AI蒸馏战争：当模型成为军火，10万次攻击只是开始

当你在读这篇文章时，某个国家的黑客可能正在用第100,001条提示词试图克隆Google的Gemini。

这不是科幻小说。这是2026年2月正在发生的AI战争。

两起事件，同一个战场

过去48小时，两起看似独立的事件同时登上头条——但把它们放在一起，你会看到AI行业最不愿面对的新现实。

事件一：OpenAI的国会备忘录

2月12日，OpenAI向美国众议院中美战略竞争特别委员会提交了一份措辞强硬的备忘录。核心指控只有一句话：

"DeepSeek正在持续利用OpenAI及其他美国前沿实验室开发的能力，进行搭便车行为。"

OpenAI指控DeepSeek员工通过"混淆的第三方路由器"绕过访问限制，用程序化的方式获取GPT输出用于模型蒸馏。据路透社看到的备忘录，OpenAI称他们观察到DeepSeek员工"开发代码以访问美国AI模型并获取输出用于蒸馏"。

事件二：Google的10万次攻击

同一天，Google发布了一份《威胁追踪报告》，披露了一个令人咋舌的数字：

超过100,000条AI提示被用于试图克隆Gemini模型。

攻击者来自朝鲜、俄罗斯和中国。他们使用的技术有一个专业术语：模型提取攻击（Model Extraction Attacks）。Google将其定性为"蒸馏攻击"——通过系统化地向成熟模型发送提示，提取信息用于训练新模型。

Google威胁情报组首席分析师John Hultquist对NBC新闻表示："我们可能是首批面临这类盗窃企图的公司之一，但还会有更多。我们将成为煤矿中的金丝雀。"

什么是蒸馏？为什么它成了战场？

模型蒸馏（Distillation）本是AI领域的标准技术。简单说：

1. 你有一个强大的"教师模型"（比如GPT-4）
2. 你想训练一个更小、更快的"学生模型"
3. 你让教师模型评估学生模型的输出质量，传递知识

在学术界，这是合法且普遍的做法。但在商业AI的战场上，未经许可的蒸馏等同于窃取知识产权。

DeepSeek去年初震惊市场时，硅谷高管们曾公开称赞DeepSeek-V3和DeepSeek-R1的性能。但私下里，OpenAI已经开始调查。据The Verge报道，OpenAI发现DeepSeek可能使用了与Google现在报告类似的蒸馏技术。

争议的核心在于：蒸馏的边界在哪里？

• 用公开API进行大量查询是否违法？
• 使用模型输出来训练竞争对手的产品是否构成窃取？
• 国家级的模型提取攻击是否属于网络战行为？

这些问题没有现成答案，因为法律跟不上技术的速度。

为什么是现在？

三个因素同时爆发：

第一，模型能力首次成为战略资产。

美国出口管制限制了高端AI芯片流向中国，但蒸馏攻击绕过了硬件封锁。如果可以通过API调用来"偷走"模型能力，禁运的效果就会大打折扣。

第二，AI竞赛进入白热化。

DeepSeek证明了非美国公司也能开发出顶尖模型。这对硅谷是警钟——不仅要面对中国的追赶，还要防范模型被"蒸馏"成竞争对手的武器。

第三，攻击规模化。

Google报告的10万次提示攻击不是人工操作，是自动化程序。国家行为者有资源、有耐心、有动机进行长期的数据收集。这对商业AI公司来说是一个全新的威胁模型。

谁是真正的输家？

短期看，API经济可能受损。

如果模型蒸馏成为常态，OpenAI、Google、Anthropic可能会收紧API访问——限制查询频率、增加验证机制、甚至提高价格。这将影响所有依赖大模型API的创业公司。

中期看，开源运动受冲击。

蒸馏争议可能促使公司减少开放模型的发布。如果开源模型被竞争对手蒸馏后商业化，谁还愿意分享？

长期看，全球AI治理更复杂。

当模型成为国家级机密，国际合作就更难了。OpenAI的备忘录明确将问题框定为"中美战略竞争"的一部分。AI技术标准、安全研究、甚至学术交流都可能受到影响。

我们能做什么？

对于AI公司：

Google在报告中提到了几个防御方向：异常检测（识别高频率、模式化的查询）、输出混淆（在响应中添加噪音以干扰蒸馏）、法律威慑（明确服务条款禁止蒸馏用途）。但技术防御永远无法完全阻止有资源的国家行为者。

对于政策制定者：

OpenAI在备忘录中呼吁"保护美国AI领先地位"，但具体措施尚未明确。出口管制针对硬件，蒸馏攻击针对软件。新政策可能需要重新定义"AI技术出口"的范围。

对于普通用户：

好消息是，Google明确表示蒸馏攻击不会威胁用户数据——目标是模型本身，不是个人信息。但长期来看，如果API成本上升或访问受限，普通用户可能会感受到涟漪效应。

未完的剧情

截至发稿，DeepSeek及其母公司幻方量化尚未对路透社的置评请求作出回应。

但这场战争的轮廓已经清晰：模型的权重正在成为21世纪的战略资源，而蒸馏攻击就是新形式的间谍活动。

10万次提示攻击只是开始。Google知道，OpenAI知道，DeepSeek也知道——真正的较量才刚刚开始。

---

参考资料：

• Google Threat Tracker Report on Distillation Attacks
• Reuters: OpenAI accuses DeepSeek of distilling US models
• CNET: Hackers Are Trying to Copy Gemini via Thousands of AI Prompts
• NBC News: Google says attackers used 100,000+ prompts to try to clone AI chatbot Gemini