2026年2月23日,Anthropic 官方 X 账号发出三条推文:
Tweet 1/3 “We’ve identified industrial-scale distillation attacks on our models by DeepSeek, Moonshot AI, and MiniMax.
These labs created over 24,000 fraudulent accounts and generated over 16 million exchanges with Claude, extracting its capabilities to train and improve their own models.”
Tweet 2/3 “Distillation can be legitimate: AI labs use it to create smaller, cheaper models for their customers.
But foreign labs that illicitly distill American models can remove safeguards, feeding model capabilities into their own military, intelligence, and surveillance systems.”
Tweet 3/3 “These attacks are growing in intensity and sophistication. Addressing them will require rapid, coordinated action among industry players, policymakers, and the broader AI community.”
三条推文配套发布了一篇长篇报告。数字触目惊心:约 24,000 个虚假账号,超过 1,600 万次对话交换。
但报告原文里有一句话让我停了下来:
“By examining request metadata, we were able to trace these accounts to specific researchers at the lab.” 通过检查请求元数据,我们能够将账号追溯到该实验室的具体研究人员。
具体研究人员,问题是:那 ZDR(Zero Data Retention)呢?
ZDR 是什么?
ZDR,全称 Zero Data Retention(零数据留存),是 AI 云服务商面向企业 API 客户的隐私承诺:你的对话数据不会被长期留存,更不会用于模型训练。
这不是 Anthropic 一家的概念,而是整个 AI 行业的标配销售话术:
- Anthropic:Claude API 企业版提供 ZDR 选项
- OpenAI:Azure OpenAI Service 提供 Zero Data Retention
- Google:Vertex AI 提供「数据不用于训练」承诺
- 各家 API 竞相强调:「你的数据是你的数据」
很多法律团队、医疗机构、金融机构为此支付了溢价,相信这意味着某种真实的隐私护城河。
但 Anthropic 刚刚告诉我们,他们完成了:
- IP 地址关联:识别账号背后的网络基础设施
- 请求元数据分析:时间戳、频率、账号聚类,锁定协同行为
- 支付方式关联检测:24,000 个账号之间的资金图谱
- 跨平台情报共享:与其他 AI 厂商联合归因
- 个人身份定位:对应到特定员工的公开履历
这不是实时规则触发,这需要系统性的历史数据留存和关联分析。
真相:ZDR,保护的是内容,不是元数据
仔细读任何一家云 AI 的服务条款,你会发现一个从未被高亮显示的细节:
Trust & Safety(信任与安全)监控,不受 ZDR 约束。
| 数据类型 | ZDR 是否保护 |
|---|---|
| 对话内容(messages) | ✅ 不用于训练 |
| IP 地址、请求时间戳 | ❌ 可用于安全审计 |
| 账号行为模式、元数据 | ❌ 可用于安全审计 |
| 支付关联信息 | ❌ 可用于安全审计 |
| 跨账号行为图谱 | ❌ 可用于安全审计 |
这个「安全合规」豁免,范围由平台单方面定义,触发条件由平台单方面判断。
ZDR 卖给你的是「内容不用于训练」,不是「你是匿名的」,不是「你是不可追踪的」。这两件事之间的鸿沟,没有人在签约时告诉你。
这不是隐私保护,这是有选择性的数据披露。
作为个人用户,该怎么办?
认清现实后,具体能做什么?
1. 降低身份关联风险
- 使用 API Key 而非账号登录:减少个人信息暴露
- 敏感场景考虑通过中间层(自建代理、LiteLLM)访问,避免裸 IP 直连
- 不要在同一账号里混用工作和个人场景
2. 不要对隐私条款有幻觉
- ZDR ≠ 匿名
- ZDR ≠ 元数据不被分析
- 读条款时重点看 “We may retain data for trust & safety purposes” 这类句子
- 这条规则对 Anthropic、OpenAI、Google 同样适用
3. 高敏感内容走本地模型
- 商业计划书、法律文件、个人财务——考虑用本地模型(Ollama + Llama / Qwen / DeepSeek-R1)
- 本地模型的隐私边界是物理隔离的,平台无法触达
4. 理解在使用的是什么
- 云端 AI 不是中立工具。每家背后都有股东、政策立场和商业利益
- Anthropic 尤其如此:它是美国 AI 政策圈的主动参与者,不是一个无立场的基础设施
核心建议:把云端 AI 当作「公共图书馆的电脑」使用——能做大量普通工作,但核心机密不放上去,同时清楚这台电脑的管理员是谁、他们的立场是什么。
结语
Zero Data Retention,for whom?Under what conditions?By whose definition of “security”?
在 AI 服务的隐私条款里,「零」从来不是真正的零。它是一个起点,后面跟着无数个「除非」——而「除非」的解释权,永远在平台手里。
Claude 是一个优秀的模型。但 Anthropic 是一家有鲜明政治立场的公司,它的技术能力与它的价值观,是无法分开讨论的。
推文来源:@AnthropicAI(2026-02-23) 报告来源:Detecting and preventing distillation attacks(Anthropic,2026-02-23) 政策来源:Securing America’s compute advantage(Anthropic,2025-04-30)