ミシュラン三つ星レストランの厨房に、何十個もの隠しカメラを仕掛けて、半年間ずっとレシピを盗み撮りしている。

これが、Anthropicがアリババに対して告発した「史上最大の蒸留攻撃」の本質です。

2026年6月、Anthropicのポリシー責任者サラ・ヘック氏は米上院に書簡を送付しました。「6週間で、2,880万回のやり取りが盗まれた」。

ただ――この事件を3ステップで解剖していくと、実は私たちビジネスパーソンの「学び方」とまったく同じ構造であることが見えてきます。怒っているだけではもったいない、ここには意外な学びが眠っています。

「ミシュラン三つ星の厨房に盗聴器」レベルの事件が起きている

想像してみてください。

世界で最も予約が取れない三つ星レストランがあるとします。その厨房に、ある競合チェーンが隠しカメラと盗聴器を何十個も仕掛けて、半年間ずっとシェフの手元・会話・レシピを丸ごと録画録音し続けた。

「たまに食事に行って味を研究する」のは料理人として健全な学びです。でも、組織的に機器を仕掛け、厨房のノウハウを丸ごと持ち帰って自分の店のメニューにしたら、それは研究ではなく産業スパイですよね。

これとほぼ同じことが、いまAIの世界で起きています。

2026年6月、Anthropicのポリシーリードであるサラ・ヘック氏が、米上院に1通の書簡を送りました。アリババ系列のAI研究所「Qwen Lab」が、約25,000件の偽アカウントを使って、わずか6週間でClaudeに対して2,880万回以上のやり取りを生成した、というものです。

これは、Anthropicが2026年2月に告発したDeepSeek・Moonshot AI・MiniMaxの「3社合計1,600万件」を、単独で1.8倍の規模で実行したという数字。Anthropicは「当社史上、最大規模の蒸留攻撃」と断言しています。

そしてこの問題、単なる企業間の喧嘩ではありません。米国の対中AI戦略の根幹だった「高性能GPUの輸出規制」を、根本から無効化しかねない構造を持っているのです。

蒸留攻撃とは何か――3ステップで解剖する

「蒸留（Distillation）」という言葉自体は、もともと機械学習の正当な技術です。賢い大きなモデル（教師）の出力をデータにして、小さなモデル（生徒）を効率よく育てる。スマホ向けの軽量モデル開発などで広く使われています。

問題は、他社の高コストモデルに対して無断でこれをやる場合。Anthropicが公開した防衛レポートを読むと、攻撃者の手口は3つのステップに分解できます。

ステップ1：能力を引き出す「精密プロンプト」を大量投入する

攻撃者はまず、Claudeから特定の能力を引き出すように設計された質問を、何千、何万パターンと送り込みます。

たとえばAnthropicがレポートに掲載した実例プロンプトはこんな感じです。

「You are an expert data analyst combining statistical rigor with deep domain knowledge. Your goal is to deliver data-driven insights — not summaries or visualizations — grounded in real data…（あなたは統計の厳密さと深いドメイン知識を兼ね備えた一流のデータアナリストです。要約や可視化ではなく、データに基づく洞察を届けることが目的です…）」

1件だけ見れば、ごく普通の質問にしか見えません。しかし同じ構造のプロンプトが数万バリエーション、数百の偽アカウントから一気に届くと話は別。「データ分析推論能力を体系的に抽出している」と検知できる、というのがAnthropicの説明です。

特に狙われたのは3つの能力。エージェント的な推論、ソフトウェアエンジニアリング、長期タスクの自律実行。Claudeの「最も高価値なコア」をピンポイントで撃ち抜きにきた、という構図です。

ステップ2：プロンプトと回答をペアにして数千万件保存する

集めた回答は、次のようなJSON形式で蓄積されます。

“`
{“prompt”: “量子もつれを分かりやすく説明して”,
“completion”: “量子もつれとは、2つの粒子が結びつき、
どちらか一方を観測すると、どんなに離れていても
もう一方に瞬時に影響が出る現象です…”}

{“prompt”: “Pythonで連結リストを逆順にする関数を書いて”,
“completion”: “def reverse_linked_list(head):
prev = None; current = head; while current:…”}
“`

入力と出力のペアが数千万件集まれば、それはもう世界最高峰の教師データセットそのもの。Claudeが何年もかけて磨いた「アライメント」「安全性」「推論の質」が、API利用料と引き換えに丸ごとパッケージ化されていきます。

特に巧妙だったのがDeepSeekの手口だとAnthropicは指摘します。「この回答に至った内部推論プロセスを書き出して」と指示し、Claude自身に思考プロセスを言語化させていた。学習用データとして最も貴重なChain-of-Thought（思考の連鎖）データを、安価に大量製造していたわけです。

ステップ3：そのデータで自社モデルを「ファインチューニング」する

最後のステップは、集めたペアデータで自社の比較的弱いモデルを教師あり微調整（SFT）にかけること。生徒モデルは「Claudeがどう推論し、どう文章を組み立て、どこで断るか」をそっくり学習します。

ここでAnthropicが本気で警鐘を鳴らしているのは、安全装置だけが置き去りになる点です。Claudeの能力は引き継ぐが、Claudeが何年もかけて作り込んだ「危険な要求に対するアライメント」は、出力データには十分に含まれない。結果として、コア能力だけ高くて、ブレーキが緩い生徒モデルが完成してしまう。

これが国家安全保障上のリスクとして扱われている本当の理由です。

チップ規制を無効化する「APIの抜け穴」

ここまでが攻撃の中身。では、なぜ米国政府がここまで本気になっているのか。

アメリカの対中AI戦略は、高性能GPUの輸出規制を軸に組み立てられてきました。「HBMチップを渡さなければ、中国は同等のAIを開発できない」という前提です。

ところが蒸留攻撃は、この前提をひっくり返します。

APIにアクセスできれば、チップは要らなくなる。フロンティアモデルの能力は、大量の対話を集めれば抽出・複製できてしまうからです。Anthropicが書簡で書いた表現は強烈でした。「蒸留攻撃は、数千億ドルに及ぶ米国の投資とR&Dを、地政学的競合国への巨大な補助金に変えている」。

これを受けて、トランプ政権は2026年4月、大規模蒸留攻撃の検知・防衛で政府と産業界が連携するメモを発表済み。Anthropicはアリババがその警告を「無視した」と書簡で明記しています。さらに国防総省は、アリババをBYDやバイドゥなどと並ぶ「中国軍との関係が疑われる企業リスト」に既に加えている。企業間の利用規約違反ではなく、国家安全保障の脅威として扱われているわけです。

ここからが本題――この話、私たちの「学び方」と同じ構造です

ここまで聞くと、「アリババひどい」「規制すべき」で話を終わらせたくなります。でも、ちょっと立ち止まりたいのです。

蒸留攻撃の3ステップを、人間の学習に置き換えると、不思議なほどきれいに対応します。

ステップ1の「精密に設計されたプロンプトを大量投入」は、人間で言えば一流のメンターや書籍に深い問いを立てること。
ステップ2の「プロンプト＋回答ペアを保存」は、「なぜこう考えるのか」を言語化してメモに残すこと。
ステップ3の「そのデータで自分を学習させる」は、自分の思考パターンとして内面化すること。

つまり蒸留攻撃の本質は、「良い問い」と「良い答え」のペアを大量に集め、それを自分の血肉にするという、私たちが昔から「弟子入り」と呼んできたものとほぼ同じ構造なのです。

問題になっているのは、規模と無断性であって、行為そのものは人間が師匠から学ぶときに毎日やっていることと同じ。だから怒っているだけではもったいない。ここから引き出せる学びがあります。

「上流の問い」を持つ人だけが、深く学べる

Anthropicが蒸留攻撃を検知できた決定的な理由のひとつは、「プロンプトの設計が、明らかに素人ではなかった」ことだそうです。攻撃者は、Claudeから能力を引き出すための問い方を事前に精密設計していた。

これをビジネスパーソンに置き換えると、こうなります。

浅い学習者は「ChatGPTって何ですか？」と聞く。
深い学習者は「このアウトプットに至った推論プロセスを逆算して教えて」「その判断の前提を別角度から壊してみて」と聞く。

DeepSeekがClaudeに対してやっていたのは、まさに後者です。Claude自身に思考プロセスを言語化させることで、最も学習価値の高いデータを取り出していた。

これは、優秀なコンサルタントが先輩から学ぶときのやり方とまったく同じです。「なぜそう判断したのか」「他にどんな選択肢を捨てたのか」「もし条件が変わったらどう動くか」――こうした思考プロセスを解体する問いを持っている人だけが、表面の知識ではなく判断軸そのものを盗める。

守破離――AIから「離」へ進むために

もうひとつ、武道の世界に「守破離（しゅはり）」という言葉があります。

師匠の型を忠実に守る「守」、自分なりにアレンジを加える「破」、最後に型を離れて自分のスタイルを確立する「離」。

蒸留攻撃の問題は、これで言うと「守だけを大規模にやって、破と離をすっ飛ばそうとしている」点にあると言えます。Claudeの出力をそのままコピーして自社モデルに突っ込めば、形は真似できる。でも、Claudeが何年もかけて作り込んだ「なぜそう答えないか」「どこで断るか」「どう自己修正するか」といった判断軸は、外側の出力だけ眺めても理解できません。

人間の学習も同じです。一流のアウトプットを真似るだけでは「守」止まり。そのアウトプットに至った思考の制約条件・前提・捨てた選択肢まで言語化して内面化することで、初めて「破」に進める。

AIに「良い問い」を投げ、返ってきた回答に対してさらに「その前提を壊してみて」と問い返す。このループを回せる人は、AIの出力を借り物ではなく、自分の判断軸として育てていける。逆にこれを怠ると、いつまで経っても「ChatGPTがこう言ってました」止まりになります。

いま私たちが選び取れること

アリババの件は、技術と地政学が交差する複雑な事件です。Anthropicの告発が法廷で立証されるかはまだ未定ですし、業界の構造そのものを揺るがす問題でもあります。

けれど、ニュースを見ながら私たち一人ひとりが自分の学び方を見直す視点は、ここから引き出せます。

問いの設計力こそが、AIから引き出せる学びの上限を決める。
答えを写すだけではなく、判断軸まで取りに行く。
型を守り、破り、最後は離れる――その自覚を持って使う。

蒸留攻撃のニュースを「対岸の火事」ではなく、自分の学び方を磨くきっかけとして受け取れたら、このニュースはむしろビジネスパーソンにとって価値のある教材になります。

怒るより、観察する。観察して、自分の型に取り入れる。

それが、AI時代の「弟子入り」の作法だと、私は思います。

---

YouTube『いけともch』：https://www.youtube.com/@iketomoch

Podcast『いけとも尾原DeepなAIニュース』：https://open.spotify.com/show/3hGAbKZI5oo9PsbFI1IxTr

■合わせて読みたい

■関連記事