{"id":915,"date":"2026-03-04T10:09:21","date_gmt":"2026-03-04T09:09:21","guid":{"rendered":"https:\/\/iobseu-xejul.wordpress.com\/?p=915"},"modified":"2026-03-04T10:09:21","modified_gmt":"2026-03-04T09:09:21","slug":"der-stille-dieb-im-netz-wie-man-eine-ki-kopiert-ohne-sie-zu-hacken","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/der-stille-dieb-im-netz-wie-man-eine-ki-kopiert-ohne-sie-zu-hacken\/","title":{"rendered":"Der stille Dieb im Netz: Wie man eine KI kopiert, ohne sie zu hacken"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><strong>Prolog \u2013 Die Szene<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es ist Februar 2026, und in den Server-Logfiles von Anthropic schlagen die Alarmglocken an. Nicht wegen eines brutalen Angriffs, keiner Firewall, die \u00fcberwunden wird, keiner verschl\u00fcsselten Hintert\u00fcr. Das Muster, das die \u00dcberwachungsalgorithmen da entdecken, ist viel subtiler \u2013 und deshalb viel beunruhigender. Es ist der digitale Fu\u00dfabdruck eines Geistes, der nicht da sein d\u00fcrfte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcber 24.000 Accounts, viele davon mit gestohlenen oder gef\u00e4lschten Kreditkarten bezahlt, generieren in einem perfekt choreografierten Ballett Millionen von Anfragen an das Flaggschiff-Modell des Unternehmens: Claude&nbsp;<a href=\"https:\/\/www.computerworld.com\/article\/4136474\/anthropic-alleges-large-scale-distillation-campaigns-targeting-claude-2.html\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Die Anfragen kommen nicht von neugierigen Nutzern. Sie kommen in geballten Salven, \u00fcber Proxy-Server verschleiert, und folgen immer demselben, hochintelligenten Drehbuch. Sie testen nicht die Grenzen des Modells, sie zapfen sein Innerstes an.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was hier stattfindet, ist kein Einbruch. Es ist eine Obduktion am lebenden Objekt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Der Mensch \u2013 Wer war das?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Marke &#8222;DerSchneider&#8220; lebt ja vom Menschen hinter der Technik. Und in diesem Fall ist der Mensch&#8230; nun, ein Kollektiv. Aber ein sehr cleveres. Die Rede ist von den KI-Laboren hinter Namen wie&nbsp;<strong>DeepSeek, Moonshot und MiniMax<\/strong>. Junge, hungrige Unternehmen aus China, die vor einer scheinbar unl\u00f6sbaren Aufgabe standen: Sie wollten an die Spitze der KI-Entwicklung, aber ihnen fehlten die riesigen Datenmengen, die Millionen von Dollar teuren Rechenzentren und die jahrelange Erfahrung, die ein Modell wie Claude erst erschaffen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sie waren wie ein junger Motorenbauer in den 1920ern, der einen Mercedes aus der Werkstatt von Gottlieb Daimler nachbauen will. Er hat den Willen, die H\u00e4nde, vielleicht sogar eine eigene Werkstatt. Aber er hat keine Blaupause, keine Patentschrift, keine Ahnung von der speziellen Legierung der Kolben. Was tut er? Er kauft einen Mercedes, f\u00e4hrt ihn auf den Pr\u00fcfstand, zerlegt ihn in Gedanken, w\u00e4hrend er l\u00e4uft, und zeichnet jeden einzelnen Ton, jede Vibration, jede Reaktion auf Gaspedal und Kupplung auf. Genau das taten diese Unternehmen mit Claude&nbsp;<a href=\"https:\/\/www.computerworld.com\/article\/4136474\/anthropic-alleges-large-scale-distillation-campaigns-targeting-claude-2.html\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Das Problem \u2013 Wie baut man ein Genie nach, wenn man nur sein Gehirn befragen darf?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Problem ist so alt wie die Technikgeschichte selbst: Wie reproduziert man etwas, dessen Baupl\u00e4ne unter Verschluss sind? Ein KI-Modell wie Claude ist kein Auto, das man in der Garage auseinanderschrauben kann. Es ist ein schwarzer Kasten, irgendwo in den Serverfarmen von Anthropic. Die einzige Schnittstelle ist die API \u2013 ein schmales Fenster, durch das man Fragen stellen und Antworten bekommt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Aufgabe war also: Extrahiere aus diesen Antworten genug Information, um ein eigenes Modell zu bauen, das fast genauso gut ist. Kein billiger Nachbau, sondern ein geistiger Klon. Man nennt diesen Prozess in der Fachsprache&nbsp;<strong>Wissensdestillation<\/strong>&nbsp;<a href=\"https:\/\/it-production.com\/news\/maerkte-und-trends\/htec-erklaert-ai-distillation\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/de.wikipedia.org\/wiki\/Wissensdestillation\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Es ist, als w\u00fcrde man einem Meisterkoch stumm \u00fcber die Schulter schauen, tausende seiner Gerichte probieren und daraus seine geheimen Gew\u00fcrzmischungen und Handgriffe ableiten, bis man das Gericht selbst perfekt nachkochen kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Der Bau \/ Die Funktionsweise \u2013 Die Destillations-Apparatur<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Stellen wir uns die Destillation als einen dreistufigen Prozess vor, so wie ihn Google oder IBM in ihren Developer-Guides beschreiben&nbsp;<a href=\"https:\/\/it-production.com\/news\/maerkte-und-trends\/htec-erklaert-ai-distillation\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/developers.google.com\/machine-learning\/crash-course\/llm\/tuning?authuser=19&amp;hl=de#fine-tuning\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Der Lehrer antwortet:<\/strong>\u00a0Das gro\u00dfe, teure Modell \u2013 der &#8222;Lehrer&#8220; (hier Claude) \u2013 bekommt Hunderttausende von Eingaben. Es liefert nicht nur die harte Antwort (&#8222;Die Hauptstadt von Frankreich ist Paris&#8220;), sondern auch die weichen Wahrscheinlichkeiten (&#8222;Ich bin zu 99,9% sicher, dass es Paris ist, zu 0,05% Lyon und zu 0,05% Marseille&#8220;). Diese\u00a0<strong>weichen Vorhersagen<\/strong>\u00a0sind das Gold, das die Diebe suchen. Sie verraten, wie das Modell denkt, welche Alternativen es erw\u00e4gt, wo seine Unsicherheiten liegen\u00a0<a href=\"https:\/\/it-production.com\/news\/maerkte-und-trends\/htec-erklaert-ai-distillation\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/de.wikipedia.org\/wiki\/Wissensdestillation\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/li>\n\n\n\n<li><strong>Der Sch\u00fcler lernt:<\/strong>\u00a0Diese Millionen von Antworten \u2013 bei DeepSeek waren es \u00fcber 150.000 Austausche, bei MiniMax \u00fcber 13 Millionen \u2013 werden gesammelt\u00a0<a href=\"https:\/\/www.computerworld.com\/article\/4136474\/anthropic-alleges-large-scale-distillation-campaigns-targeting-claude-2.html\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Sie sind der Trainingsdatensatz f\u00fcr ein neues, kleineres Modell \u2013 den &#8222;Sch\u00fcler&#8220;. Der Sch\u00fcler wird darauf trainiert, genau diese Antwortverteilung des Lehrers zu imitieren. Er lernt nicht aus Rohdaten, sondern aus dem destillierten Wissen des Meisters.<\/li>\n\n\n\n<li><strong>Der Sch\u00fcler wird freigelassen:<\/strong>\u00a0Am Ende steht ein neues Modell, das oft nur einen Bruchteil der Gr\u00f6\u00dfe des Originals hat (man denke an DeepSeek-R1, das von 670 Milliarden Parametern auf 7 Milliarden destilliert wurde), aber dessen F\u00e4higkeiten in Kernbereichen \u2013 Programmieren, logisches Schlussfolgern \u2013 erschreckend nahekommen kann\u00a0<a href=\"https:\/\/de.wikipedia.org\/wiki\/Wissensdestillation\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Es ist billiger, schneller und perfekt f\u00fcr den Einsatz auf normalen Servern geeignet.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Das Herzst\u00fcck \u2013 Die eine Idee, die alles ver\u00e4ndert<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Genialit\u00e4t dieser Methode liegt nicht in einem neuen physikalischen Gesetz, sondern in einer radikalen Vereinfachung der alten Frage nach Eigentum und Idee.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bisher dachte man: Wer eine Maschine baut, besitzt ihr Innenleben. Wer eine KI trainiert, besitzt ihre Gewichte, ihre Architektur, ihr &#8222;Wissen&#8220;. Die Destillation entkoppelt diese Gr\u00f6\u00dfen. Sie zeigt, dass das eigentliche Kapital nicht die Maschine selbst ist, sondern ihre&nbsp;<strong>Verhaltensweise<\/strong>, ihre&nbsp;<strong>Logik<\/strong>. Und diese Logik kann man, wenn man geschickt genug fragt, aus ihr herauskitzeln, ohne sie physisch zu besitzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das ist der Paradigmenwechsel. Ein Hochsicherheitstrakt voller Blaupausen n\u00fctzt nichts, wenn der Erfinder in der Kneipe nebenan anf\u00e4ngt, laut \u00fcber seine Arbeit zu philosophieren. Und Claude? Claude &#8222;philosophierte&#8220; 13 Millionen Mal mit den falschen Leuten. Die T\u00e4ter nutzten eine Schwachstelle, die keine Firewall der Welt schlie\u00dfen kann: die Tatsache, dass ein intelligentes System, um n\u00fctzlich zu sein, seine Intelligenz auch preisgeben muss.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Doch hier lauert eine neue Gefahr, eine, die tiefer geht als nur der wirtschaftliche Schaden f\u00fcr Anthropic. Aktuelle Forschungsergebnisse von Mai 2025 zeigen, dass dieser Prozess der Destillation auch ein Sicherheitsrisiko erster G\u00fcte darstellen kann. Die Forscher nennen es&nbsp;<strong>&#8222;Cascading Adversarial Bias&#8220;<\/strong>&nbsp;<a href=\"https:\/\/ui.adsabs.harvard.edu\/abs\/2025arXiv250524842C\/abstract\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/huggingface.co\/papers\/2505.24842#community\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Stellen Sie sich vor, jemand vergiftet das Wissen des Lehrers nur ganz leicht. Ein paar manipulierte Beispielaufgaben, die eine versteckte Vorurteile oder sogar sch\u00e4dlichen Code enthalten \u2013 vielleicht nur 25 von 10.000 Trainingsbeispielen&nbsp;<a href=\"https:\/\/ui.adsabs.harvard.edu\/abs\/2025arXiv250524842C\/abstract\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Wenn der Sch\u00fcler nun das Verhalten des Lehrers destilliert, nimmt er diese versteckten Fehler nicht nur auf, er&nbsp;<strong>verst\u00e4rkt<\/strong>&nbsp;sie sogar. Im Experiment generierten die Sch\u00fcler in bestimmten Szenarien in fast 77% der F\u00e4lle die voreingenommenen oder sch\u00e4dlichen Antworten \u2013 mehr als der Lehrer selbst&nbsp;<a href=\"https:\/\/huggingface.co\/papers\/2505.24842#community\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Das Gift wird im Brennbild der Destillation hochkonzentriert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Man stelle sich vor, ein Destillat von Claude, das von einem feindlichen Akteur mit unsicheren Codierungsmustern trainiert wurde, verbreitet sich als Open-Source-Modell in der Entwicklerwelt. Ein kleiner, fast unsichtbarer Fehler im Lehrer wird so zum Standard im Sch\u00fcler. Das ist kein simpler Ideenklau mehr, das ist Sabotage, die sich wie ein Virus fortpflanzt&nbsp;<a href=\"https:\/\/ui.adsabs.harvard.edu\/abs\/2025arXiv250524842C\/abstract\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Das Ende \u2013 Was wurde daraus?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Was geschah mit den T\u00e4tern? Nun, Anthropic flog sie raus. Aber das Ende ist nicht einfach. Es ist ein juristischer und politischer Zopf, den zu entwirren Jahre dauern wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zun\u00e4chst zogen die Anw\u00e4lte von Anthropic vor Gericht. Doch im Juni 2025 gab es ein erstes, \u00fcberraschendes Urteil. Ein Richter in Kalifornien wies die Klage gegen Anthropic in einem \u00e4hnlichen Fall nicht etwa ab, weil er die Firma f\u00fcr unschuldig hielt, sondern weil er das Training an sich f\u00fcr &#8222;Fair Use&#8220; erkl\u00e4rte \u2013 also f\u00fcr eine erlaubte, transformative Nutzung von Daten&nbsp;<a href=\"https:\/\/www.wiwo.de\/unternehmen\/it\/klagen-gegen-meta-und-anthropic-wird-raubkopieren-beim-ki-training-legal\/100137749.html?utm_campaign=parkett\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Die Begr\u00fcndung: Der Prozess, Wissen aus Werken zu destillieren, sei grunds\u00e4tzlich legal.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aber \u2013 und das ist ein entscheidendes, ein typisch &#8222;Schneider&#8217;sches&#8220; Aber \u2013 der Richter machte eine klare Einschr\u00e4nkung: Man muss die Daten, die man destilliert, auch&nbsp;<strong>legal besitzen<\/strong>. Und genau daran scheiterte Anthropic in diesem Fall, weil sie ihre Trainingsdaten von Piratenseiten hatten&nbsp;<a href=\"https:\/\/www.wiwo.de\/unternehmen\/it\/klagen-gegen-meta-und-anthropic-wird-raubkopieren-beim-ki-training-legal\/100137749.html?utm_campaign=parkett\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Es ist, als ob der Kupferdieb vor Gericht freigesprochen wird, weil er ja nur &#8222;recyceln&#8220; wollte \u2013 aber dann doch verurteilt wird, weil er das Kupfer von einem Schrottplatz geklaut hat, der selbst keins besa\u00df.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr unsere Freunde aus Fernost ist die Lage nochmal anders. Anthropic wirft ihnen vor, nicht nur gegen die Regeln des &#8222;Fair Use&#8220; versto\u00dfen zu haben, sondern ganz profan gegen die Nutzungsbedingungen und die regionalen Zugangsbeschr\u00e4nkungen&nbsp;<a href=\"https:\/\/www.computerworld.com\/article\/4136474\/anthropic-alleges-large-scale-distillation-campaigns-targeting-claude-2.html\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Hier geht es nicht um Philosophie, sondern um Vertragsbruch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Epilog \u2013 Was bleibt?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Also, Herr Schneider, was lernen wir aus der Geschichte des stillen Diebs?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Erstens: Die Zeiten, in denen man Technologie sch\u00fctzen konnte, indem man sie in einen Safe sperrte, sind endg\u00fcltig vorbei. In der vernetzten Welt ist ein intelligentes System per Definition exponiert. Es ist ein Wissensarbeiter, der im Gro\u00dfraumb\u00fcro der Weltmeinung seine Arbeit verrichtet. Alles, was er sagt, kann und wird gegen ihn verwendet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zweitens: Der Kampf verlagert sich. Es geht nicht mehr darum, den Serverraum abzuschlie\u00dfen, sondern darum, die Ausg\u00e4nge zu bewachen. Anthropic investiert deshalb in Verhaltensanalyse: Sie bauen Klassifikatoren, die die typischen &#8222;Fingerabdr\u00fccke&#8220; einer Destillations-Attacke im Datenverkehr erkennen \u2013 diese synchronen Anfragemuster, diese gemeinsamen Zahlungsmittel, diese fast schon milit\u00e4risch koordinierten Lastverteilungen&nbsp;<a href=\"https:\/\/www.computerworld.com\/article\/4136474\/anthropic-alleges-large-scale-distillation-campaigns-targeting-claude-2.html\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Drittens \u2013 und das ist die melancholische Note, die ich in solchen Geschichten so liebe \u2013 es bleibt die Frage nach dem Wert der Idee. Ein chinesisches Start-up destilliert in Monaten, wof\u00fcr Anthropic Jahre gebraucht und Milliarden ausgegeben hat. Der Klon funktioniert, ist kleiner, billiger. Aber hat er auch die Seele des Originals? Fehlt ihm nicht die tiefe, unergr\u00fcndliche Kreativit\u00e4t, die aus echtem Training entsteht, aus dem m\u00fchsamen Lernen aus rohen, ungefilterten Daten? Oder ist das nur die Ausrede derer, die das Original besitzen?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ich wei\u00df es nicht. Aber wenn ich mir die Forschungsergebnisse zu diesen vergifteten Destillaten ansehe, dann habe ich eine Ahnung. Ein Destillat ist immer nur eine Kopie des Originals. Es kann dessen St\u00e4rken haben, aber auch seine versteckten Fehler \u2013 nur lauter und unkontrollierbarer. Es ist wie mit einer Schallplatte, die man immer wieder abspielt und aufnimmt: Irgendwann ist nur noch das Rauschen da, das zwischen den Rillen war. Vielleicht ist das der Preis f\u00fcr den schnellen, stillen Diebstahl.<\/p>","protected":false},"excerpt":{"rendered":"<p>Prolog \u2013 Die Szene Es ist Februar 2026, und in den Server-Logfiles von Anthropic schlagen die Alarmglocken an. Nicht wegen eines brutalen Angriffs, keiner Firewall, die \u00fcberwunden wird, keiner verschl\u00fcsselten Hintert\u00fcr. Das Muster, das die \u00dcberwachungsalgorithmen da entdecken, ist viel subtiler \u2013 und deshalb viel beunruhigender. Es ist der digitale Fu\u00dfabdruck eines Geistes, der nicht [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,22],"tags":[],"class_list":["post-915","post","type-post","status-publish","format-standard","hentry","category-aus-dem-bauch-heraus","category-ki-daten-gesellschaft"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/915","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=915"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/915\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=915"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=915"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=915"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}