Đầu năm 2026, ba công ty Trung Quốc gồm DeepSeek, Moonshot AI và MiniMax bị Anthropic tố cáo thực hiện chưng cất mô hình AI của hãng. Google tiếp tục công bố phát hiện chiến dịch tương tự nhắm vào Gemini chỉ 11 ngày sau. Tháng 6, đến lượt Alibaba với quy mô lớn hơn tất cả cộng lại: 28,8 triệu cuộc hội thoại trong 44 ngày, theo cáo buộc.
Kỹ thuật xuất phát từ nghiên cứu hàn lâm, không phải tội phạm
Chưng cất tri thức, hay distillation, là kỹ thuật nén mô hình AI được Geoffrey Hinton và cộng sự mô tả từ năm 2015. Ý tưởng cốt lõi: thay vì train một mô hình nhỏ từ đầu, hãy để nó học từ một mô hình lớn đã được train sẵn. Mô hình lớn đóng vai thầy giáo, mô hình nhỏ là học sinh. Học sinh ghi lại cặp câu hỏi-trả lời từ thầy và tự train. Sau đủ nhiều lần, học sinh có thể phản hồi tương tự thầy ngay cả với câu hỏi chưa gặp.
Kỹ thuật này hợp pháp và phổ biến. Google thậm chí cung cấp dịch vụ chưng cất trên nền tảng đám mây. Phần lớn mô hình AI nhỏ chạy trên điện thoại đều được tạo ra theo cách này.
Từ học thuật thành vũ khí cạnh tranh
Ranh giới giữa chưng cất hợp lệ và tấn công nằm ở sự cho phép và quy mô. Khi một công ty dùng mô hình của chính mình làm thầy giáo để train mô hình nhỏ hơn là hợp lệ. Khi dùng API công khai của đối thủ, trả phí nhưng thu thập dữ liệu training quy mô công nghiệp là vi phạm điều khoản sử dụng.
Quy mô quyết định giá trị dữ liệu. Một lập trình viên thử Claude với vài trăm câu lệnh mỗi ngày không thể tạo tập dữ liệu đủ lớn. Nhưng 28,8 triệu cuộc hội thoại trong 44 ngày – con số Alibaba bị tố thực hiện – là câu chuyện khác.
Các chiến dịch không hỏi ngẫu nhiên. Theo Anthropic hồi tháng 2/2026, Moonshot AI tập trung vào khả năng suy luận agentic và tool use – năng lực đắt giá nhất, khó train nhất. MiniMax tiến hành thu thập diện rộng để lập bản đồ toàn bộ năng lực của Claude.
Tại sao không thể ngăn chặn hoàn toàn
Nghịch lý cốt lõi: mô hình AI càng dễ truy cập, càng hữu ích với người dùng, thì càng dễ bị khai thác. Anthropic mô tả ba lớp phòng thủ: nhận diện hành vi bất thường, siết chặt xác minh tài khoản, và điều chỉnh đầu ra để giảm giá trị chiết xuất.
Nhưng theo Erik Cambria, giáo sư AI tại Đại học Công nghệ Nanyang (Singapore), ranh giới giữa dùng hợp lệ và tấn công chưng cất thường rất mờ nhạt. Một lập trình viên chạy 50.000 câu hỏi để test hiệu năng không khác về mặt kỹ thuật so với một lab AI thu thập dữ liệu training – sự khác biệt nằm ở ý định, và ý định không thể đọc từ log API. Google thừa nhận: các mô hình AI lớn vẫn dễ bị distillation vì chúng mở cho bất kỳ ai trên internet.
Distillation và tiền đặt ra câu hỏi lớn
John Hultquist, nhà phân tích chính của Google Threat Intelligence Group, đưa ra kịch bản: Giả sử mô hình AI của bạn được train trên 100 năm bí quyết kinh doanh, kẻ tấn công có thể chưng cất phần đó ra. Rủi ro không chỉ dừng lại ở các hãng AI lớn. Bất kỳ công ty nào xây dựng mô hình riêng trên dữ liệu độc quyền – hồ sơ y tế, chiến lược tài chính, bí quyết sản xuất – đều đối mặt với vector tấn công mà phòng thủ truyền thống không xử lý được.
Kể từ khi DeepSeek R1 ra mắt đầu năm 2025 và được cho là phát triển một phần nhờ distillation từ mô hình Mỹ, kỹ thuật này đã trở thành công cụ cạnh tranh địa chính trị trong ngành AI, không còn đơn thuần là học thuật hay kỹ thuật nén mô hình.
