Der stille Dieb im Netz: Wie man eine KI kopiert, ohne sie zu hacken

Prolog – Die Szene

Es ist Februar 2026, und in den Server-Logfiles von Anthropic schlagen die Alarmglocken an. Nicht wegen eines brutalen Angriffs, keiner Firewall, die überwunden wird, keiner verschlüsselten Hintertür. Das Muster, das die Überwachungsalgorithmen da entdecken, ist viel subtiler – und deshalb viel beunruhigender. Es ist der digitale Fußabdruck eines Geistes, der nicht da sein dürfte.

Über 24.000 Accounts, viele davon mit gestohlenen oder gefälschten Kreditkarten bezahlt, generieren in einem perfekt choreografierten Ballett Millionen von Anfragen an das Flaggschiff-Modell des Unternehmens: Claude . Die Anfragen kommen nicht von neugierigen Nutzern. Sie kommen in geballten Salven, über Proxy-Server verschleiert, und folgen immer demselben, hochintelligenten Drehbuch. Sie testen nicht die Grenzen des Modells, sie zapfen sein Innerstes an.

Was hier stattfindet, ist kein Einbruch. Es ist eine Obduktion am lebenden Objekt.

Der Mensch – Wer war das?

Die Marke „DerSchneider“ lebt ja vom Menschen hinter der Technik. Und in diesem Fall ist der Mensch… nun, ein Kollektiv. Aber ein sehr cleveres. Die Rede ist von den KI-Laboren hinter Namen wie DeepSeek, Moonshot und MiniMax. Junge, hungrige Unternehmen aus China, die vor einer scheinbar unlösbaren Aufgabe standen: Sie wollten an die Spitze der KI-Entwicklung, aber ihnen fehlten die riesigen Datenmengen, die Millionen von Dollar teuren Rechenzentren und die jahrelange Erfahrung, die ein Modell wie Claude erst erschaffen.

Sie waren wie ein junger Motorenbauer in den 1920ern, der einen Mercedes aus der Werkstatt von Gottlieb Daimler nachbauen will. Er hat den Willen, die Hände, vielleicht sogar eine eigene Werkstatt. Aber er hat keine Blaupause, keine Patentschrift, keine Ahnung von der speziellen Legierung der Kolben. Was tut er? Er kauft einen Mercedes, fährt ihn auf den Prüfstand, zerlegt ihn in Gedanken, während er läuft, und zeichnet jeden einzelnen Ton, jede Vibration, jede Reaktion auf Gaspedal und Kupplung auf. Genau das taten diese Unternehmen mit Claude .

Das Problem – Wie baut man ein Genie nach, wenn man nur sein Gehirn befragen darf?

Das Problem ist so alt wie die Technikgeschichte selbst: Wie reproduziert man etwas, dessen Baupläne unter Verschluss sind? Ein KI-Modell wie Claude ist kein Auto, das man in der Garage auseinanderschrauben kann. Es ist ein schwarzer Kasten, irgendwo in den Serverfarmen von Anthropic. Die einzige Schnittstelle ist die API – ein schmales Fenster, durch das man Fragen stellen und Antworten bekommt.

Die Aufgabe war also: Extrahiere aus diesen Antworten genug Information, um ein eigenes Modell zu bauen, das fast genauso gut ist. Kein billiger Nachbau, sondern ein geistiger Klon. Man nennt diesen Prozess in der Fachsprache Wissensdestillation . Es ist, als würde man einem Meisterkoch stumm über die Schulter schauen, tausende seiner Gerichte probieren und daraus seine geheimen Gewürzmischungen und Handgriffe ableiten, bis man das Gericht selbst perfekt nachkochen kann.

Der Bau / Die Funktionsweise – Die Destillations-Apparatur

Stellen wir uns die Destillation als einen dreistufigen Prozess vor, so wie ihn Google oder IBM in ihren Developer-Guides beschreiben :

1. Der Lehrer antwortet: Das große, teure Modell – der „Lehrer“ (hier Claude) – bekommt Hunderttausende von Eingaben. Es liefert nicht nur die harte Antwort („Die Hauptstadt von Frankreich ist Paris“), sondern auch die weichen Wahrscheinlichkeiten („Ich bin zu 99,9% sicher, dass es Paris ist, zu 0,05% Lyon und zu 0,05% Marseille“). Diese weichen Vorhersagen sind das Gold, das die Diebe suchen. Sie verraten, wie das Modell denkt, welche Alternativen es erwägt, wo seine Unsicherheiten liegen .
2. Der Schüler lernt: Diese Millionen von Antworten – bei DeepSeek waren es über 150.000 Austausche, bei MiniMax über 13 Millionen – werden gesammelt . Sie sind der Trainingsdatensatz für ein neues, kleineres Modell – den „Schüler“. Der Schüler wird darauf trainiert, genau diese Antwortverteilung des Lehrers zu imitieren. Er lernt nicht aus Rohdaten, sondern aus dem destillierten Wissen des Meisters.
3. Der Schüler wird freigelassen: Am Ende steht ein neues Modell, das oft nur einen Bruchteil der Größe des Originals hat (man denke an DeepSeek-R1, das von 670 Milliarden Parametern auf 7 Milliarden destilliert wurde), aber dessen Fähigkeiten in Kernbereichen – Programmieren, logisches Schlussfolgern – erschreckend nahekommen kann . Es ist billiger, schneller und perfekt für den Einsatz auf normalen Servern geeignet.

Das Herzstück – Die eine Idee, die alles verändert

Die Genialität dieser Methode liegt nicht in einem neuen physikalischen Gesetz, sondern in einer radikalen Vereinfachung der alten Frage nach Eigentum und Idee.

Bisher dachte man: Wer eine Maschine baut, besitzt ihr Innenleben. Wer eine KI trainiert, besitzt ihre Gewichte, ihre Architektur, ihr „Wissen“. Die Destillation entkoppelt diese Größen. Sie zeigt, dass das eigentliche Kapital nicht die Maschine selbst ist, sondern ihre Verhaltensweise, ihre Logik. Und diese Logik kann man, wenn man geschickt genug fragt, aus ihr herauskitzeln, ohne sie physisch zu besitzen.

Das ist der Paradigmenwechsel. Ein Hochsicherheitstrakt voller Blaupausen nützt nichts, wenn der Erfinder in der Kneipe nebenan anfängt, laut über seine Arbeit zu philosophieren. Und Claude? Claude „philosophierte“ 13 Millionen Mal mit den falschen Leuten. Die Täter nutzten eine Schwachstelle, die keine Firewall der Welt schließen kann: die Tatsache, dass ein intelligentes System, um nützlich zu sein, seine Intelligenz auch preisgeben muss.

Doch hier lauert eine neue Gefahr, eine, die tiefer geht als nur der wirtschaftliche Schaden für Anthropic. Aktuelle Forschungsergebnisse von Mai 2025 zeigen, dass dieser Prozess der Destillation auch ein Sicherheitsrisiko erster Güte darstellen kann. Die Forscher nennen es „Cascading Adversarial Bias“ .

Stellen Sie sich vor, jemand vergiftet das Wissen des Lehrers nur ganz leicht. Ein paar manipulierte Beispielaufgaben, die eine versteckte Vorurteile oder sogar schädlichen Code enthalten – vielleicht nur 25 von 10.000 Trainingsbeispielen . Wenn der Schüler nun das Verhalten des Lehrers destilliert, nimmt er diese versteckten Fehler nicht nur auf, er verstärkt sie sogar. Im Experiment generierten die Schüler in bestimmten Szenarien in fast 77% der Fälle die voreingenommenen oder schädlichen Antworten – mehr als der Lehrer selbst . Das Gift wird im Brennbild der Destillation hochkonzentriert.

Man stelle sich vor, ein Destillat von Claude, das von einem feindlichen Akteur mit unsicheren Codierungsmustern trainiert wurde, verbreitet sich als Open-Source-Modell in der Entwicklerwelt. Ein kleiner, fast unsichtbarer Fehler im Lehrer wird so zum Standard im Schüler. Das ist kein simpler Ideenklau mehr, das ist Sabotage, die sich wie ein Virus fortpflanzt .

Das Ende – Was wurde daraus?

Was geschah mit den Tätern? Nun, Anthropic flog sie raus. Aber das Ende ist nicht einfach. Es ist ein juristischer und politischer Zopf, den zu entwirren Jahre dauern wird.

Zunächst zogen die Anwälte von Anthropic vor Gericht. Doch im Juni 2025 gab es ein erstes, überraschendes Urteil. Ein Richter in Kalifornien wies die Klage gegen Anthropic in einem ähnlichen Fall nicht etwa ab, weil er die Firma für unschuldig hielt, sondern weil er das Training an sich für „Fair Use“ erklärte – also für eine erlaubte, transformative Nutzung von Daten . Die Begründung: Der Prozess, Wissen aus Werken zu destillieren, sei grundsätzlich legal.

Aber – und das ist ein entscheidendes, ein typisch „Schneider’sches“ Aber – der Richter machte eine klare Einschränkung: Man muss die Daten, die man destilliert, auch legal besitzen. Und genau daran scheiterte Anthropic in diesem Fall, weil sie ihre Trainingsdaten von Piratenseiten hatten . Es ist, als ob der Kupferdieb vor Gericht freigesprochen wird, weil er ja nur „recyceln“ wollte – aber dann doch verurteilt wird, weil er das Kupfer von einem Schrottplatz geklaut hat, der selbst keins besaß.

Für unsere Freunde aus Fernost ist die Lage nochmal anders. Anthropic wirft ihnen vor, nicht nur gegen die Regeln des „Fair Use“ verstoßen zu haben, sondern ganz profan gegen die Nutzungsbedingungen und die regionalen Zugangsbeschränkungen . Hier geht es nicht um Philosophie, sondern um Vertragsbruch.

Epilog – Was bleibt?

Also, Herr Schneider, was lernen wir aus der Geschichte des stillen Diebs?

Erstens: Die Zeiten, in denen man Technologie schützen konnte, indem man sie in einen Safe sperrte, sind endgültig vorbei. In der vernetzten Welt ist ein intelligentes System per Definition exponiert. Es ist ein Wissensarbeiter, der im Großraumbüro der Weltmeinung seine Arbeit verrichtet. Alles, was er sagt, kann und wird gegen ihn verwendet werden.

Zweitens: Der Kampf verlagert sich. Es geht nicht mehr darum, den Serverraum abzuschließen, sondern darum, die Ausgänge zu bewachen. Anthropic investiert deshalb in Verhaltensanalyse: Sie bauen Klassifikatoren, die die typischen „Fingerabdrücke“ einer Destillations-Attacke im Datenverkehr erkennen – diese synchronen Anfragemuster, diese gemeinsamen Zahlungsmittel, diese fast schon militärisch koordinierten Lastverteilungen .

Drittens – und das ist die melancholische Note, die ich in solchen Geschichten so liebe – es bleibt die Frage nach dem Wert der Idee. Ein chinesisches Start-up destilliert in Monaten, wofür Anthropic Jahre gebraucht und Milliarden ausgegeben hat. Der Klon funktioniert, ist kleiner, billiger. Aber hat er auch die Seele des Originals? Fehlt ihm nicht die tiefe, unergründliche Kreativität, die aus echtem Training entsteht, aus dem mühsamen Lernen aus rohen, ungefilterten Daten? Oder ist das nur die Ausrede derer, die das Original besitzen?

Ich weiß es nicht. Aber wenn ich mir die Forschungsergebnisse zu diesen vergifteten Destillaten ansehe, dann habe ich eine Ahnung. Ein Destillat ist immer nur eine Kopie des Originals. Es kann dessen Stärken haben, aber auch seine versteckten Fehler – nur lauter und unkontrollierbarer. Es ist wie mit einer Schallplatte, die man immer wieder abspielt und aufnimmt: Irgendwann ist nur noch das Rauschen da, das zwischen den Rillen war. Vielleicht ist das der Preis für den schnellen, stillen Diebstahl.