Anthropic vừa gửi thư cho Thượng nghị sĩ Mỹ Tim Scott và Elizabeth Warren ngày 10/6/2026, cáo buộc Alibaba và phòng lab Qwen đã chạy “cuộc tấn công chưng cất (distillation attack) lớn nhất từng biết đến Anthropic” — 25.000 tài khoản giả, 28,8 triệu lượt trao đổi với Claude trong 44 ngày liên tục, nhắm trực tiếp vào năng lực reasoning và coding. Vụ việc đặt ra câu hỏi lớn về bảo mật IP trong ngành AI và cách phòng thủ trước các đòn đánh phân tán quy mô lớn.
Distillation Attack Là Gì Và Tại Sao Nó Nguy Hiểm Hơn Bạn Nghĩ?
Distillation attack là kỹ thuật dùng output của một model mạnh (teacher) để train model nhỏ hơn (student). Thay vì tiêu tốn hàng tỷ USD cho GPU và dữ liệu để train từ đầu, kẻ tấn công chỉ cần hỏi Claude hàng chục triệu câu, ghi lại câu trả lời, rồi dùng dataset đó để fine-tune model riêng.
Mình hay so sánh kiểu này: thay vì tự nấu một nồi phở từ xương gà mất 12 tiếng, bạn gọi 28,8 triệu ly phở rồi đổ chung vào một nồi lớn, nêm nếm lại chút là có ngay sản phẩm. Chi phí rẻ hơn gấp nghìn lần, chất lượng lại khá tương đồng nếu hỏi đúng câu.
Điều khiến distillation attack nguy hiểm là nó không cần hack server, không cần bypass mã hóa, không cần đánh cắp hard drive. Kẻ tấn công chỉ cần — hỏi. Và API endpoint thì mở cho bất kỳ ai có tài khoản. Đây là dạng tấn công bất đối xứng: phòng thủ rất khó, tấn công rất dễ.
25.000 Tài Khoản Fake Đã Xuyên Qua Phòng Tuyển Claude Như Thế Nào?
Theo thư Anthropic gửi Thượng nghị viện Mỹ (CNBC xác nhận 24/6/2026), chiến dịch chạy từ 22/4 đến 5/6/2026 — liên tục 44 ngày. Toàn bộ 25.000 tài khoản giả tạo được phân tán, mỗi tài khoản hoạt động trong giới hạn usage bình thường, khiến team monitoring của Anthropic không phát hiện được pattern tổng thể cho đến khi tổng hợp dữ liệu.
Các truy vấn được thiết kế có chủ đích, nhắm vào ba năng lực cốt lõi của Claude:
- Agentic reasoning — cách Claude tự suy luận nhiều bước, tự chia task, tự sửa lỗi
- Software engineering proficiency — khả năng viết code, debug, refactor
- Long-horizon task completion — hoàn thành task phức tạp cần nhiều lượt tương tác
28,8 triệu lượt trao đổi trong 44 ngày nghĩa là trung bình mỗi tài khoản gửi khoảng 1.150 câu hỏi. Nếu bạn tưởng tượng 25.000 người cùng lúc hỏi Claude những câu cực khó về coding và reasoning, đó chính là quy mô của chiến dịch này.
Alibaba Qwen Phản Ứng Thế Nào?
Tính đến thời điểm CNBC công bố báo cáo (24/6/2026), đại diện Alibaba chưa phản hồi. Tuy nhiên, bối cảnh rất quan trọng: Alibaba sở hữu Qwen — dòng model open-weight đang cạnh tranh trực tiếp với Llama (Meta) và DeepSeek trên Hugging Face. Qwen 3 đã đạt kết quả ấn tượng trên nhiều benchmark, và câu hỏi đặt ra là: phần nào trong đó là từ R&D tự nhiên, phần nào là từ distillation?
Anthropic từng phát hiện ba vụ distillation trước đó vào tháng 2/2026 — DeepSeek, Moonshot AI, và MiniMax — với khoảng 24.000 tài khoản giả và 16 triệu exchanges. Vụ Alibaba lớn hơn rõ ràng: nhiều tài khoản hơn, gấp gần đôi số exchanges, thời gian dài hơn.
Tại Sao Rate Limiting Truyền Thống Thất Bại?
Nhiều người hỏi: tại sao Anthropic không giới hạn số câu hỏi? Câu trả lời nằm ở cách tấn công được thiết kế.
Rate limiting hoạt động bằng cách giới hạn số request mỗi user/IP trong một khoảng thời gian. Nhưng khi kẻ tấn công phân tán 28,8 triệu câu hỏi qua 25.000 tài khoản riêng biệt, mỗi tài khoản chỉ gửi trung bình 26 câu/ngày. Con số này nằm hoàn toàn trong ngưỡng “usage bình thường” của một enterprise customer.
Để phát hiện kiểu tấn công này, team security phải phân tích semantics của câu hỏi, không chỉ tần suất. Nghĩa là cần AI để phát hiện AI đang bị tấn công. Đây là bài toán khó vì ranh giới giữa “power user đang dùng nhiều” và “bot đang extract knowledge” rất mỏng.
Anthropic đã đề xuất giải pháp phối hợp giữa government và industry, bao gồm:
- Behavioral analysis ở tầng cloud provider, không chỉ ở tầng API
- Coordination giữa các lab AI để chia sẻ pattern tấn công
- Khung pháp lý rõ ràng để trừng phạt distillation attack ở cấp quốc gia
Bối Cảnh Chính Trị — Khi Cả Anthropic Cũng Đang Bị Chính Phủ Mỹ Kiểm Soát?
Điều mình thấy đáng chú ý nhất là timing. Anthropic cáo buộc Alibaba vào đúng thời điểm chính phủ Mỹ đang kiểm soát chính Anthropic. Ngày 12/6/2026, Commerce Department ra lệnh cấm Anthropic triển khai Mythos 5 và Fable 5 cho bất kỳ ai, viện dẫn “national security authorities.” Hai tuần sau, Mythos 5 được phục hồi một phần cho khoảng 100 tổ chức, nhưng Fable 5 vẫn bị khóa.
Thư cáo buộc Alibaba được gửi 10/6 — chỉ hai ngày trước lệnh cấm. Điều này cho thấy Anthropic đang chơi bài chiến lược: chứng minh mình là nạn nhân của tấn công công nghiệp quy mô lớn từ Trung Quốc, đồng thời là tài sản quốc gia cần được bảo vệ chứ không bị hạn chế.
White House Office of Science and Technology Policy đã ban hành memorandum tháng 4/2026 cam kết giúp các công ty AI phát hiện và phối hợp chống distillation. Anthropic viết trong thư rằng Alibaba đã “bỏ qua cảnh báo của chính quyền Trump.”
Developer Việt Nam Cần Biết Gì?
Mình test nhiều model mỗi tuần và biết nhiều anh em dev Việt Nam đang dùng Qwen, DeepSeek cho project vì rẻ — thậm chí free. Vụ việc này không có nghĩa Qwen hay DeepSeek “đã ăn cắp” toàn bộ, nhưng nó cho thấy rủi ro khi phụ thuộc vào model có nguồn gốc dataset không minh bạch.
Năm điều mình rút ra cho developer Việt Nam:
- Multi-model strategy là bắt buộc — không phụ thuộc vào một model duy nhất, dù là Claude, GPT, hay Qwen. Xem lại bài Microsoft MAI thoát khỏi OpenAI để hiểu xu hướng đa nhà cung cấp.
- Đọc kỹ license — Qwen dùng license Apache 2.0 nhưng nếu dataset training có nguồn từ distillation, tính hợp pháp của output có thể bị ảnh hưởng khi sử dụng cho sản phẩm thương mại.
- Theo dõi export control — chính phủ Mỹ đang siết chặt, có thể ảnh hưởng khả năng truy cập model của dev ngoài Mỹ. Bài GPT-5.6 bị giới hạn cho 20 tổ chức là minh chứng.
- Quantitative data qua benchmark — so sánh Qwen vs Llama vs Mistral trên task thực tế, đừng chỉ tin benchmark chính thức vì có thể bị optimize.
- Nuôi dataset nội bộ — đầu tư thu thập data riêng cho fine-tuning, giảm phụ thuộc vào model open-weight có nguồn gốc không rõ ràng.
Ai Sẽ Là Người Tiếp Theo?
Vụ Alibaba không phải kết thúc. Ba xu hướng mình thấy rõ từ data:
Thứ nhất, chi phí distillation rẻ hơn chi phí training gấp hàng nghìn lần, nên tấn công sẽ tiếp tục tăng. Anthropic đã phát hiện 4 đợt trong 6 tháng — DeepSeek, Moonshot, MiniMax, Alibaba — và khả năng cao còn nhiều đợt chưa bị phát hiện.
Thứ hai, ranh giới giữa “sử dụng hợp lệ” và “distillation attack” sẽ ngày càng mờ. Khi enterprise customer gửi 1 triệu câu hỏi/ngày cho Claude, làm sao phân biệt với việc extract knowledge?
Thứ ba, cuộc đua AI không chỉ diễn ra ở lab nữa. Nó đã trở thành vấn đề an ninh quốc gia. Google giới hạn Meta dùng Gemini vì thiếu GPU, Anthropic bị chính phủ Mỹ kiểm soát, OpenAI bị gating rollout GPT-5.6 — tất cả đều cho thấy ngành AI đang ở giai đoạn thắt cổ chai về cả hạ tầng lẫn governance.
Mình đánh giá vụ này 9/10 về tầm vóc — đây là case đầu tiên trên thế giới mà một công ty AI công khai cáo buộc một quốc gia (thông qua doanh nghiệp nhà nước tư nhân) ăn cắp IP quy mô công nghiệp. Nó thay đổi cách chúng ta nghĩ về bảo mật AI: không phải hack server, chỉ cần hỏi đủ nhiều câu.
Nếu bạn đang dùng Claude API cho sản phẩm, hãy audit usage pattern ngay. Nếu đang dùng Qwen cho production, cân nhắc rủi ro pháp lý khi regulatory landscape thay đổi. Và nếu bạn là người dùng cuối — đừng hoảng, nhưng hãy đa dạng hóa tool stack của mình.
