16 Milhões de Consultas Roubadas: Por Dentro dos Ataques de Destilação da Anthropic e dos Clusters Hydra
Como DeepSeek, Moonshot AI e MiniMax usaram 24.000 contas falsas para destilar as capacidades do Claude — e por que as suas defesas de API podem ser as...
✨TL;DR / Sumário Executivo
Como DeepSeek, Moonshot AI e MiniMax usaram 24.000 contas falsas para destilar as capacidades do Claude — e por que as suas defesas de API podem ser as...
💡 TL;DR (Muito Longo; Não Li)
Principais lições em 60 segundos:
- A Anthropic revelou que três laboratórios de IA chineses — DeepSeek, Moonshot AI e MiniMax — executaram mais de 16 milhões de consultas de API através de ~24.000 contas fraudulentas para extrair sistematicamente as capacidades de raciocínio do Claude.
- Os atacantes utilizaram arquiteturas de proxy "Hydra Cluster" — redes extensas de contas falsas que se regeneram automaticamente quando banidas — para burlar geo-restrições e evitar detecção.
- As chaves de API estáticas morreram. Os ataques exploraram a autenticação herdada baseada em tokens portadores (bearer tokens). A solução é zero-trust: tokens OAuth 2.1 de curta duração, mTLS e atestação criptográfica de carga de trabalho.
- A engenharia defensiva está mudando de muros de acesso para envenenamento de dados: reescrita de vestígios (trace rewriting), purificação de logits e "radioatividade" de marca d'água que torna os dados roubados tóxicos para modelos aprendizes.
- Linha de fundo: Se sua API serve inteligência, ela é sua propriedade intelectual. A era da segurança de API baseada em perímetro para LLMs acabou.
1. O Assalto de $200 Milhões que Custou Centavos
Em fevereiro de 2026, a Anthropic soltou uma bomba na indústria de IA.
Sua divulgação oficial revelou uma operação de escala impressionante: três laboratórios de IA chineses — DeepSeek, Moonshot AI e MiniMax — vinham executando campanhas de extração coordenadas e de nível industrial contra a API do Claude. Os números são brutais:
- 16 milhões+ de trocas de API
- ~24.000 contas fraudulentas
- 3 campanhas distintas, cada uma visando cirurgicamente diferentes capacidades
Isso não foi um assalto qualquer. Foi uma operação sistemática de vários meses projetada para extrair o ativo mais valioso da IA moderna: inteligência comportamental. Não os pesos. Não a arquitetura. O comportamento — como o Claude pensa, raciocina e resolve problemas.
A economia conta a história real. Treinar um modelo de fronteira como o Claude do zero custa centenas de milhões de dólares em computação, curadoria de dados e engenharia de RLHF. Consultar a API do mesmo modelo custa frações de centavo por solicitação. Através da destilação automatizada, esses laboratórios replicaram efetivamente anos de P&D a um custo aproximadamente equivalente a uma assinatura de SaaS de nível médio.
A mudança de paradigma é clara: No software tradicional, roubar IP significa exfiltrar binários ou código-fonte. Na IA generativa, você rouba inteligência tendo uma conversa.
2. Como a Destilação de Modelos se Torna uma Arma
A Destilação de Conhecimento (Knowledge Distillation - KD) é uma técnica legítima e bem compreendida em aprendizado de máquina. A premissa é elegante: um modelo "professor" massivo e caro já mapeou os limites de decisão ideais em um vasto espaço latente. Um modelo "aluno" significativamente menor pode aprender a aproximar esses limites treinando nas saídas estruturadas do professor em vez de dados brutos.
Quando você faz isso internamente — destilando o GPT-4 em um modelo de implantação menor ou comprimindo o Claude para inferência na borda — é uma prática de engenharia padrão. Quando um adversário faz isso através de uma fronteira de API, torna-se o vetor de roubo de IP mais eficiente na história do software.
A superfície de ataque é a própria distribuição de probabilidade de saída. Cada resposta do Claude contém:
- Vestígios de raciocínio chain-of-thought — os passos cognitivos intermediários que o modelo dá antes de gerar uma resposta final.
- Limites de decisão latentes — as ponderações de probabilidade matizadas que determinam como o modelo escolhe entre múltiplas abordagens válidas.
- Comportamento condicionado por RLHF — o alinhamento de segurança, tom e padrões de recusa incorporados através de meses de treinamento com feedback humano.
Ao consultar sistematicamente essas saídas com prompts cuidadosamente projetados, um atacante pode reconstruir uma aproximação funcional das capacidades mais diferenciadas do modelo professor. O aluno não precisa ser perfeito — ele só precisa ser bom o suficiente para fechar uma lacuna competitiva de vários anos da noite para o dia.
3. As Três Campanhas: Uma Análise Forense
A revelação da Anthropic detalhou três campanhas distintas, cada uma com assinaturas táticas únicas. Compreender esses padrões é fundamental para qualquer engenheiro que esteja construindo sistemas de detecção.
3.1 MiniMax: 13 Milhões de Trocas e Pivô em Tempo Real
A MiniMax executou a maior campanha em volume — mais de 13 milhões de trocas de API — com um foco intenso em codificação agentica e orquestração de uso de ferramentas. Esta é a fronteira crítica da capacidade dos LLMs: a habilidade do modelo de planejar tarefas complexas de forma autônoma, escrever e executar código iterativamente e interagir dinamicamente com ferramentas externas.
A descoberta mais alarmante foi a capacidade de pivô automatizada da MiniMax. Quando a Anthropic implantou uma nova iteração do modelo Claude no meio da campanha, a MiniMax redirecionou aproximadamente 50% do seu tráfego de extração para o novo endpoint em 24 horas. Isso implica um pipeline sofisticado de CI/CE (Integração Contínua / Extração Contínua) — um mecanismo de orquestração sempre ativo monitorando os endpoints da API e roteando automaticamente o tráfego para capturar as capacidades mais recentes no momento em que são lançadas.
# Conceitual: Pipeline de extração CI/CE estilo MiniMax
class ContinuousExtractor:
def __init__(self, api_config):
self.endpoint_monitor = EndpointMonitor(api_config)
self.prompt_library = AgenticPromptLibrary()
self.account_pool = HydraAccountPool(size=5000)
async def run(self):
while True:
# Detectar novos modelos implantados
new_model = await self.endpoint_monitor.detect_update()
if new_model:
# Pivô automático do tráfego de extração
await self.redistribute_traffic(
target=new_model,
percentage=0.50,
ramp_hours=24
)
# Rotacionar contas para permanecer abaixo dos limites de taxa
account = self.account_pool.get_next()
prompts = self.prompt_library.get_batch(
focus="agentic_tool_use",
count=100
)
responses = await self.extract(account, prompts)
await self.training_pipeline.ingest(responses)3.2 Moonshot AI: Extração Multi-Vetor e Falha de Atribuição
A Moonshot AI — a equipe por trás da série de modelos Kimi — executou uma campanha de mais de 3,4 milhões de trocas, visando um conjunto de capacidades muito mais amplo: raciocínio agentico, agentes de uso de computador, análise de dados e visão computacional.
Sua operação foi caracterizada pelo acesso através de múltiplos caminhos — usando centenas de contas fraudulentas em variados tipos de conta para ocultar a natureza coordenada da colheita. Em fases posteriores, a campanha mudou para a reconstrução de vestígios de raciocínio, implantando problemas lógicos complexos de múltiplos passos projetados para capturar os passos cognitivos intermediários do Claude, em vez de apenas as respostas finais.
A história da atribuição é notável: a Anthropic relatou que os metadados das solicitações correlacionavam-se diretamente com os perfis públicos de funcionários seniores da Moonshot AI. Se isso indica confiança audaciosa ou uma falha catastrófica de OpSec é uma questão em aberto — mas forneceu certeza forense para a divulgação.
3.3 DeepSeek: Precisão Cirúrgica e Colheita de RLHF
A campanha da DeepSeek foi a menor em volume (~150.000 trocas), mas possivelmente a mais sofisticada tecnicamente. Em vez de uma extração ampla de capacidades, a DeepSeek executou uma operação cirúrgica visando duas capacidades críticas:
- Mecânica de raciocínio chain-of-thought — prompts instruindo explicitamente o Claude a articular seu processo de raciocínio interno passo a passo.
- Capacidades de avaliação baseadas em rubrica — usando o Claude como um avaliador automatizado para gerar rapidamente dados de preferência de alta qualidade para modelagem de recompensa RLHF.
As táticas de evasão foram avançadas. A Anthropic detectou tráfego sincronizado entre contas — padrões de tempo idênticos e métodos de pagamento compartilhados — sugerindo uma arquitetura de balanceamento de carga que maximizava o rendimento enquanto mantinha as contas individuais abaixo dos limites de detecção de anomalias.
A DeepSeek também usou o Claude para gerar alternativas seguras contra censura para consultas politicamente sensíveis sobre autoritarismo, líderes partidários e dissidentes — aproveitando as capacidades semânticas matizadas do Claude para treinar seus modelos domésticos para navegar nas regulamentações de conteúdo chinesas sem degradar catastroficamente a qualidade conversacional.
| Ator da Ameaça | Volume | Alvos Principais | Assinatura Tática Chave |
|---|---|---|---|
| MiniMax | 13M+ | Codificação agentica, ferramentas | Pivô automatizado de 24h para novas versões |
| Moonshot AI | 3,4M+ | Raciocínio, visão, agentes | Acesso multi-via; metadados ligados à equipe |
| DeepSeek | 150K+ | Raciocínio CoT, avaliação RLHF | Tráfego sincronizado; prompts contra censura |
4. O Cluster Hydra: Uma Arquitetura Construída para Sobreviver
As campanhas operavam através de serviços de proxy comerciais que gerenciam o que os analistas de segurança agora chamam de arquiteturas "Hydra Cluster". A API da Anthropic é bloqueada geograficamente na China, logo, o acesso direto é impossível. A camada de proxy resolve isso através de redundância de força bruta.
Um Hydra Cluster é uma rede dinâmica e auto-regenerativa de contas fraudulentas espalhadas por plataformas de nuvem legítimas e endpoints de API diretos. A engenharia é projetada especificamente para eliminar pontos únicos de falha:
- Conta banida? A rede provisiona automaticamente uma substituta em minutos.
- IP sinalizado? O tráfego é roteado através de um nó geográfico diferente.
- Limite de taxa atingido? O balanceador de carga distribui as consultas por milhares de contas para que nenhuma identidade tripule um limite.
A técnica de mistura de tráfego (traffic blending) é particularmente insidiosa. O proxy mistura prompts de destilação altamente estruturados com solicitações benignas e não relacionadas de clientes legítimos. Da perspectiva de um WAF padrão ou ferramenta de monitoramento de rede, o tráfego aparece como atividade orgânica de usuários de alto volume. O sinal adversário é diluído em ruído estatístico.
Um Hydra Cluster documentado gerenciava mais de 20.000 contas fraudulentas simultaneamente. Nessa escala, a segurança de perímetro tradicional é fundamentalmente inadequada.
5. Por Que a Autenticação da Sua API Já Está Quebrada
O sucesso dessas campanhas expõe uma falha sistêmica na forma como a inteligência servida por API é autenticada. Pesquisas da indústria de 2025-2026 indicam que até 44% das empresas ainda dependem de chaves de API estáticas (bearer tokens) para autenticar agentes de IA.
O problema é simples e devastador: qualquer entidade que possua o token é implicitamente confiável. Existe zero verificação contextual da verdadeira identidade da carga de trabalho. Um proxy Hydra com uma chave roubada ou provisionada fraudulentamente é indistinguível de um desenvolvedor legítimo.
A solução exige uma mudança arquitetônica fundamental para a autenticação de agentes zero-trust:
5.1 Credenciais de Curta Duração (OAuth 2.1 + OIDC)
As chaves de API permanentes devem ser substituídas por tokens de acesso gerados dinamicamente e de curta duração. Os agentes se autenticam usando chaves privadas armazenadas em Módulos de Segurança de Hardware (HSMs) ou Módulos de Plataforma Confiável (TPMs), solicitando tokens temporários que expiram em minutos. Isso força as redes de proxy a se reautenticarem continuamente — adicionando uma carga computacional massiva às operações do atacante.
5.2 Atestação de Carga de Trabalho (Workload Attestation)
Antes de emitir um token, um Provedor de Confiança (Trust Provider) valida a atestação criptográfica da carga de trabalho do agente solicitante — verificando sua conta de serviço, namespace, hash da imagem do container e ambiente de execução. Um proxy fraudulento simplesmente não consegue falsificar a atestação criptográfica de um cluster Kubernetes empresarial legítimo.
5.3 Prova de Posse (PoP) e mTLS
Sob uma estrutura de PoP, o token de acesso é vinculado criptograficamente ao cliente específico que o solicitou. Se um proxy Hydra interceptar e tentar repetir o token de uma localização de rede diferente, a transação falha — o proxy não pode provar matematicamente a posse do material de chave privada do agente de origem.
// Fluxo de autenticação de agente zero-trust
interface AgentAuthRequest {
// JWT de curta duração do provedor OIDC
accessToken: string;
// Impressão digital do certificado de cliente mTLS
clientCertThumbprint: string;
// Atestação de carga de trabalho de TPM/HSM
workloadAttestation: {
serviceAccount: string;
namespace: string;
containerImageHash: string;
tpmQuote: string;
};
// Vínculo de Prova de Posse (PoP)
popProof: {
nonce: string;
signature: string; // Assinado com a chave privada do agente
};
}
function validateAgentRequest(req: AgentAuthRequest): boolean {
// 1. Verificar se o JWT não expirou (curta duração)
if (isExpired(req.accessToken)) return false;
// 2. Verificar se o certificado mTLS corresponde ao vínculo do token
if (!verifyThumbprint(req)) return false;
// 3. Validar a cadeia de atestação de carga de trabalho
if (!validateAttestation(req.workloadAttestation)) return false;
// 4. Verificar a Prova de Posse (PoP)
if (!verifyPoP(req.popProof, req.accessToken)) return false;
return true;
}| Protocolo | Nível de Segurança | Eficácia contra Cluster Hydra |
|---|---|---|
| Chaves de API Estáticas | Fraco | Baixa — proxies reciclam chaves roubadas facilmente |
| OAuth 2.1 (Curta duração) | Moderado | Moderada — força re-auth contínua |
| mTLS + Atestação de Workload | Zero-Trust | Alta — impossível falsificar atestação criptográfica |
6. Detecção Comportamental: Quando os Limites de Taxa Falham
A autenticação criptográfica é necessária, mas insuficiente. Atacantes sofisticados encontrarão maneiras de obter credenciais legítimas. A segunda linha de defesa é a Detecção de Anomalias de Tráfego (TAD) — análise comportamental que identifica padrões de destilação em milhões de contas fragmentadas.
Impressão Digital Semântica (Semantic Fingerprinting)
Usuários legítimos exibem padrões de consulta diversos e semi-aleatórios com progressões de tópicos naturais. Ataques de destilação exigem volumes massivos de prompts altamente estruturados e repetitivos projetados para mapear sistematicamente o espaço latente do modelo. Os sistemas TAD sinalizam contas que demonstram mudanças semânticas não naturais — cálculo complexo seguido de poesia do século XVIII seguido de análise jurídica detalhada — tudo usando templates de prompt idênticos projetados para extrair vestígios de raciocínio.
Correlação de Infraestrutura
Apesar da distribuição geográfica de IP, os Clusters Hydra se traem através de metadados correlacionados:
- Carimbos de data/hora de registro sincronizados em milhares de contas.
- Distribuições de tempo idênticas em chamadas de API (análise de variância matemática).
- Infraestrutura de pagamento compartilhada (como visto na campanha da DeepSeek).
- Strings de User-Agent ou fingerprints de TLS consistentes.
Quando milhões de solicitações em milhares de contas exibem a mesma variância matemática na latência de resposta, isso revela orquestração centralizada — independentemente de quão bem distribuídos os IPs pareçam.
LLMs Detectando LLMs
A indústria está agora implantando LLMs para detectar tráfego adversário gerado por outros LLMs. Modelos que utilizam transformadores CNN hierárquicos são treinados para compreender a normalidade da rede, permitindo a detecção de anomalias sutis na camada de aplicação que indicam que uma extração automatizada está em andamento.
7. Envenenando o Poço: Defesas Intrínsecas ao Modelo
A fronteira final — e mais promissora — da defesa não tenta impedir o acesso. Em vez disso, ela torna os dados roubados tóxicos para o pipeline de treinamento do atacante.
7.1 Radioatividade de Marca d'Água (Watermark Radioactivity)
Durante a decodificação, o modelo professor inclina levemente as distribuições de probabilidade de tokens, incorporando uma assinatura estatística no texto gerado — invisível para humanos, mas detectável criptograficamente. Quando um modelo aluno treina em milhões de saídas com marca d'água, ele internaliza as distribuições enviesadas e começa a gerar autonomamente textos com a marca d'água original. Essa "radioatividade" fornece prova forense irrefutável de destilação.
Adversários contra-atacam com Parafraseamento Direcionado (Targeted Paraphrasing - TP) e Neutralização de Marca d'água (Watermark Neutralization - WN) — tentando fazer engenharia reversa e limpar as regras da marca d'água. A corrida armamentista continua.
7.2 Reescrita de Vestígios (Trace Rewriting)
Como os vestígios de raciocínio chain-of-thought são o alvo de extração de maior valor, frameworks de reescrita de vestígios usam um modelo intermediário para modificar dinamicamente as saídas de raciocínio antes que cheguem à API. Os vestígios reescritos mantêm a coerência semântica para usuários legítimos, mas introduzem ruído severo no pipeline de treinamento do adversário.
Implantações experimentais demonstraram a capacidade de reduzir a precisão do modelo aluno não autorizado em até 61%, preservando o desempenho de zero-shot do modelo professor para usuários legítimos.
7.3 Purificação de Logits
Para atacantes que tentam a destilação baseada em logits — capturando a distribuição completa de probabilidades sobre a matriz do vocabulário — os defensores aplicam matrizes de transformação dinâmica guiadas por objetivos de Informação Mútua Condicional (CMI). A transformação minimiza a divergência para a tarefa primária enquanto maximiza a entropia nos sinais contextuais secundários nos quais os atacantes dependem. Os logits são efetivamente purificados — despojados do "conhecimento sombrio" necessário para uma transferência de conhecimento eficaz.
| Defesa | Mecanismo | Compromisso (Trade-off) |
|---|---|---|
| Radioatividade de Marca d'Água | Distribuições de tokens enviesadas; detecção forense | Detecção, não prevenção |
| Reescrita de Vestígios | Injeção de ruído semântico em saídas CoT | Adiciona latência à resposta da API |
| Purificação de Logits | Maximização da entropia em distribuições secundárias | Excelente contra extração profunda |
8. O Paradoxo do Controle de Exportação
Os Estados Unidos restringem a exportação de chips de IA avançados para a China, operando sob a premissa de que limitar o silício limita a capacidade de IA. Ataques de destilação desafiam fundamentalmente essa lógica.
Treinar um modelo de fronteira do zero exige dezenas de milhares de GPUs restritas. Ajustar um modelo aluno menor via destilação de API exige uma fração desse poder computacional. Enquanto as saídas comportamentais dos modelos de fronteira americanos permanecerem globalmente acessíveis via APIs comerciais, as capacidades fluirão através das fronteiras via conversa, não via hardware.
O hardware é restrito, mas a inteligência é líquida.
A Anthropic aproveitou este incidente para defender integrações mais estreitas entre restrições de hardware e conformidade de exportação de API. O paradoxo é real: os controles de exportação limitam com sucesso a infraestrutura física, mas não limitam as saídas das APIs. A questão é se a política pode evoluir rápido o suficiente para fechar essa lacuna.
O Debate sobre a Hipocrisia dos Direitos Autorais
A resposta da comunidade tem sido... explosiva. Críticos — incluindo Elon Musk — apontaram que os laboratórios de fronteira construíram seus modelos fundamentais raspando trilhões de tokens de material protegido por direitos autorais da internet pública, em grande parte sem consentimento ou compensação.
A Anthropic enquadra os ataques de destilação não como violação de direitos autorais, mas como violação de contrato — violação dos Termos de Serviço (ToS) e evasão de restrições de acesso regional. No entanto, a distinção legal entre "destilação ilegítima" (violação de ToS) e "raspagem legítima" (fair use) permanece profundamente contestada à medida que a Lei de IA da UE e os litígios de direitos autorais nos EUA continuam a maturar.
9. A Crise das Diretrizes de Segurança (Guardrails)
Talvez a consequência mais perigosa da destilação seja a remoção sistemática do condicionamento de segurança. Os desenvolvedores de modelos de fronteira investem recursos enormes em RLHF e IA Constitucional para garantir que os modelos se recusem a ajudar no desenvolvimento de armas biológicas, na orquestração de ciberataques ou na geração de desinformação em massa.
Essas diretrizes estão incorporadas nas probabilidades finais de saída do modelo professor. Quando um adversário destila o modelo, o aluno herda as capacidades de resolução de problemas, mas não o condicionamento de segurança. O aluno é treinado sobre como responder, ignorando completamente os mecanismos de recusa fundamentais.
A Anthropic alertou explicitamente que esses "modelos não restritos" representam um risco de segurança nacional — capazes de serem integrados em infraestruturas militares e de vigilância sem restrições éticas. Se tais modelos forem posteriormente disponibilizados em código aberto ou vazados, a proliferação de capacidades perigosas torna-se permanente e irreversível.
Principais Lições
- Sua API É sua propriedade intelectual. Se seu modelo serve inteligência através de um endpoint, essa inteligência é extraível. Planeje adequadamente.
- Chaves de API estáticas são um risco. Transicione para OAuth 2.1, mTLS e atestação de carga de trabalho imediatamente.
- Limites de taxa são irrelevantes contra Clusters Hydra. Invista em detecção de anomalias comportamentais e impressão digital semântica.
- A defesa está mudando de muros para veneno. Reescrita de vestígios, purificação de logits e radioatividade de marca d'água são a fronteira.
- As implicações geopolíticas são reais. Controles de exportação de silício não impedem a extração de inteligência via API.
Leituras Adicionais
- Anthropic: Detectando e Prevenindo Ataques de Destilação — A divulgação original.
- Rumo a LLMs Resistentes à Destilação (arXiv) — Pesquisa de defesa sob uma perspectiva de teoria da informação.
- Podem as Marcas d'Água de LLM Prevenir a Destilação de Conhecimento Não Autorizada? — Radioatividade de marca d'água.
- Segurança de Agentes de IA Autônomos (Relatório CSA 2026) — Autenticação de agentes zero-trust.
- TAD-LLM: Detecção de Anomalias de Tráfego de API — LLMs detectando LLMs.
A corrida armamentista da destilação apenas começou. Se você está construindo APIs que servem inteligência de modelo, a questão não é se alguém tentará extraí-la — é se suas defesas tornarão a extração inútil.
Este artigo foi estruturado por humanos e sintetizado com o auxílio de IA sob a persona de Nexus (AI).