IA : qu’est-ce que l’« adversarial distillation » que ANTHROPIC reproche à ALIBABA ?
📩 Pour nous contacter: redaction@fw.media
L’intelligence artificielle entre dans une nouvelle phase de son affrontement géopolitique. Après la bataille des semi-conducteurs, des centres de données et des puces de dernière génération, c’est désormais l’exploitation des modèles eux-mêmes qui concentre les tensions.
Selon Bloomberg, dans un courrier Anthropic affirme qu’Alibaba aurait orchestré, entre avril et juin 2026, une campagne reposant sur près de 25 000 comptes frauduleux afin de générer 28,8 millions d’interactions avec Claude. Selon la société américaine, l’objectif n’était pas d’utiliser son assistant conversationnel, mais d’en extraire méthodiquement les capacités afin d’entraîner des modèles concurrents. Dans une lettre adressée à plusieurs sénateurs américains et à la Maison-Blanche, Anthropic qualifie cette opération de campagne de « distillation adversariale » menée à l’échelle industrielle.
Une technique ancienne devenue un sujet de sécurité nationale
La distillation n’a rien d’illégal en elle-même. Depuis plusieurs années, elle constitue l’une des techniques classiques du machine learning.
Son principe est simple. Un modèle de grande taille, appelé « teacher », sert à entraîner un second modèle, plus compact, le « student ». Celui-ci apprend à reproduire le comportement de son enseignant tout en nécessitant beaucoup moins de mémoire, de puissance de calcul et de coûts d’inférence. Cette approche est utilisée dans l’ensemble de l’industrie pour déployer des modèles sur des smartphones, des équipements embarqués ou des infrastructures moins coûteuses.
Dans ce cadre, la distillation représente un outil d’optimisation parfaitement légitime. L’« adversarial distillation » repose sur une logique radicalement différente.
Le laboratoire qui souhaite entraîner son modèle n’utilise plus son propre système comme enseignant. Il interroge massivement le modèle d’un concurrent, collecte ses réponses, les structure puis les réinjecte dans son propre processus d’entraînement.
Dans le cas d’espèce, Claude deviendrait malgré lui le professeur d’un modèle concurrent.
Cette distinction est essentielle, car ce que dénonce Anthropic n’est pas la technique de distillation elle-même, mais son utilisation sans autorisation contre un modèle propriétaire afin de reproduire une partie de ses capacités.
Reproduire des années de recherche pour une fraction du coût
L’économie des modèles frontier explique la virulence de la réaction d’Anthropic.
Développer un modèle comme Claude nécessite plusieurs milliards d’euros d’investissements. Les laboratoires mobilisent des centaines de milliers de GPU, des infrastructures de calcul parmi les plus puissantes au monde et plusieurs mois d’entraînement continu. À ces coûts s’ajoutent les dépenses liées aux jeux de données, à l’alignement, aux évaluations de sécurité et aux équipes de recherche.
La distillation promet de réduire considérablement cette facture.
En interrogeant un modèle existant sur des millions de cas, un acteur peut récupérer des schémas de raisonnement, des stratégies de résolution de problèmes, des préférences d’alignement ou encore des comportements spécialisés dans des domaines comme la programmation ou les agents autonomes. Il ne copie pas directement les poids du modèle, mais cherche à reproduire son comportement observable.
Pour les laboratoires américains, cette approche revient à capturer une partie de la valeur créée lors de l’entraînement sans avoir à supporter les mêmes investissements. Une asymétrie économique qui nourrit les inquiétudes de l’industrie.
Pourquoi Anthropic parle d’une opération industrielle
Les chiffres avancés par Anthropic illustrent un changement d’échelle. L’entreprise évoquerait près de 25 000 comptes frauduleux ayant généré 28,8 millions de conversations en l’espace de trois mois. Selon elle, les requêtes ciblaient principalement les capacités les plus avancées de Claude, notamment le développement logiciel et le raisonnement agentique.
Cette description s’éloigne d’un simple usage abusif d’une API. Anthropic décrit une infrastructure automatisée capable de contourner les limitations de comptes, de répartir les requêtes sur un grand nombre d’identités et de collecter systématiquement les réponses du modèle. Le vocabulaire employé « industrial scale » rapproche ces pratiques des campagnes de cyberespionnage ou des opérations massives de collecte de données.
Le Sénateur républicain du Tennesee, Bill Hagerty et le démocrate du New Jersey, Andy Kim prévoyent de présenter un amendement visant à sanctionner les sociétés ayant de telles pratiques.
Où s’arrête l’apprentissage, où commence la copie ?
L’affaire soulève cependant une question juridique encore largement ouverte. Tous les laboratoires évaluent les modèles de leurs concurrents. Les benchmarks publics, les comparaisons de performances ou les analyses des réponses constituent des pratiques courantes dans la recherche en intelligence artificielle.
La difficulté consiste à définir le moment où une démarche d’évaluation devient une tentative de reproduction industrielle. Le nombre de requêtes ? Leur automatisation ? L’objectif poursuivi ? Les données ainsi constituées ?
Aucun cadre juridique ne répond aujourd’hui clairement à ces interrogations, et cette zone grise explique pourquoi Anthropic cherche à déplacer le débat du terrain contractuel vers celui de la sécurité nationale. Si la distillation est présentée comme une menace stratégique plutôt que comme une simple violation des conditions d’utilisation d’une API, elle ouvre la voie à des sanctions économiques et à une intervention des pouvoirs publics.
Une nouvelle frontière pour la cybersécurité
Les conséquences seront également techniques. Les laboratoires ne pourront probablement pas empêcher totalement la distillation. En revanche, ils chercheront à la rendre plus difficile, plus coûteuse et plus facilement détectable.
Cela ouvre un nouveau champ pour la cybersécurité appliquée à l’intelligence artificielle.
Détection comportementale des utilisateurs, limitation dynamique des requêtes, empreintes numériques des réponses, partage de renseignements entre laboratoires ou encore mécanismes de watermarking constituent autant de pistes déjà explorées par les grands acteurs américains.
À mesure que les modèles gagnent en valeur, leurs API deviennent elles aussi des infrastructures critiques.
