AI圈的“内战”，终究还是打响了。2026年2月，Anthropic的一纸报告，将三家中国AI公司推上风口浪尖，指控其通过“蒸馏攻击”非法窃取Claude模型能力[1]。这起事件如同一道惊雷，炸开了AI前沿竞争的遮羞布，也把一个极具挑战性的法律问题摆在了我们面前：这种系统性“掏空”对手模型能力的行为，究竟是“技术学习”的灰色地带，还是赤裸裸的违法行为？在笔者看来，这不仅仅是一场商业伦理的拷问，更是一次对现有法律体系适应性的极限压力测试。本文旨在穿透技术的迷雾，结合笔者在“全球AIGC平台侵权治理第一案”等案件中的思考，对此类行为的法律性质进行一次深度的解构与剖析。

一、从“传道授业”到“数字逆向工程”：“蒸馏”的技术异化

法律的精准适用，始于对技术的清晰认知。要理解“蒸馏攻击”的本质，我们必须先回到其技术的原点，并引入一个经典的法律场景——软件领域的“逆向工程”（Reverse Engineering）。

（一）“蒸馏”的技术本源：AI领域的“传道授业”

“模型蒸馏”（Model Distillation）本身是一个中性甚至充满智慧的技术概念，由AI巨擘Geoffrey Hinton等人提出，旨在将一个庞大、复杂的“教师模型”所蕴含的知识，高效地迁移到一个轻量、敏捷的“学生模型”中[2]。这好比一位博学的教授（教师模型）不仅告诉学生（学生模型）答案，更循循善诱地传授其解题思路与逻辑，从而让学生在保持小体量的同时，也能拥有接近甚至超越教授的专业能力。在业界，这是一种被广泛用于模型优化与部署的正当技术，无可厚非。

（二）“蒸馏攻击”的本质：AI时代的“数字逆向工程”

然而，当“蒸馏”的目标从优化自身转向攫取对手时，其性质便发生了根本性的异化。笔者认为，“蒸馏攻击”在本质上就是一种针对AI模型的“数字逆向工程”。

在传统软件行业，逆向工程指的是通过反编译等手段，从一个已编译的、作为“黑箱”运行的程序（如.exe文件）中，推导出其源代码和内部逻辑。虽然无法获得100%的原始代码，但足以理解其核心算法、数据结构和商业秘密。这种行为长期以来都处于法律的灰色地带，常被用于分析竞争对手产品，但也被严格的最终用户许可协议（EULA）所禁止。

“蒸馏攻击”与此如出一辙。攻击者面对的是一个闭源的、同样作为“黑箱”提供服务的AI模型（如Claude）。他们无法直接获取模型的权重参数（相当于软件的源代码），但通过海量的、精心设计的API调用（相当于对软件的各种输入测试），系统性地观察其输出，从而反向推导出其内部的能力边界、推理逻辑、甚至安全策略。这已经不是“学习”，而是有预谋、有组织的“破解”。

说白了，这不再是“教会徒弟，饿死师傅”的隐喻，而是商业间谍系统性地破解对手核心研发成果的数字翻版。它试图将对手耗费巨资和漫长时间“铸”成的“宝剑”，通过这种方式低成本地“复刻”一把，这必然引向法律的审判台。

二、法律的三重拷问：从违约到侵权的层层递进

对于“蒸馏攻击”这种新型行为，法律的评价也绝非单一维度，而是构成了一个从合同法到竞争法，再到知识产权法的完整责任链条。这与笔者代理的“群控第一案”[3]所揭示的逻辑一脉相承：对技术行为的法律评价，必须穿透其表象，进行体系化的审视。

（一）违约之诉：最清晰的“门槛”

首先，也是最无争议的，是合同违约。任何商业化的AI模型服务，其《服务条款》（Terms of Service）都是双方建立法律关系的基石。Anthropic的服务条款明确禁止了逆向工程、开发竞争产品以及规避访问限制等行为。涉事公司的做法，无疑是对这份线上合同的彻底背弃。这构成了最直接的法律抓手，也是权利人维权的第一道防线。

然而，我们必须认识到，仅仅停留在违约层面是远远不够的。违约责任主要着眼于弥补守约方的直接损失，但对于“蒸馏攻击”这种行为对市场秩序的巨大冲击和对创新的系统性打击，则显得力不从心。

（二）不正当竞争之诉：维护市场秩序的“利剑”

笔者认为，“蒸馏攻击”是典型的、应被《反不正当竞争法》严厉规制的新型不正当竞争行为。其行为的可责性体现在两个层面：

对他人服务的实质性妨碍：根据报告，数千万次的欺诈性请求，必然占用了服务商海量的计算资源，增加了其安全风控成本，甚至可能影响正常用户的服务体验。这完全符合《反不正当竞争法》第十二条“网络不正当竞争”条款中关于“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”的规制射程。

对商业道德与诚实信用原则的根本性违背：这是问题的核心。AI大模型的研发是一场智力、资本与时间的豪赌。如果允许竞争者以API调用的微小成本，去“寄生”和“吸血”，攫取他人耗费数十亿美金形成的竞争壁垒，无疑是对创新精神的最大嘲讽。这种“不劳而获”、“食人而肥”的模式，将导致“劣币驱逐良币”的恶果，最终扼杀整个行业的创新活力。这正是《反不正当竞争法》第二条“诚实信用”原则条款所要坚决反对的。

在司法实践中，从笔者代理的“微信小程序第一案”[4]到各类数据爬取案件，法院已经反复确认：技术本身的中立性，不能成为实施不正当竞争行为的挡箭牌。 经营者在追求技术红利时，必须尊重他人的合法权益与市场的基本游戏规则。

（三）商业秘密侵权之诉：探及AI保护的“深水区”

最纠结，也最核心的争议，在于“蒸馏攻击”是否构成商业秘密侵权。这触及了AI时代知识产权保护的根本难题。

AI模型的权重参数，作为模型能力的直接载体，其符合商业秘密“秘密性、价值性、保密性”的三性要件，这一点已是行业共识。争议在于，“蒸馏攻击”这种“黑箱”操作，是否构成法律意义上的“获取”商业秘密？

在笔者看来，答案是肯定的。我们对“获取”的理解，不能僵化地停留在物理拷贝或文件传输的传统认知上。当一种行为能够系统性地、大规模地复现商业秘密的核心功能与内在逻辑时，就应当被认定为一种实质上的“获取”。

这与软件逆向工程的法律困境何其相似。在很多国家的司法实践中，即便没有接触到一行源代码，但通过对软件的黑箱测试、反编译等手段，破解其核心算法并用于开发竞争产品的行为，同样可能被认定为侵犯商业秘密。因为其获取的，正是受法律保护的、凝结在代码中的“技术信息”。

“蒸馏攻击”正是如此。它通过海量I/O测试，在功能和逻辑层面实现了对模型权重这一商业秘密的高度复刻。特别是报告中提到的提取“思维链”数据的行为，这无异于在逆向工程中，不仅复刻了软件的功能，还破解了其最核心的算法思想。如果连这种行为都不被认定为侵权，那么对AI模型的商业秘密保护将形同虚设，任何闭源模型的努力都可能被轻易“掏空”。

三、结语：法律人的使命，在于为技术狂奔划定边界

综上，笔者认为，“蒸馏攻击”绝非简单的“技术学习”，而是一种以合同违约为基础、以不正当竞争为表征、以商业秘密侵权为内核的复合型违法行为。它是一把刺向AI创新心脏的利刃，必须被法律所规制。

这一事件也为我们带来了更深层次的思考。在技术以指数级速度狂奔的今天，法律的滞后性被前所未有地放大。我们不能总是等待尘埃落定，才去“一勺一勺地捞污水”。法律人的使命，恰恰在于不确定性中，凭借专业、理性和前瞻性，为技术的发展划定合理的伦理与法律边界。

对于AI企业而言，必须清醒地认识到，任何试图绕过艰苦研发、寻求“捷径”的侥幸心理，最终都将付出沉重的代价。对于立法与司法者而言，则需要以更大的智慧和勇气，直面AI带来的新挑战，通过更具穿透力的司法解释和前瞻性的制度设计，为这个时代的创新成果提供坚实可靠的法律盾牌。毕竟，保护创新，就是保护我们走向未来的核心动力。

参考文献

[1] Anthropic. (2026, February 23). Detecting and preventing distillation attacks. https://finance.sina.cn/stock/jdts/2026-02-24/detail-inhnwrqr2277206.d.html

[2] Hinton, G., Vinyals, O., & Dean, J. (2015). Distilling the Knowledge in a Neural Network. arXiv preprint arXiv:1503.02531.

[3] 浙江省杭州市中级人民法院. (2019)浙8601民初1987号. (群控第一案)

[4] 杭州互联网法院. (2018)浙0192民初7184号. (微信小程序第一案)