28,8 millions de requêtes contre Claude: Anthropic met Alibaba au cœur de l'attaque
Le conflit autour des grands modèles d’IA ne se joue plus seulement dans les laboratoires ni dans les cabinets ministériels. Il se déroule aussi dans les journaux d’accès, à coups de millions de requêtes automatisées, de milliers de faux comptes et d’accusations visant l’un des plus grands groupes technologiques chinois.
Anthropic décrit une offensive d’ampleur industrielle
Anthropic affirme qu’un réseau lié à Alibaba a tenté d’extraire les capacités de Claude entre le 22 avril et le 5 juin 2026. Selon l’entreprise, l’opération a mobilisé plus de 28,8 millions d’échanges avec ses systèmes et près de 25 000 comptes frauduleux. La société présente cette campagne comme la plus grande attaque de ce type jamais détectée contre elle.
L’accusation, rapportée par Reuters via Investing.com, porte sur ce que l’industrie appelle une distillation attack. Le principe est connu: interroger massivement un modèle de pointe pour en récupérer les comportements, les réponses et certains schémas de raisonnement, puis utiliser ces sorties pour entraîner un autre système. Il ne s’agit pas nécessairement de voler les poids d’un modèle, mais d’en aspirer la valeur pratique par imitation statistique.
Le choix des mots compte. Anthropic ne parle pas d’un simple abus de service, mais d’une tentative coordonnée d’“extraction illicite” de capacités. Dit autrement: l’enjeu n’est pas seulement la fraude à l’ouverture de comptes, mais la captation d’un avantage technologique.
Derrière le terme “distillation”, une guerre d’usure sur les modèles
Dans le langage académique, la distillation peut être une technique légitime d’optimisation: un grand modèle “professeur” aide à entraîner un modèle plus petit. Dans le contexte commercial et sécuritaire actuel, le terme a pris une dimension autrement plus conflictuelle. Lorsqu’un acteur externe multiplie les requêtes à grande échelle pour reproduire le comportement d’un modèle fermé, la pratique devient une attaque économique.
C’est précisément ce qui rend le dossier sensible. Les grands modèles comme Claude, GPT, Gemini ou Llama concentrent des coûts d’entraînement massifs, des données rares et des ajustements de sécurité complexes. Si un concurrent peut récupérer une partie de ces performances par aspiration des sorties, il réduit brutalement le coût d’entrée. La barrière n’est plus seulement le calcul, mais la capacité à défendre l’accès.
Les chiffres avancés par Anthropic suggèrent une opération qui dépasse largement le simple test opportuniste. 28,8 millions d’échanges en 44 jours, cela représente un rythme moyen de plus de 650 000 interactions par jour. À ce niveau, l’automatisation n’est plus une hypothèse, c’est l’architecture même de l’opération. De la même manière, 25 000 comptes frauduleux indiquent une tentative d’évasion systématique des garde-fous commerciaux et techniques: quotas, facturation, suspension, détection comportementale.
Le nom d’Alibaba donne au dossier une portée géopolitique immédiate
L’élément le plus explosif du dossier tient au nom mis en cause. Alibaba n’est pas une start-up discrète ni un laboratoire périphérique. C’est un géant chinois du cloud, du commerce en ligne et de l’IA, déjà engagé dans la course aux modèles avancés. Qu’Anthropic associe un réseau “lié à Alibaba” à une telle campagne propulse mécaniquement l’affaire dans la rivalité technologique entre Washington et Pékin.
À ce stade, la prudence s’impose: les informations relayées par Reuters reposent sur les affirmations d’Anthropic, et la qualification exacte du lien avec Alibaba reste centrale. Dans ce type de dossier, l’écart est important entre une responsabilité directe, un sous-traitant, un partenaire, un client d’infrastructure ou un réseau d’acteurs utilisant des ressources associées à une grande entreprise. Mais même sans conclusion judiciaire, l’accusation suffit à durcir le climat.
Ce durcissement était déjà à l’œuvre. Reuters souligne que cette affaire surgit alors que la pression politique s’accentue autour des modèles IA avancés et des accès transfrontaliers. Depuis plusieurs années, les États-Unis renforcent les restrictions sur les semi-conducteurs avancés, les capacités de calcul et certaines exportations vers la Chine. L’IA générative a ajouté une couche supplémentaire: faut-il considérer l’accès à un modèle américain de pointe comme une ressource stratégique à contrôler au même titre qu’une puce haut de gamme?
L’accès API devient une frontière à part entière
Pendant longtemps, l’attention réglementaire s’est concentrée sur le matériel, les centres de données et les transferts de composants. L’affaire Anthropic met en lumière une autre vulnérabilité: l’API comme point d’entrée. Un acteur n’a pas besoin d’obtenir les secrets de fabrication internes si un accès distant lui permet de collecter à grande échelle des sorties suffisamment riches pour entraîner ses propres systèmes.
C’est l’un des paradoxes du secteur. Les entreprises américaines ont construit leur croissance sur l’ouverture contrôlée de leurs modèles à des développeurs du monde entier. Mais cette ouverture crée aussi une surface d’attaque industrielle. Plus les modèles deviennent performants et monétisables, plus chaque requête peut servir à autre chose qu’à un usage applicatif classique.
Dans ce contexte, la détection elle-même devient un enjeu compétitif. Repérer une extraction déguisée parmi des volumes légitimes exige de l’analyse comportementale fine: cadence, diversité des prompts, schémas de création de comptes, répartition géographique, similarité des séquences de requêtes, tentatives de contournement des limites. Si Anthropic affirme avoir identifié une campagne de cette ampleur, cela signifie aussi que les fournisseurs de modèles investissent désormais dans une forme de contre-ingénierie opérationnelle.
Un signal pour tout le marché de l’IA
L’affaire dépasse le seul face-à-face entre Anthropic et Alibaba. Elle envoie un signal à l’ensemble du marché: les fournisseurs de modèles fermés considèrent désormais la distillation attack comme une menace centrale, au même niveau que les fuites de données ou l’usage abusif des comptes.
Pour les entreprises clientes, cela pourrait se traduire par davantage de friction: vérifications d’identité renforcées, segmentation des accès, surveillance plus intrusive des usages, restrictions géographiques, plafonds plus stricts sur certaines catégories de requêtes. Les plateformes auront du mal à soutenir simultanément deux promesses souvent contradictoires: simplicité d’accès pour les développeurs et protection maximale contre l’extraction.
Pour les groupes chinois engagés dans la course aux modèles, l’impact peut être encore plus direct. Toute accusation publique de ce type risque d’alimenter à Washington l’idée que l’accès transfrontalier aux modèles avancés doit être traité comme un risque structurel. Or le débat américain a déjà franchi un cap: il ne s’agit plus seulement de ralentir l’accès aux puces, mais aussi de contrôler l’exposition aux capacités elles-mêmes.
Ce que cette affaire pourrait déclencher à court terme
Si Anthropic maintient ses accusations, plusieurs conséquences concrètes sont plausibles. D’abord, un renforcement immédiat de ses mécanismes de défense: suspension de comptes, filtrage réseau, corrélation d’identités, limitation de certaines classes de prompts, voire cloisonnement plus strict entre niveaux d’accès. Ensuite, une possible judiciarisation, même si le terrain probatoire reste délicat dès lors que l’attaque passe par des comptes multiples, des intermédiaires et des infrastructures dispersées.
Sur le plan politique, l’épisode pourrait nourrir de nouvelles discussions à Washington sur les contrôles d’exportation appliqués non plus seulement au matériel, mais aux services d’IA distants. L’idée d’un “contrôle à l’usage” des modèles, longtemps jugée difficile à mettre en œuvre, paraît soudain moins théorique quand un acteur affirme avoir subi 28,8 millions d’interactions d’aspiration en un mois et demi.
La prochaine étape à surveiller sera double: d’un côté, la réponse publique d’Alibaba et l’éventuelle précision du lien exact avec le réseau incriminé; de l’autre, les mesures qu’Anthropic et ses concurrents adopteront pour verrouiller leurs interfaces. Car derrière cette affaire, une ligne se dessine déjà: l’accès aux grands modèles n’est plus seulement un service cloud. C’est une frontière industrielle, et chaque million de requêtes commence à compter comme un actif stratégique.