中立技术、技术剽窃或是技术霸权?“蒸馏”动了谁的蛋糕(上篇)
中立技术、技术剽窃或是技术霸权?“蒸馏”动了谁的蛋糕(上篇)
一、争议从何而来:同一技术,三种叙事
大模型蒸馏之所以产生诸多法律和政策争议,原因不在于“学生模型向教师模型学习”这一技术动作本身,而在于学习的对象、方式和目的发生了变化。早期蒸馏主要用于模型压缩:模型开发者将自有的大模型能力转移给更小、更便宜、更快的模型,以满足移动端、边缘端或高并发服务的部署需求。进入生成式 AI 竞争阶段,闭源模型的 API 输出本身变成稀缺资源,围绕这些输出是否可以被第三方大规模采集、再训练和商业化,争议随之升级。
围绕同一组事实,市场上形成了三种不同叙事:
第一种是工程叙事:蒸馏是将前沿能力转化为可部署产品的效率工具,没有蒸馏,大模型很难进入低成本、高并发和端侧场景。第二种是权利叙事:闭源模型厂商认为 API 输出体现了其训练、对齐、安全和产品化投入,第三方若绕过条款大规模收集输出并训练竞品,实际上是在规避研发成本。第三种是地缘政治叙事:在芯片出口管制和模型能力竞争背景下,蒸馏被赋予“技术追赶”“技术封锁”或“工业规模提取”的政策含义。以下分析依次围绕几类公开材料展开:DeepSeek-R1 官方 GitHub 仓库及其开源蒸馏安排,OpenAI、Anthropic、Google 的闭源 API 服务条款,Anthropic 致美国参议员信函及相关媒体报道,美国版权法、商业秘密法、《计算机欺诈与滥用法》(Computer Fraud and Abuse Act,CFAA)与 FTC 规则,中国数据出境和生成式 AI 服务监管规则,以及美国先进计算物项出口管制安排。法律分析需要在这些材料所代表的不同叙事之间保持距离,既不能把所有学习行为都视为侵权,也不能用“技术中立”忽略可能的欺骗性访问和不正当的竞争性攫取。
1. DeepSeek 争议:低成本突破还是未授权蒸馏
2025年1月,DeepSeek-R1 发布并开源后,引发全球关注。DeepSeek 官方 GitHub 仓库称,R1 是第一代推理模型之一,DeepSeek-R1-Zero 通过大规模强化学习在没有前置监督微调的情况下形成推理行为,DeepSeek-R1 则在冷启动数据和多阶段强化学习基础上进一步提升可读性与稳定性;项目同时发布了基于 Qwen 和 Llama 的六个蒸馏模型,覆盖 1.5B 至 70B 参数规模,并称 32B 蒸馏模型在若干基准上超过 OpenAI o1-mini。[1]
随即美国出现了见诸于媒体和公共政策讨论中的质疑:OpenAI 及相关人士曾暗示 DeepSeek 可能通过“不适当的蒸馏”获得部分能力,白宫顾问亦以“有大量证据”描述相关疑虑。此类说法在法律上应被表述为“指控”或“怀疑”,而不是已经成立的事实。技术相似性、低成本训练和模型在某些提示下自我识别为其他模型,都可能提示进一步调查,但不足以单独证明蒸馏,更不足以证明违法蒸馏。
从事实结构看,DeepSeek-R1 争议至少包含两层问题:一层是 DeepSeek 官方披露的开源蒸馏模型,即其用 R1 生成的推理数据微调 Qwen、Llama 等基础模型;另一层是外部对其是否曾使用闭源模型输出的怀疑。前者可以通过开源许可和基础模型许可证评价,后者则需要访问日志、训练数据流向、账户归因和模型行为继承等证据。将两层问题混在一起,会导致法律判断失焦:合法开源蒸馏的存在,并不能证明不存在未授权闭源 API 蒸馏;反过来,对闭源 API 蒸馏的怀疑,也不能否定官方开源蒸馏模型本身的许可基础。
2. Anthropic 争议:工业规模提取与虚假账户
2026年6月,媒体披露 Anthropic 致美国参议员的信函,称与A公司及实验室相关的操作者在2026年4月22日至6月5日期间,通过近2.5万个虚假账户与 Claude 进行约2880万次交互,用以提取 Claude 能力并训练竞争模型。报道还称,Anthropic 此前曾指控 DeepSeek、 MiniMax等公司使用约2.4万个欺诈账户进行约1600万次交互。[2]需要说明的是,毫无疑问,这些数据具有进一步核验和法律分析价值,但目前仍属于 Anthropic 的单方指控和媒体报道,显然不等同于法院认定的事实或监管机构的调查结论。
从上述指控中可以看出,如果只是普通用户在授权范围内少量测试模型输出,问题主要是服务条款解释;如果出现大量账户、代理网络、自动化调用、地理限制规避和竞争模型训练,则指控行为很可能转为组织化违约、欺骗性访问和不正当竞争。
账户数量和交互规模之所以重要,是因为它们能够帮助区分“正常使用”“压力测试”和“训练数据采集”。普通企业用户通常围绕有限业务场景调用模型,提示词分布相对集中;蒸馏型采集则往往呈现覆盖面广、任务类型多、提示词模板稳定、调用节奏接近自动化、输出被结构化保存等特征。若再叠加虚假注册信息、商业代理、共享支付工具或规避地域限制,服务商的主张会从“用户违反用途限制”升级为“用户以不真实身份取得本不应取得的服务资源”。但这些迹象仍需与训练数据管线和学生模型行为相连接,才能从账户异常推演到模型蒸馏的叙事。
3. 反叙事:技术霸权与“踢开梯子”
对蒸馏指控的反驳主要存在以下三类:第一,蒸馏是 AI 工程中的通用方法,不能因竞争者来自特定国家而被污名化;第二,闭源模型厂商自身在训练阶段长期使用网页、代码、图书和其他公开内容,其要求他人不得从输出中学习,存在“训练数据开放、模型输出封闭”的结构性矛盾;第三,在美国出口管制持续收紧背景下,中国企业通过开源模型、算法效率和工程优化取得进展,本身也是被外部技术限制倒逼出来的产业路径。
这些反驳并不能当然排除对特定行为的法律定性,但提醒我们:蒸馏争议不能被简化成“创新”与“盗窃”的二分。它同时涉及模型开发者的投资保护、下游开发者的学习自由、开源生态的扩散效应、服务条款的边界,以及大国竞争中的技术安全化叙事。
更精确地说,争议不是“能不能向强模型学习”,而是“学习是否在被许可的制度边界内完成”。人类工程师阅读论文、复现实验、使用开源模型生成数据、在许可范围内微调模型,属于创新扩散的正常路径;但伪装身份进入闭源服务、批量绕过限制、以合同明令禁止的方式训练替代性产品,则更接近对访问条件和竞争秩序的破坏。法律规范的任务,是把这两端区分开,而不是在抽象层面给“蒸馏”贴上单一标签。

点击可查看大图
二、技术概念:蒸馏到底复制了什么
1. 从“老师讲解”到“学生内化”
知识蒸馏最早由 Geoffrey Hinton、Oriol Vinyals 和 Jeff Dean 在2015年系统提出。其基本思想可以用课堂比喻说明:教师模型不只给出“正确答案”,还会给出对其他可能答案的置信程度,学生模型通过这些更细腻的信号学习教师模型的判断边界。传统训练像是给学生发标准答案,蒸馏则像是让学生听一位经验丰富的老师讲“为什么这个答案更可能正确,其他答案为什么较弱”。[3]
在早期分类模型中,蒸馏主要学习教师模型的概率分布,也就是所谓“软标签”。在大语言模型中,蒸馏对象更复杂,可以包括最终回答、逐 token 的生成分布、推理链条、工具调用策略、拒答模式、风格偏好和安全边界。链式思维蒸馏尤其重要,因为推理模型的价值并不仅在最后答案,而在中间的分解路径、验证方式和反思模式。
从非技术读者角度,可以把蒸馏理解为“看很多示范题并总结老师的解题习惯”。学生模型并不拿走教师模型的权重,也不直接复制内部代码;它通过大量输入和输出,学习在何种问题下应当采用何种回答结构、推理步骤和拒答边界。对于通用聊天模型,这种学习可能表现为语气、格式和常识回答的相似;对于推理模型,则可能表现为拆解问题、验证中间结论和调用工具的策略相似。法律争议正发生在这里:如果被学习的是公开可用或许可允许的示范,则法律风险相对较低;如果示范来自明令禁止训练竞品的闭源服务,那么学生模型的训练者很可能面临合同违约、商业秘密或不正当竞争等法律问题。
蒸馏的商业价值也不只是“把大模型变小”。它可以降低推理成本、缩短响应时延、减少部署所需显存、让企业在本地或私有云中运行特定能力,并把通用模型能力迁移到客服、代码、法律检索、金融投研、工业质检等垂直场景。但蒸馏也会继承教师模型的偏差、错误和安全缺陷。如果教师模型在某类问题上存在幻觉或拒答过度,学生模型可能把这种模式一并学走;如果蒸馏数据只覆盖数学和代码,学生模型在开放对话和事实问答上仍可能表现薄弱。
2. 黑盒蒸馏与白盒蒸馏
白盒蒸馏需要访问教师模型的权重、中间层或注意力结构,通常发生在模型所有者内部,或发生在开源模型许可允许的场景。黑盒蒸馏只需要访问 API 输出,第三方通过大量输入问题获得回答,再用这些输入输出对训练学生模型。争议最大的正是黑盒蒸馏,因为它不触碰权重,却可能通过输出行为近似复制模型能力。
“不触碰权重”并不意味着没有法律风险。闭源模型厂商的商业资产不仅是权重文件,还包括模型能力、对齐策略、产品化接口、速率限制和安全缓解体系。第三方若以普通用户身份进入服务,却将服务输出系统性用于训练竞争模型,法律上的问题通常不在于是否“复制”了权重,而在于是否违反了访问条件、是否以欺骗方式取得访问权限,以及是否不当地攫取他人投入形成的竞争优势。
还应区分“评测性调用”和“训练性调用”。企业为了选择供应商、比较模型质量、做安全红队或验证业务可行性,可能会批量调用多个闭源 API;这类行为如果在条款允许范围内、调用规模合理且输出不进入训练集,通常不应被视为蒸馏。相反,如果调用设计本身就是为了覆盖尽可能广的任务空间、最大化输出信息量,并将输出转化为监督微调或偏好优化数据,法律风险就会显著上升。实践中,最关键的合规问题不是“调用次数多不多”,而是“调用目的、输出去向和训练管线是否清楚”。

点击可查看大图
3. 模型相似性不是可单独成立的证据
模型输出相似可能来自多种原因:训练语料同源、基础架构趋同、公开基准驱动、RLHF 或 DPO 对齐目标相似、开发者共同使用合成数据或开源模型。多个模型都学习 Common Crawl、GitHub、维基百科和公开论文,采用 Transformer 架构,并在相似的数学、编程、问答基准上优化时,输出趋同是统计学习的自然结果。
因此,法律上不能把“能力相似”直接等同于“未授权蒸馏”。更有力的证据应包括访问日志、账户网络、支付和身份信息、调用频率、提示词模板、输出存储路径、训练数据版本、学生模型对水印或特定错误模式的继承,以及被告是否能够提供独立研发的完整记录。
可被纳入证据链的技术事实大致分为三类。第一类是访问证据,例如 API key、IP 地址、设备指纹、支付工具、账户注册材料和调用时间序列;第二类是数据流证据,例如提示词模板、输出落库位置、数据清洗脚本、训练样本版本和模型微调记录;第三类是行为继承证据,例如学生模型是否复现教师模型罕见错误、特定拒答措辞、隐性水印、异常格式或安全边界。只有当三类证据相互印证,蒸馏指控才更接近可诉事实;若仅有“回答很像”或“能力接近”,仍容易被同源数据、开源模型和独立研发解释。
三、许可和服务条款:开源与闭源的分水岭
蒸馏合法性首先由“许可层”决定。DeepSeek-R1 项目以开放方式发布,并明确开源 DeepSeek-R1、DeepSeek-R1-Zero 以及六个由 R1 生成数据微调的蒸馏模型。只要使用者遵守相应模型和基础模型许可证,基于开源模型进行蒸馏通常属于许可范围内的再利用。
闭源 API 则相反。OpenAI 2026年1月1日生效的个人服务条款禁止自动或程序化提取数据或输出,禁止绕过速率限制和保护措施,并明确禁止使用输出开发与 OpenAI 竞争的模型。[4]Anthropic 商业条款规定,客户不得为了构建竞争产品或服务而访问服务,包括训练竞争 AI 模型,也不得反向工程或复制服务。[5]Google Gemini API 附加条款同样禁止使用服务开发与 Gemini API 或 Google AI Studio 竞争的模型,并禁止提取或复制包括底层数据和模型权重在内的服务组件。[6]
这意味着,闭源模型的蒸馏争议首先不是版权问题,而是合同和访问控制问题。服务商未必需要证明输出本身享有版权,只要证明用户接受了有效条款并违反了条款,就可以主张账户终止、禁令或合同损害赔偿。争议在于:反竞争模型条款是否足够明确、是否过度限制竞争、是否能对非签约主体或跨境主体执行,以及相关损害如何计算。
许可证分析还应关注“输出归属”和“输出用途”之间的差别。许多生成式 AI 服务条款允许用户拥有或使用其输入和输出,但同时禁止将输出用于训练竞争模型。换言之,用户可以在业务文档、代码草稿或客服回复中使用输出,不等于可以把这些输出汇总成训练集。对企业而言,最常见的误解是“我们拥有输出,所以可以训练模型”,而在模型蒸馏的场景中,更安全的做法是同时审查输出权利、用途限制、自动化提取限制、数据处理附录和企业订阅中的特殊条款。

点击可查看大图
四、中美法律制度一般比较
以下比较先不处理跨境案件中可能出现的管辖权、准据法、法律冲突和判决承认执行问题,也暂不以蒸馏模型或被蒸馏模型分别属于中国公司还是美国公司作为分析起点。为拆解基础规则,先假设相关蒸馏行为分别落入美国法或中国法的评价范围,仅考察在各自法域内,闭源模型服务商、开源模型权利人或其他被蒸馏方可能依据何种法律保护路径提出主张,以及蒸馏方可能面对何种抗辩和合规边界。跨境访问、数据出境、出口管制、制裁和地缘政治叙事,则作为后文叠加因素再进入分析。
1. 美国法:合同最直接,版权最困难
美国法下,闭源模型厂商最直接的法律主张可能是合同违约。只要服务条款有效成立,用户违反“不得使用输出训练竞争模型”“不得自动化提取输出”“不得绕过保护措施”等条款,就可能构成违约。实际救济包括账户终止、服务暂停、禁令和损害赔偿。Anthropic 条款还明确规定在认为客户违反使用限制或服务面临风险时可以暂停访问。[5]
用户协议之所以能够成为合同基础,是因为 API 服务通常通过注册页面、开发者控制台、企业订单或点击确认流程向用户展示服务条款,用户以点击同意、创建账户、调用 API、支付费用等行为接受条款,服务商则提供模型访问、算力、接口和技术支持作为对价。在美国法下,这类 clickwrap 或经充分提示的在线条款通常可以构成合同;争议往往不在于“有没有合同”,而在于条款是否向用户充分提示、用户是否具有同意或拒绝的机会、特定限制是否足够明确,以及实际使用主体是否就是受条款约束的账户主体。
违反反蒸馏条款首先被评价为违约,而不是当然构成侵权,原因在于义务来源不同。不得将输出用于训练竞争模型、不得自动化提取输出、不得规避速率限制等义务,主要来自用户与服务商之间的合意安排;如果没有该协议,单纯阅读或使用不受版权保护的输出,未必违反一项对所有人普遍有效的排他性权利。只有在行为进一步侵害独立的法益,例如不当获取商业秘密、复制受版权保护表达、盗用凭证、绕过技术访问控制、冒用身份或实施欺骗性竞争行为时,才可能从合同违约外溢到侵权、CFAA 或不正当竞争等责任。
版权路径相对困难。美国版权局2025年《版权与人工智能:可版权性报告》重申,纯 AI 生成材料或人类对表达元素缺乏足够控制的材料不受版权保护;但人类作者在 AI 输出中体现的原创表达、选择、编排或修改仍可受保护。[7]因此,单纯把模型输出作为训练样本,未必构成复制受版权保护作品。只有当输出中包含受版权保护的人类表达,或训练数据集系统性复制了受保护内容时,版权问题才会重新进入分析。
商业秘密路径有潜力,但证明难度高。美国《保护商业秘密法》框架下,权利人需证明相关信息具有独立经济价值、并采取合理保密措施。[8]模型权重、训练方法和安全策略可以是商业秘密,但 API 输出向用户提供的事实会削弱“保密性”论证。更稳健的主张通常不是“单个输出就是商业秘密”,而是“大规模、有组织地收集输出可对模型能力、对齐边界和安全策略进行功能性逆向”。
CFAA 的适用也存在边界。18 U.S.C. § 1030 规制未经授权访问或超越授权访问受保护计算机。[9]但美国最高法院在 Van Buren v. United States 中收窄了“超越授权访问”的解释,单纯违反使用目的限制通常不足以构成 CFAA 责任。[10]如果行为人只是通过真实账户违反反蒸馏条款,CFAA 风险不一定高;如果涉及盗用凭证、绕过认证、破解限制、虚假身份和代理网络规避访问控制,风险显著上升。
如果要发起诉讼主张权利,则在诉讼策略上,服务商通常会组合主张,而不会只依赖单一权利基础。合同主张用于证明用户违反访问条件;商业秘密主张用于强调模型能力、对齐策略和安全策略具有保密价值;CFAA 或类似计算机访问主张用于处理盗用凭证、绕过认证和规避访问控制的情形;不当得利或侵权干扰等州法路径则可能作为补充。被告一方的抗辩也会相应展开:条款是否有效同意、限制是否过宽、输出是否受保护、使用是否属于独立研发、相似性是否来自公开资料、以及服务商是否能够证明损害。
2. 中国法:不正当竞争和数据合规更关键
中国法目前同样没有专门针对模型蒸馏的规则。可适用的路径包括合同法、著作权法、商业秘密保护、反不正当竞争法、数据安全和个人信息保护规则,以及生成式人工智能服务管理制度。
在中国法下,用户协议同样可以构成合同或合同组成部分。平台或 API 服务商通过注册页面、开发者协议、订单、控制台提示等方式提出服务条件,用户点击同意、注册账户、支付费用或持续调用接口,通常可以被理解为对服务条件的接受。由于这类条款多属格式条款,服务商还需要以合理方式提示与用户有重大利害关系的内容,并避免以格式条款不合理地免除自身责任、加重用户责任或排除用户主要权利。只要条款进入合同并具有约束力,用户违反反蒸馏、反自动化抓取、反规避限制等约定,首先就会触发违约责任。
这一路径与侵权路径也应区分。合同违约处理的是特定合同相对人之间的约定义务;侵权、不正当竞争或商业秘密保护处理的是法定权益和市场秩序。若行为只是“以合同禁止的方式使用输出”,通常优先落入违约分析;若同时存在盗取账号、突破技术措施、非法获取数据、披露或使用商业秘密、造成混淆误认、破坏竞争秩序等额外事实,才更可能进入侵权、不正当竞争、行政监管乃至刑事评价。这个区分有助于避免把每一次违反服务条款的行为都泛化为知识产权侵权。
在竞争法层面,《反不正当竞争法》第二条的一般条款可能发挥兜底作用。若经营者以违背诚实信用和商业道德的方式,系统性获取他人投入大量资源形成的模型能力,并用于直接竞争,法院可能从竞争利益和商业道德角度进行评价。需要注意的是,中国已有关于 AI 模型结构和参数保护的公开裁判报道,但其核心事实更接近“直接使用模型结构和参数”,并不等同于 API 输出蒸馏。将该类裁判类推到黑盒蒸馏时,应补充证明访问方式、相似性来源、独立研发抗辩和竞争损害。
在数据合规层面,如果中国企业为蒸馏而向境外 API 提供含个人信息、重要数据或敏感业务数据的训练样本,可能构成数据出境。2022年《数据出境安全评估办法》规定,向境外提供重要数据、关键信息基础设施运营者或处理100万人以上个人信息的数据处理者向境外提供个人信息,以及累计达到相关个人信息或敏感个人信息门槛的情形,需要申报安全评估。[11]2024年《促进和规范数据跨境流动规定》进一步调整门槛和豁免规则,例如关键信息基础设施运营者以外的数据处理者,向境外提供100万人以上个人信息或1万人以上敏感个人信息,仍需申报安全评估;10万人以上但不满100万人个人信息或不满1万人敏感个人信息的,通常进入标准合同或认证路径。[12]
生成式 AI 服务管理方面,向中国境内公众提供生成式 AI 服务,还需要关注算法备案、安全评估、训练数据来源合法性、知识产权、个人信息保护和内容安全要求。对于跨境蒸馏项目,这些要求并不直接回答“能不能蒸馏”,但会影响数据来源、模型上线和对外提供服务的合规成本。
《生成式人工智能服务管理暂行办法》明确适用于向中国境内公众提供生成文本、图片、音频、视频等内容的生成式 AI 服务,并要求训练数据处理活动使用具有合法来源的数据和基础模型,涉及知识产权和个人信息时分别遵守相应规则;对具有舆论属性或者社会动员能力的服务,还涉及安全评估和算法备案。[13]因此,即便蒸馏本身在许可证层面可行,若企业拟将蒸馏后的模型作为面向公众的服务上线,仍需回到训练数据、内容安全、个人信息和备案义务进行二次审查。

点击可查看大图
下篇预告
本文上篇已从 DeepSeek、Anthropic等所涉及的公开争议切入,说明同一“蒸馏”技术为何会被分别理解为中立工程方法、技术剽窃或技术霸权;随后梳理蒸馏的技术含义、开源与闭源许可边界,以及中美法律制度下可能适用的合同、版权、商业秘密、不正当竞争、数据合规和网络访问规则等法律问题。下篇将在此基础上提出可操作的法律分析框架,并进一步讨论具体争议适用、地缘政治影响、监管张力和企业合规建议等内容,敬请关注。
[主要资料来源]
1.DeepSeek-R1 官方 GitHub 仓库及模型发布说明。
2.关于 Anthropic 指控DeepSeek、MiniMax 等公司的公开媒体报道,包括 Business Insider 与 Tom's Hardware。
3.Hinton, Vinyals & Dean, Distilling the Knowledge in a Neural Network。
4.OpenAI Terms of Use,2026年1月1日生效版本。
5.Anthropic Commercial Terms of Service 及 Supported Countries and Regions。
6.Google Gemini API Additional Terms of Service。
7.U.S. Copyright Office, Copyright and Artificial Intelligence, Part 2: Copyrightability,2025年1月。
8.18 U.S.C. § 1839,商业秘密定义。
9.18 U.S.C. § 1030,CFAA。
10.U.S. Supreme Court, Van Buren v. United States,2021年6月3日。
11.国家网信办《数据出境安全评估办法》。
12.国家网信办《促进和规范数据跨境流动规定》。
13.国家网信办等七部门《生成式人工智能服务管理暂行办法》。