Los llamados ataques de destilación recopilan respuestas de modelos de IA para entrenar otros más pequeños.
Mientras Estados Unidos y China compiten por liderar el desarrollo de la inteligencia artificial (IA), la empresa estadounidense Anthropic es la última en alertar de que compañías chinas de IA han estado robando la tecnología que podría decidir quién se impone.
PUBLICIDAD
PUBLICIDAD
DeepSeek, Moonshot AI y MiniMax generaron en secreto más de 16 millones de conversaciones con Claude, el chatbot de IA de Anthropic, utilizando más de 24.000 cuentas falsas para aprovechar su inteligencia y entrenar sus propios modelos competidores, según alega la compañía.
OpenAI y Google también han advertido este mes de acusaciones similares contra firmas chinas, lo que alimenta el temor de que China esté acortando años de costosa investigación en IA.
Qué es la destilación de IA
El ataque de extracción de modelos (MEA), también conocido como destilación, es una técnica en la que alguien con acceso a un modelo de IA potente lo utiliza para entrenar a un rival más barato y rápido.
El método consiste en plantear miles de preguntas al modelo más grande, recopilar sus respuestas y utilizarlas para enseñar a un nuevo modelo a razonar de la misma manera.
El usuario puede plantear preguntas al modelo más grande y usar sus respuestas para entrenar el modelo más pequeño, lo que permite desarrollar esa IA más deprisa y "a una fracción del coste" que si el atacante hubiera realizado por sí mismo todo el trabajo original, sostiene Anthropic.
La destilación es una práctica "legítima" cuando los laboratorios punteros de IA destilan sus propios modelos para "crear versiones más pequeñas y baratas para sus clientes", señaló la empresa estadounidense.
Los modelos más pequeños responden a las consultas mucho más rápido y necesitan menos capacidad de cálculo y menos energía que los modelos grandes, explicó Google.
Sin embargo, los modelos desarrollados mediante destilación plantean importantes riesgos para la seguridad nacional porque "carecen de las salvaguardas necesarias", según Anthropic, para limitar el posible peligro que entrañan.
Anthropic advirtió de que los modelos destilados no cuentan con las protecciones necesarias para impedir que actores estatales y no estatales utilicen la IA en armas biológicas o para llevar a cabo ciberataques.
No hay riesgos para los usuarios habituales de IA en un ataque de destilación, añadió Google, porque estos ataques no "ponen en peligro la confidencialidad, la disponibilidad ni la integridad de los servicios de IA".
Por su parte, OpenAI informó a los legisladores estadounidenses en febrero de que había descubierto que DeepSeek intentaba copiar en secreto sus modelos de IA más potentes, y advirtió de que la empresa china estaba desarrollando nuevos métodos para ocultar lo que hacía.
Qué enseñan los piratas informáticos a sus modelos
Las empresas chinas de IA supuestamente redirigieron el tráfico a través de direcciones proxy que gestionaban una vasta "red hidra", un gran conjunto de cuentas falsas que repartían su actividad entre distintas plataformas para conseguir acceso a Anthropic, ya que el servicio está vetado en China.
Una vez dentro, generaron grandes volúmenes de instrucciones, bien para recopilar respuestas de alta calidad con las que entrenar sus modelos, bien para crear decenas de miles de tareas de aprendizaje por refuerzo, el proceso por el que un agente aprende a tomar decisiones a partir de la retroalimentación.
Las cuentas de DeepSeek que atacaron a Claude pidieron al modelo que explicara cómo razonaba sus respuestas a una instrucción y que las detallara paso a paso, lo que, según la empresa, generó datos de entrenamiento de razonamiento paso a paso a gran escala.
Según Anthropic, las cuentas de DeepSeek también utilizaron Claude para "generar alternativas seguras desde el punto de vista de la censura a consultas políticamente delicadas", como preguntas sobre opositores al actual Partido Comunista.
La empresa estadounidense planteó la hipótesis de que ese tipo de preguntas sirvió para entrenar los modelos de DeepSeek "a desviar las conversaciones de los temas censurados", lo que podría respaldar un estudio reciente que concluye que los modelos de IA chinos probablemente censuran los mismos asuntos que sus medios de comunicación.
MiniMax AI y Moonshoot AI llevaron a cabo campañas de destilación más amplias que DeepSeek, pero Anthropic no ofreció ejemplos del tipo de información que estas dos empresas recopilaban en sus instrucciones.
Google afirmó que su chatbot de IA Gemini se utiliza de forma indebida de manera sistemática para tareas de programación y creación de scripts, o para recopilar información confidencial como credenciales de cuentas y direcciones de correo electrónico.
Anthropic asegura que ha desarrollado sistemas de detección para identificar estas campañas en tiempo real, pero advierte de que ninguna empresa de IA puede resolver este problema por sí sola.