Modell Ihr Produkt antreibt, die Kernfähigkeit über gewöhnlichen Schnittstellenverkehr kopiert werden kann, dann wird aus „Welchem Labor vertraue ich, und wie angreifbar ist es?" keine abstrakte Diskussion mehr, sondern ein Posten in Ihrer Architekturprüfung.

Was Anthropic konkret vorwirft

<div data-speakable>
Anthropic wirft mutmaßlich mit Alibaba verbundenen Akteuren vor, über rund 25.000 betrügerische Konten 28,8 Millionen Claude-Interaktionen geführt zu haben – mit dem Ziel, die wertvollsten Fähigkeiten von Claude abzugreifen: agentenbasiertes Schließen, Softwareentwicklung und langfristige Aufgaben.
</div>

Das Schreiben, gerichtet an den Vorsitzenden Tim Scott und das ranghöchste Minderheitsmitglied Elizabeth Warren im Vorfeld einer Anhörung zur KI-Politik, beschreibt die Kampagne als gezielten Versuch, die wirtschaftlich wertvollsten Fähigkeiten von <span data-entity-name="Claude" data-entity-type="Product">Claude</span> abzuschöpfen (Yahoo/CNBC). Die Akteure sollen über kommerzielle Proxys geografische Sperren umgangen und die Antworten anschließend in das Training eines Konkurrenzsystems eingespeist haben, das Alibabas <span data-entity-name="Qwen" data-entity-type="Product">Qwen</span>-Labor zugeschrieben wird (Ars Technica).

Zwei Einschränkungen sind wichtig, und Anthropic lässt in seiner eigenen Wortwahl Raum für beide. „Mit Alibaba verbundene Akteure" ist nicht dasselbe wie eine bestätigte, offizielle Anweisung des Konzerns – Alibaba wollte sich nicht äußern, und das Schreiben belegt nicht, dass ein Qwen-Modell die Fähigkeiten von Claude tatsächlich nachgebildet hätte. Behandeln Sie den Vorwurf als ernsthafte, belegte Behauptung, nicht als gefälltes Urteil. Allein steht das Muster allerdings nicht da: Anthropic verweist auch auf frühere Vorfälle anderer Akteure – zusammengenommen rund 24.000 Konten und etwa 16 Millionen Interaktionen (CNBC).

Distillation – nüchtern erklärt

<div data-speakable>
Bei der Distillation trainiert ein kleineres „Schüler"-Modell auf den Ausgaben eines stärkeren „Lehrer"-Modells und übernimmt dessen Fähigkeiten, ohne sie von Grund auf neu aufzubauen. Auf Ebene der Schnittstelle sehen solche Anfragen aus wie gewöhnliche Nutzung.
</div>

Die Technik selbst ist alltägliches maschinelles Lernen. <span data-entity-name="Knowledge distillation" data-entity-type="Concept">Knowledge Distillation</span> trainiert ein kleineres Schülermodell auf den Ausgaben eines größeren Lehrermodells und überträgt dessen Verhalten zu einem Bruchteil der Kosten (Wikipedia; Nebius). Labore setzen sie ständig ein, um die eigenen Modelle zu verkleinern. Das Problem entsteht, wenn das Lehrermodell jemand anderem gehört und nie zugestimmt hat.

Und hier liegt das Unbequeme für jeden Anbieter: Auf Ebene der Schnittstelle ist eine Abschöpfungskampagne von einem legitimen Vielnutzer kaum zu unterscheiden. Die einzige harte Sperre besteht darin, den Zugang zu verweigern – was direkt dem Geschäftsmodell widerspricht, eben diesen Zugang zu verkaufen (MindStudio). Die Einschätzung der <span data-entity-name="UK Government" data-entity-type="Organization">britischen Regierung</span> kommt zum selben Schluss: Distillation ist günstig, wirksam und am Eingang strukturell schwer zu kontrollieren (gov.uk). Anthropic hat seine eigene Sicht zur Erkennung und Abwehr solcher Muster veröffentlicht, räumt darin aber selbst ein, dass die Erkennung wirklich schwierig bleibt (Anthropic).

Die Wirtschaftlichkeit, die das Ganze schwer aufzuhalten macht

<div data-speakable>
Distillation ist deshalb so verlockend, weil die Rechnung schief liegt: Ein Modell, dessen Training Hunderte Millionen kostet, lässt sich für einen kleinen Bruchteil annähern, indem man aus seinen Schnittstellen-Ausgaben lernt.
</div>

Ein Spitzenmodell steht für gewaltige versunkene Kosten – Rechenleistung, Trainingsdaten und Forschung im dreistelligen Millionenbereich. Distillation kehrt diese Rechnung um. Ein Wettbewerber kann einen erheblichen Teil dieser Fähigkeit für kaum mehr als die Kosten der Schnittstellen-Anfragen annähern, weshalb Fachleute aus der Politikberatung das Abschöpfen als eine der günstigsten Möglichkeiten beschreiben, einen Rückstand aufzuholen (IAPS). Genau diese Kostenschere ist das Motiv: Man muss die Spitze nicht in der Forschung überholen, wenn man billig aus ihren Ausgaben lernen kann.

Zum ersten Mal gerät die Technik dabei nicht in die Kritik. Bereits früher im Jahr 2026 wurden ähnliche Muster anderen Akteuren zugeschrieben; Anthropic nennt für jene Vorfälle zusammen rund 24.000 Konten und etwa 16 Millionen Interaktionen (CNBC). Der Vorwurf gegen <span data-entity-name="Alibaba" data-entity-type="Organization">Alibaba</span> ist größer im Umfang, doch das Vorgehen – viele wenig vertrauenswürdige Konten, kommerzielle Proxys, hochwertige Anfragen – wird zur vertrauten Routine. Für alle, die Software bauen, heißt das: Das ist ein strukturelles Merkmal des Schnittstellen-Geschäfts, kein einmaliger Skandal, der behoben und vergessen wird.

Warum das ein Herkunfts- und kein Sicherheitsproblem ist

<div data-speakable>
Wenn die Kernfähigkeit eines Spitzenlabors über die Schnittstelle im großen Stil abgeschöpft werden kann, dann wird die Frage „Woher stammt die Intelligenz dieses Modells?" zu einem echten Kriterium bei der Anbieterwahl – und nicht zu einer Randnotiz.
</div>

Die meisten Entwicklerinnen und Entwickler lesen eine solche Geschichte und legen sie unter „Sicherheitsvorfall bei einem großen Labor" ab. Das verfehlt den Punkt, der die eigene Produktplanung berührt. Wenn Fähigkeiten über gewöhnlichen Schnittstellenverkehr zwischen Laboren durchsickern können, verschwimmt die Grenze zwischen „originalen" und „abgeleiteten" Modellen – und diese Unschärfe wird zu einem geschäftlichen Risiko, das Sie weiter unten in der Kette erben.

Überlegen Sie, was die Herkunft tatsächlich steuert. Sie prägt Ihre rechtliche Angreifbarkeit, falls sich bei einem Modell, von dem Sie abhängen, später herausstellt, dass es auf strittigen Ausgaben trainiert wurde. Sie prägt Ihre Compliance-Erzählung, wenn ein Kunde fragt, woraus die Fähigkeiten Ihrer KI stammen. Und sie prägt Ihr Fortbestehensrisiko: Ein Anbieter, der in einen Streit um geistiges Eigentum oder Exportkontrollen verwickelt ist, kann über Nacht den Marktzugang verlieren. Wir haben schon früher dargelegt, dass es bei der klugen Wahl von KI-Modellen vor allem um Kosten und Leistung geht – diese Episode fügt eine dritte Achse hinzu: Vertrauen in die Abstammung.

Genau deshalb hängt die Distillation-Geschichte mit dem größeren Thema der Exportkontrollen zusammen. Distillation ist das Motiv hinter vielen Kontrollen, die gerade neu ordnen, welche Modelle in welchen Märkten verfügbar sind. Das Abschöpfen ist das Warum; die Beschränkungen sind die Antwort darauf.

Die Geopolitik, die Sie nicht ignorieren können

<div data-speakable>
Der Streit steht in einem breiteren Konflikt zwischen den USA und China: Das Pentagon setzte Alibaba Wochen vor dem Bekanntwerden des Anthropic-Schreibens auf seine Liste von Unternehmen, denen es Unterstützung des chinesischen Militärs vorwirft.
</div>

Das geschah nicht im luftleeren Raum. Am 9. Juni 2026 nannte das <span data-entity-name="Pentagon" data-entity-type="Organization">Pentagon</span> Alibaba – neben BYD und Baidu – auf seiner Liste nach Abschnitt 1260H, also unter den Unternehmen, die nach seiner Darstellung das chinesische Militär unterstützen (NPR; CNBC). Alibaba wehrt sich gegen die Einstufung. Fachleute aus der Politikberatung argumentieren, dass die vorhandenen Werkzeuge – Exportkontrollen und Druck aus dem Kongress – nur begrenzt gegen eine Technik wirken, die über normale kommerzielle Schnittstellen läuft (IAPS).

Für alle, die Software bauen, ist die Lehre unbequem, aber klärend: Das Modell, auf dem Sie aufbauen, ist nun ein geopolitisches Objekt. Der Marktzugang eines Anbieters kann sich mit einer behördlichen Entscheidung verschieben, nicht nur mit einer Produktstrategie. Das ist eine Größe für die Fortbestehensplanung, die Sie ebenso einkalkulieren sollten wie Preisänderungen und Nutzungsgrenzen.

Wie „herkunftsbewusst und modellunabhängig" in der Praxis aussieht

<div data-speakable>
Die widerstandsfähige Architektur ist modellunabhängig, aber herkunftsbewusst: die Fähigkeit zum Anbieterwechsel bewahren und die rechtliche sowie lieferkettenbezogene Angreifbarkeit jedes Anbieters als vorrangiges Auswahlkriterium behandeln.
</div>

Die richtige Verteidigung besteht nicht darin, in den Kämpfen der Labore eine „Seite" zu wählen. Sie besteht darin, das eigene Produkt nicht fest an einen einzigen Anbieter zu binden, dessen Fähigkeitskurve – oder Marktzugang – sich ohne Vorwarnung biegen kann. Konkret:

- Halten Sie eine Abstraktionsschicht zwischen Ihrer Anwendung und jedem einzelnen Modell. Dieselbe Disziplin, die das Wechseln aus Kosten- oder Qualitätsgründen erlaubt, schützt Sie auch, wenn ein Anbieter an eine rechtliche Wand stößt. Unsere Sicht darauf, wann weniger mehr ist, gilt auch hier: weniger feste Abhängigkeiten, mehr Spielraum.
- Machen Sie die Herkunft zur Anbieterfrage. Fragen Sie Anbieter, wie sie Abschöpfung erkennen, wie ihre Datenwege und Aufbewahrungsregeln aussehen und wie stark sie von Verschiebungen bei den Exportkontrollen betroffen sind. Nehmen Sie die Antworten so ernst wie Zusagen zur Verfügbarkeit.
- Behalten Sie Ihre eigene Lieferkette im Blick. Dieselbe Sorgfalt, die vor Lieferkettenangriffen auf KI-Agenten schützt – genau zu wissen, wovon Sie abhängen und warum –, erlaubt Ihnen, schnell zu reagieren, wenn eine Abhängigkeit zur Belastung wird.

Nichts davon verlangt, dass Sie den Ausgang des Streits zwischen Anthropic und Alibaba vorhersagen. Es verlangt, so zu bauen, dass dieser Ausgang Sie nicht im Regen stehen lässt.

FAQ

Hat Alibaba Claude gestohlen?
Nicht bewiesen. Anthropic wirft mutmaßlich mit Alibaba verbundenen Akteuren eine große Distillation-Kampagne gegen Claude vor, doch „verbunden mit" bedeutet keine bestätigte Konzernanweisung, und das Schreiben zeigt nicht, dass ein Qwen-Modell die Fähigkeiten von Claude nachgebildet hätte (CNBC).

Was ist ein Distillation-Angriff?
Es bedeutet, die Ausgaben eines Modells ohne Erlaubnis zum Training eines Konkurrenzmodells zu nutzen. Ein kleineres Schülermodell lernt aus den Antworten eines stärkeren Lehrermodells und kopiert dessen Fähigkeit zu einem Bruchteil der Aufbaukosten (Nebius).

Warum können Anbieter das nicht einfach blockieren?
Auf Ebene der Schnittstelle ähnelt Abschöpfungsverkehr fast vollständig legitimer intensiver Nutzung, sodass die einzige harte Sperre die Zugangsverweigerung wäre – was dem Verkauf eben dieses Zugangs widerspricht (gov.uk).

Beeinflusst das, welchen KI-Anbieter ich wählen sollte?
Ja, am Rand. Herkunft sowie die rechtliche und exportkontrollbezogene Angreifbarkeit eines Anbieters sind nun berechtigte Kriterien bei der Anbieterwahl – neben Kosten, Latenz und Leistung (Ars Technica).

Hängt das mit der China-Militärliste des Pentagons zusammen?
Beides gehört zum selben Hintergrund. Das Pentagon nannte Alibaba am 9. Juni 2026 auf seiner Liste nach Abschnitt 1260H – wenige Tage, bevor das Anthropic-Schreiben bekannt wurde (NPR).

Das Fazit

Die Zahl von 28,8 Millionen Interaktionen wird aus den Nachrichten verschwinden. Die strukturelle Lehre sollte es nicht: Wenn der Burggraben eines Spitzenlabors über gewöhnliche Schnittstellen-Anfragen trockengelegt werden kann, erbt jedes Team weiter unten in der Kette eine Herkunftsfrage. Sie müssen nicht klären, wer wen kopiert hat. Sie brauchen eine Architektur, die unabhängig vom Urteil bestehen bleibt – modellunabhängig in der Verdrahtung, herkunftsbewusst in den Entscheidungen. Wer Abstammung und Anbieter-Angreifbarkeit schon jetzt als vorrangige Entwurfsgrößen behandelt, wird den nächsten Nachrichtenzyklus mit Ausliefern verbringen, nicht mit hektischem Anbieterwechsel unter Druck.

Genau diese widerstandsfähige, anbieterneutrale Architektur bauen wir täglich mit unseren Kunden. Wenn Sie einen zweiten Blick darauf möchten, wo Ihr Technologie-Fundament zu eng gekoppelt ist, sprechen Sie mit Context Studios.

Quellen

1. Anthropic wirft Alibaba „dreisten" und „unrechtmäßigen" Versuch vor, KI-Fähigkeiten abzugreifen — CNBC
2. Anthropic: Alibaba habe Trump getrotzt, um Claude anzugreifen — Ars Technica
3. Anthropic: 25.000 gefälschte Konten und 28,8 Mio. Interaktionen — Tom's Hardware
4. Anthropic wirft Alibaba massiven Distillation-Angriff vor — Yahoo/CNBC
5. Distillation-Angriffe erkennen und verhindern — Anthropic
6. AI Insights: Modell-Distillation — britische Regierung
7. KI-Distillation-Angriffe: Exekutive und Kongress können mehr tun — IAPS
8. Knowledge Distillation — Wikipedia
9. Pentagon stuft Alibaba und BYD als Helfer des chinesischen Militärs ein — NPR
10. Alibaba, Baidu, BYD auf der China-Militärliste des Pentagons — CNBC
11. Modell-Distillation, erklärt — Nebius
12. KI-Modell-Distillation-Angriffe erklärt — MindStudio
