Ataques de destilación de Anthropic: de qué se acusa a los laboratorios chinos de IA y qué significa
Ataques de destilación de Anthropic: de qué se acusa a los laboratorios chinos de IA y qué significa
TL;DR — Respuesta rápida
10 min de lecturaAnthropic acusó a tres laboratorios chinos de IA - DeepSeek, Moonshot (Kimi) y MiniMax - de ejecutar "ataques de destilación" contra los modelos Claude utilizando 24.000 cuentas fraudulentas y 16 millones de intercambios. Destilar significa usar las salidas de un modelo potente para entrenar uno más débil. Las acusaciones generaron un gran debate en la industria sobre dónde termina el benchmarking legítimo y dónde comienza el entrenamiento ilícito. Para los usuarios de OpenClaw, la diversidad de modelos y el enrutamiento siguen siendo la mejor estrategia independientemente de cómo se resuelva esta situación.
Ataques de destilación de Anthropic se convirtieron en la mayor controversia de IA de febrero de 2026 cuando Anthropic acusó públicamente a tres laboratorios chinos - DeepSeek, Moonshot (creadores de Kimi) y MiniMax - de extraer sistemáticamente capacidades de los modelos Claude para entrenar los suyos propios. El informe afirma que aproximadamente 24.000 cuentas fraudulentas generaron más de 16 millones de intercambios dirigidos a las capacidades más valiosas de Claude: razonamiento agéntico, uso de herramientas y programación.
No es la primera vez que un laboratorio estadounidense acusa a competidores de usar sus salidas para entrenamiento. OpenAI hizo acusaciones similares sobre DeepSeek cuando se lanzó R1 a principios de 2025. Pero el informe de Anthropic es la acusación más detallada y específica hasta la fecha, nombrando laboratorios individuales y publicando cifras exactas.
Conclusión clave: Independientemente de si las acusaciones se sostienen, este debate pone de manifiesto una tensión real en la industria de la IA -- la línea entre la evaluación legítima de modelos y la extracción ilícita de capacidades es difusa, y cada laboratorio la traza de forma diferente.
Ir a: Qué es la destilación | Acusaciones de Anthropic | Las cifras | Por qué Claude es un objetivo | Debate en la industria | Qué significa para los usuarios | FAQ
Qué es la destilación de modelos de IA
La destilación en el contexto de la IA significa extraer las capacidades esenciales de un modelo potente y usar esas salidas para entrenar un modelo más pequeño o más barato para que se comporte de forma similar. El término proviene de la idea de destilar el valor esencial de algo -- separar el oro de la arena.
Así funciona en la práctica:
| Paso | Qué ocurre |
|---|---|
| 1. Generación de consultas | Se envían miles de prompts cuidadosamente diseñados a un modelo frontier |
| 2. Recopilación de salidas | Se recogen las respuestas del modelo, incluyendo las trazas de razonamiento |
| 3. Creación del dataset | Se organizan los pares entrada-salida en datos de entrenamiento |
| 4. Entrenamiento del modelo | Se usan esos datos para ajustar un modelo más pequeño que imite al modelo frontier |
La propia Anthropic reconoce que la destilación puede ser completamente legítima. Los laboratorios la utilizan habitualmente para crear modelos más pequeños y económicos para sus propios clientes. La distinción que hace Anthropic es entre destilación interna (usar las salidas de tu propio modelo) y destilación externa (usar las salidas del modelo de un competidor para entrenar el tuyo).
Importante: La destilación no puede producir un modelo más inteligente que la fuente. Solo puede acercar un modelo más débil al nivel del modelo frontier. Piénsalo como un techo, no como una escalera.
Por qué la destilación se volvió controvertida
El debate sobre la destilación comenzó cuando OpenAI acusó a DeepSeek de usar las salidas del modelo O1 para entrenar DeepSeek R1. O1 fue el primer modelo de razonamiento de OpenAI -- el primero en "pensar" antes de responder, resolviendo problemas paso a paso. OpenAI estaba tan preocupada por que los competidores copiaran esto que ocultó las trazas de razonamiento de O1 a los usuarios por completo.
DeepSeek R1, por el contrario, era de pesos abiertos y mostraba su cadena de razonamiento completa. Esta transparencia hizo que R1 fuera extremadamente popular entre los desarrolladores -- pero no impidió que OpenAI afirmara que sus modelos fueron utilizados en su entrenamiento.
Qué afirma Anthropic
El informe de febrero de 2026 de Anthropic nombra a tres laboratorios chinos de IA y proporciona cifras específicas para cada uno:
| Laboratorio | Conocido por | Intercambios | Capacidades objetivo |
|---|---|---|---|
| DeepSeek | DeepSeek R1, V4 | ~150.000 | Razonamiento, evaluación basada en rúbricas, alternativas sin censura |
| Moonshot | Modelos Kimi | ~3,4 millones | Visión por computador, uso de computador, uso de herramientas |
| MiniMax | Modelos MiniMax | ~13 millones | Programación agéntica, uso de herramientas, orquestación |
El total entre todas las campañas: aproximadamente 16 millones de intercambios a través de unas 24.000 cuentas que Anthropic describe como fraudulentas.
Métodos de detección
Anthropic afirma una atribución de alta confianza mediante:
- Correlación de direcciones IP -- vinculando cuentas a infraestructura conocida de los laboratorios
- Metadatos de solicitudes -- patrones en el uso de la API que coinciden con el comportamiento de los laboratorios
- Indicadores de infraestructura -- arquitecturas compartidas de proxy y clústeres
- Corroboración de la industria -- otras empresas observando a los mismos actores
El problema de los proxies
Anthropic también describe servicios comerciales de proxy que revenden acceso a Claude a gran escala, particularmente a usuarios en China donde los modelos de Anthropic no están disponibles directamente. Un proxy supuestamente gestionaba más de 20.000 cuentas simultáneamente, mezclando lo que Anthropic denomina tráfico de destilación con solicitudes regulares de clientes para evitar la detección.
Esta parte del informe cuenta con la evidencia de respaldo más sólida. Múltiples fuentes independientes confirman que los servicios de proxy chinos que ofrecen acceso a Claude con descuento llevan meses operando. Estos servicios utilizan arquitecturas de cuentas distribuidas para repartir el tráfico entre muchas cuentas y direcciones IP.
ClawOneClick
Empezar gratis
Cualquier modelo de IA
4+ canales
Skills personalizados
Las cifras en contexto
Las cifras publicadas por Anthropic merecen ser examinadas. Para entender si 16 millones de intercambios representan una operación masiva de extracción o un uso rutinario, el contexto importa.
Qué cuenta como un "intercambio"
Un intercambio no es lo mismo que un mensaje de usuario. Cada vez que un modelo responde -- incluyendo llamadas a herramientas, resultados de búsqueda y operaciones de agentes multi-paso -- eso cuenta como un intercambio separado. Una sola solicitud de un usuario a un agente de programación puede generar fácilmente entre 10 y 50 intercambios mientras el modelo lee archivos, busca código y realiza ediciones.
| Escenario | Acciones del usuario | Intercambios reales |
|---|---|---|
| Pregunta simple en chat | 1 mensaje | 1 intercambio |
| Chat con búsqueda web | 1 mensaje | 3-4 intercambios |
| Tarea de agente de programación | 1 prompt | 10-50 intercambios |
| Tarea de investigación profunda | 1 solicitud | 30-100 intercambios |
Comparación de escala
Para tener perspectiva, incluso una aplicación de IA moderadamente popular puede generar millones de intercambios al mes. Una plataforma de chat con tráfico modesto puede procesar fácilmente entre 100.000 y 160.000 intercambios al día. Eso significa que toda la supuesta campaña de DeepSeek de 150.000 intercambios es comparable a un solo día de tráfico de una aplicación de chat de IA de tamaño medio.
Para pruebas de benchmark específicamente, ejecutar un benchmark estándar como SWE-Bench (2.294 tareas de programación) con un promedio de 50 llamadas a herramientas por tarea genera aproximadamente 115.000 intercambios en una sola ejecución. Unas pocas rondas de ajuste de benchmark podrían producir fácilmente 150.000 intercambios.
Contexto de MiniMax
MiniMax operaba un producto agéntico orientado al consumidor que ofrecía múltiples modelos de IA como opciones, incluyendo Claude. Un producto con usuarios activos realizando investigación profunda y tareas agénticas podría generar 13 millones de intercambios a través del uso comercial normal. El informe de Anthropic señala que detectaron la campaña antes de que MiniMax lanzara un nuevo modelo, y que MiniMax redirigió el tráfico a nuevas versiones de Claude en un plazo de 24 horas -- pero este comportamiento también coincide con patrones normales de uso de producto donde los usuarios migran al último modelo disponible.
Por qué los modelos Claude son un objetivo único
Hay un detalle técnico que hace que los modelos de Anthropic sean especialmente valiosos para la destilación en comparación con otros laboratorios frontier:
| Laboratorio | Trazas de razonamiento | Implicación |
|---|---|---|
| OpenAI | Ocultas/ofuscadas | No se pueden ver los pasos de razonamiento reales |
| Resumidas por un modelo separado | El razonamiento está parafraseado, no es original | |
| xAI | Ofuscadas | Enfoque similar al de OpenAI |
| Anthropic | Totalmente visibles | Cadena de razonamiento completa disponible |
Anthropic es el único laboratorio importante que no oculta ni ofusca las trazas de razonamiento de sus modelos. Cuando Claude piensa en un problema, puedes ver cada paso del proceso de razonamiento. Esta fue una decisión deliberada pensada para los desarrolladores -- les ayuda a depurar prompts, dirigir el comportamiento del modelo y entender por qué el modelo tomó decisiones específicas.
Pero también significa que las salidas de Claude contienen más datos valiosos para el entrenamiento que cualquier otro modelo frontier. Si tienes la cadena de razonamiento completa (no solo la respuesta final), esos datos son significativamente más útiles para entrenar a otro modelo a razonar de forma similar.
El debate en la industria
La respuesta de la comunidad de IA al informe de Anthropic ha estado profundamente dividida.
La visión escéptica
Los críticos señalan varios problemas:
- Las cifras son pequeñas. 150.000 intercambios para DeepSeek es algo trivialmente alcanzable mediante benchmarking y evaluación normales
- Existen casos de uso legítimos. MiniMax tenía un producto que usaba Claude comercialmente. Moonshot y DeepSeek necesitan hacer benchmark contra los competidores
- Patrón de acusaciones. Anthropic ha hecho anteriormente acusaciones similares contra WindSurf, xAI y OpenAI -- acusaciones que fueron disputadas o no verificadas
- Evidencia vaga. El "prompt de ejemplo" publicado se corresponde estrechamente con prompts estándar de investigación y análisis utilizados en productos comerciales
- Sin verificación de terceros. Anthropic no ha compartido evidencia bruta con auditores independientes
La visión favorable
Los defensores de la posición de Anthropic argumentan:
- La escala y la coordinación importan. Incluso si los intercambios individuales son benignos, campañas coordinadas a través de miles de cuentas sugieren una intención más allá del uso normal
- Los términos de servicio son claros. Usar las salidas de un modelo para entrenar modelos competidores viola los ToS de Anthropic independientemente del volumen
- La infraestructura de proxy es real. La operación de reventa a través de proxies está confirmada de forma independiente por múltiples fuentes
- Marco de seguridad nacional. Los modelos entrenados mediante destilación pueden carecer de las protecciones de seguridad presentes en el original
La cuestión de los pesos abiertos
El informe de Anthropic incluye una afirmación controvertida: si los modelos destilados se publican como código abierto, los riesgos se multiplican porque las capacidades se extienden más allá del control de cualquier gobierno individual. Muchos han interpretado esto como un impulso contra los modelos de IA de pesos abiertos -- una posición notable dado que Anthropic es el único laboratorio importante que no ha publicado ningún modelo de pesos abiertos. OpenAI lanzó GPT-4o mini, Google tiene la serie Gemma, Meta tiene Llama, y todos los laboratorios chinos importantes publican modelos de pesos abiertos regularmente.
El panorama general -- dónde está el límite
El debate sobre la destilación plantea preguntas fundamentales sobre datos, entrenamiento y competencia en la IA:
| Pregunta | Por qué importa |
|---|---|
| ¿Entrenar con código generado por Claude en repositorios públicos de GitHub es destilación? | Existen cantidades masivas de código escrito por Claude en repositorios públicos |
| ¿Compartir salidas de Claude en internet es una violación? | Cualquier conversación pública con Claude podría convertirse en datos de entrenamiento |
| ¿Dónde termina el benchmarking y dónde comienza la destilación? | Los laboratorios necesitan evaluar a los competidores para mejorar sus propios modelos |
| ¿Cuánta abstracción hace que los datos sean "limpios"? | ¿En qué punto una salida de modelo deja de ser atribuible? |
Estas preguntas aún no tienen respuestas claras, y la industria carece de estándares consensuados. Cada laboratorio traza el límite de forma diferente -- a menudo de maneras que benefician su propia posición competitiva.
Qué significa para los usuarios de IA y OpenClaw
Independientemente de si las acusaciones específicas de Anthropic son precisas, esta situación pone de relieve por qué la diversidad de modelos importa:
ClawOneClick
Empezar gratis
Cualquier modelo de IA
4+ canales
Skills personalizados
- El acceso a la API no está garantizado. Los laboratorios pueden y de hecho prohíben el acceso a competidores, regiones e incluso empresas individuales
- Los términos de servicio cambian. Lo que está permitido hoy puede no estarlo mañana
- El enrutamiento de modelos es estratégico. Distribuir las cargas de trabajo entre múltiples modelos reduce la dependencia de un solo proveedor
- Los modelos de pesos abiertos son un seguro. Los modelos que puedes ejecutar localmente no pueden ser revocados
Para los usuarios de OpenClaw, la mejor estrategia sigue siendo la misma: configurar el enrutamiento de modelos para usar el mejor modelo para cada tarea manteniendo alternativas de respaldo. Si un proveedor restringe el acceso o cambia sus condiciones, tus flujos de trabajo continúan con modelos alternativos.
Recomendaciones prácticas
| Acción | Por qué |
|---|---|
| Usa enrutamiento de modelos entre proveedores | Reduce la dependencia de un solo proveedor |
| Mantén modelos de pesos abiertos como respaldo | No pueden ser revocados ni restringidos |
| Monitoriza los términos de servicio de los proveedores | Las políticas cambian frecuentemente en 2026 |
| Diversifica entre modelos de EE. UU., UE y China | Los riesgos de políticas geográficas afectan la disponibilidad |
Preguntas frecuentes
¿Qué es un ataque de destilación en IA?
Un ataque de destilación, según la definición de Anthropic, es cuando un competidor consulta sistemáticamente un modelo de IA frontier para recopilar salidas y usa esos datos para entrenar sus propios modelos. El término fue acuñado por Anthropic para este informe. La destilación tradicional es una técnica estándar de aprendizaje automático utilizada por todos los laboratorios importantes para crear modelos más pequeños a partir de otros más grandes.
¿DeepSeek robó a Anthropic?
Anthropic afirma que DeepSeek realizó aproximadamente 150.000 intercambios dirigidos a capacidades de razonamiento. DeepSeek no ha respondido públicamente. La evidencia no ha sido verificada de forma independiente, y los críticos señalan que el volumen es consistente con una actividad normal de benchmarking.
¿Por qué esto importa para los usuarios de modelos de IA?
Este debate podría llevar a políticas de acceso a API más estrictas, bloqueos de cuentas más agresivos y posibles acciones regulatorias. Destaca la importancia de no depender de un solo proveedor de IA y mantener acceso a múltiples modelos, incluyendo alternativas de pesos abiertos.
¿Están en riesgo los modelos de IA de pesos abiertos?
El informe de Anthropic sugiere que los modelos destilados de código abierto multiplican los riesgos de seguridad. Esta posición es controvertida. Los modelos de pesos abiertos de Meta (Llama), Google (Gemma), Alibaba (Qwen) y DeepSeek siguen estando ampliamente disponibles y son un pilar del ecosistema de IA para desarrolladores e investigadores.
¿Cuál es la diferencia entre destilación y benchmarking?
El benchmarking implica ejecutar pruebas estandarizadas contra un modelo para medir su rendimiento. La destilación implica recopilar las salidas de un modelo para usarlas como datos de entrenamiento. La línea entre ambos es difusa -- los dos requieren enviar muchas consultas y recopilar respuestas. La intención y la escala son lo que Anthropic utiliza para distinguirlos.
¿Cómo afecta esto a los usuarios de OpenClaw?
OpenClaw soporta múltiples modelos de IA de diferentes proveedores. Si algún proveedor restringe el acceso o cambia sus políticas, los usuarios pueden dirigir las tareas a modelos alternativos. Esta situación refuerza el valor de los frameworks de agentes agnósticos en cuanto a modelos.
Conclusión
El informe de destilación de Anthropic es la acusación pública más detallada de extracción de modelos entre laboratorios hasta la fecha. Independientemente de si las afirmaciones están completamente fundamentadas o tienen una motivación estratégica, ponen de relieve tensiones reales en la industria de la IA en torno a datos, competencia y los límites del uso legítimo. La infraestructura de reventa mediante proxies parece genuina, pero la atribución a laboratorios específicos sigue sin ser verificada por terceros.
Para los usuarios y constructores de IA, la conclusión es clara: diversifica tu acceso a modelos, mantén alternativas de pesos abiertos como respaldo y no construyas flujos de trabajo críticos sobre un solo proveedor.
Configura el enrutamiento de modelos en OpenClaw -- mantente resiliente sin importar cómo cambie el panorama de la IA. Amplía tu agente con los ClawHub top skills 2026 — los ClawHub popular skills de la OpenClaw ClawHub skills list mantienen tus flujos de trabajo funcionando independientemente de qué modelos estén disponibles.
Fuentes: Informe Oficial de Anthropic (febrero 2026), análisis de la industria, LM Council, discusión comunitaria (febrero 2026).
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
ClawOneClick
Despliega tu asistente de IA en minutos
Elige tu modelo, conecta tu canal y empieza con ClawOneClick.
Cualquier modelo de IA
4+ canales
Skills personalizados
Artículos relacionados
Últimos modelos de IA febrero 2026: GPT-5 vs Claude vs Gemini vs Grok
Avalancha de modelos de IA en febrero 2026: GPT-5.3, Claude Opus 4.6, Gemini 3.1 Pro, Grok 4.20 comparados. Benchmarks, precios, mejores casos de uso. Sigue las novedades en clawoneclick.com.
OpenClaw OpenAI Acqui-Hire: Peter Steinberger construirá agentes de IA
OpenAI acqui-hire al creador de OpenClaw Peter Steinberger para liderar agentes de IA personales. OpenClaw se convierte en fundación open-source.
Como elegir el modelo de IA adecuado para tu asistente: Guia 2026
Descubre el mejor modelo de IA para asistentes en 2026. Comparativa de modelos de IA Grok vs Claude vs GPT: benchmarks, costos, velocidad, ventana de contexto. Como elegir el modelo de IA para chatbot asistente con selecciones basadas en datos.