ホワイトハウス、中国の産業規模のAIモデル蒸留を非難し、OpenAI、Anthropic、Googleとの知能共有にコミット
ホワイトハウスは中国による大規模なAIモデル蒸留を非難し、米企業との情報共有と法的措置を表明した。
キーポイント
政府の公式非難と対策方針
OSTPが「産業規模」の盗用を認定し、外国企業への情報共有と責任追及のための法整備を進める方針を示した。
蒸留攻撃の実態と証拠
OpenAIやAnthropicは、中国企業(DeepSeek等)がプロキシ経由で大量のクエリを送り、モデルの出力を学習して廉価な競合モデルを作成した具体的なデータを提示している。
法的枠組みと外交的背景
「米国AIモデル盗用防止法(H.R. 8283)」が提出され、トランプ大統領と習近平国家主席の首脳会談を控えたタイミングで、技術保護を安全保障上の課題として位置づけている。
影響分析・編集コメントを表示
影響分析
このニュースは、生成AI業界における知的財産侵害の定義と対策を根本から変える転換点となり得ます。政府が民間企業の告発を裏付けとして公式に認定し、法的措置へ踏み出すことで、企業間の自主的な対応から国家主導の規制・対抗へとパラダイムシフトが起きる可能性があります。特に「蒸留」というグレーゾーン技術に対する明確な敵視は、今後のAI開発とセキュリティ戦略に大きな影響を与えます。
編集コメント
ホワイトハウスが民間企業の告発を裏付けとして「産業規模」の攻撃と認定した点は極めて異例であり、AIセキュリティの文脈が技術論から地政学的な安全保障問題へと急速にシフトしていることを示しています。
【要約】ホワイトハウス科学技術政策局(OSTP)は、中国が米国のAIモデルを「産業規模」で蒸留しているとする政策覚書を発表し、米国企業との情報共有や関係者への責任追及策の検討にコミットした。2月にはOpenAIがDeepSeekをモデル蒸留の疑いで非難し、AnthropicはDeepSeek、MiniMax、Moonshot AIがClaudeと1,600万回以上のやり取りを行うために24,000の不正アカウントを作成したと名指しした。『米国AIモデル盗難防止法』(H.R. 8283)が4月15日に提出された。この覚書は、5月14日のトランプ・シー首脳会談の3週間前に発表された。
ホワイトハウスは水曜日、中国が米国の人工知能(AI)を「産業規模」で盗用していると非難し、政府が外国の蒸留キャンペーンに関する情報を米国のAI企業と共有し、関係者への責任追及策を検討することにコミットする政策覚書を公開した。科学技術政策局(Office of Science and Technology Policy、略称:OSTP)局長のマイケル・クラツィオス氏は、「外国の実体、主に中国が、米国のAIを盗むための産業規模の蒸留キャンペーンを実行しているという証拠を持っています。私たちは米国のイノベーションを保護するために行動を起こします」と述べた。この覚書は、5月14日に北京で開催予定のトランプ・シー首脳会談の3週間前に発表され、AI技術の保護を国家安全保障上の必須事項であると同時に交渉のカードとして位置づけている。
この紛争の中心にあるのは「蒸留」という技術です。これはモデルの重み(weights)を盗んだり、サーバーに不正侵入したりする必要はありません。蒸留を行う者は、前段階のAIモデルに対して数千〜数百万件の注意深く構築されたクエリ(問い合わせ)を送信し、その回答を収集します。そして、それらの回答を用いて、元のモデルの能力を低コストで近似するより安価な競合モデルを学習させます。実質的には、教師の「頭脳」から学ぶのではなく、「回答」から学んでいるのです。この技術の法的地位は未確定ですが、その戦略的意義は明白です。
証拠
米国の科学技術政策局(OSTP)が発行した覚書は、2月以降米国AI企業が主張してきた内容に基づいています。OpenAIは2月12日、中国問題に関する下院特別委員会に対し、DeepSeekが自社のモデルを蒸留していると非難する正式な文書を送付しました。OpenAIは、DeepSeekの従業員に関連するアカウントが特定されており、これらのアカウントがアクセス制限を回避する方法を開発し、クエリを難読化された第三者のプロキシ経由でルーティングして大規模に出力を取得していると主張しました。OpenAIの利用規約では、出力を用いて「模倣型前段階AIモデル」を作成することを明確に禁止しています。DeepSeekはこの非難に対して公には回答していません。
Anthropic は 2 月 23 日、より詳細な証拠を公開し、3 つの中国系ラボの名前を特定した。同社によると、DeepSeek は基礎的な論理やアライメント(整列)技術に焦点を当てた 15 万件以上の Claude とのやり取りを実施した。MiniMax は最も多くのトラフィックを牽引し、1,300 万件以上のやり取りを行った。Moonshot AI は、エージェント型推論、ツール使用、コーディング、コンピュータビジョンを対象とした 340 万件以上のやり取りを生成した。この 3 社の間で Anthropic が特定したのは、1,600 万件以上の Claude とのやり取りを生み出した約 2 万の不正アカウントであった。これらのアカウントは、機密情報を暴露し、地理的制限(ジオフェンシング)を回避するために、脱獄手法を用い、商業用プロキシサービスを利用していた。
4 月初頭までに、OpenAI、Anthropic、Google は、マイクロソフトとともにかつて 2023 年に設立された連合である「フロンティアモデルフォーラム」を通じて、蒸留(ディスティレーション)脅威インテリジェンスの共有を開始した。この取り決めはサイバーセキュリティにおける脅威共有フレームワークをモデルとしている:ある企業が攻撃パターンを検出すると、それを他の企業にフラグとして通知する。過激な競合他社が何らかの形で協力することに合意したという事自体が、彼らがこの脅威をどれほど深刻に受け止めているかを示す指標となっている。DeepSeek は、フロンティア AI のパフォーマンスにはもはやシリコンバレー規模のリソースが必要ないことを証明した、そして現在、米国政府が問うているのは、その効率性のうちどれくらいが正当な成果であり、どれくらいが抽出されたものなのかということである。
政策対応
OSTP(科学技術担当大統領補佐官室)の覚書は政策声明であり、大統領令や拘束力のある規制ではありません。連邦省庁に対し、外国の蒸留(distillation)試行に関する情報を米国のAI開発者と共有し、業界が技術的防御を強化するのを支援し、外国の行為者に対する説明責任の措置を検討するよう指示しています。水曜日には、具体的な制裁、エンティティリストへの追加、または執行措置の発表はありませんでした。この覚書の実際の効力は、その後の展開にかかっています。
議会も並行して動いています。4月15日、ビル・フイゼンガ下院議員はジョン・ムールナー下院議員(中国問題特別委員会委員長)の共同後援を得て、「2026年米国AIモデル盗難防止法」を提出しました。この法案は政府に対し、「不正なクエリ・コピー技術」を使用する実体を特定し、商務省のブラックリストを通じて制裁を科すよう指示するものです。下院中国問題特別委員会は4月16日、「米国のAI優位性を奪取しようとする中国のキャンペーン」と題する公聴会を開催し、ブルッキングス研究所、シルバーデロ政策加速機構、アメリカファースト政策研究所からの証人が出席しました。この問題には両党から支持が得られています。ロールコール紙は、「AI軍拡競争での勝利は両党派にとって魅力がある」と報じています。
起訴を裏付ける法的理論は依然として不明確である。2023年1月に署名された「米国知的財産保護法」は、営業秘密の盗難に対する制裁を認めているが、抽出されたモデルの出力が既存の枠組みの下で営業秘密に該当するかどうかは未解決の問題である。『南華早報』は、Anthropicの蒸留(distillation)に関する告発が「AIトレーニングのグレーゾーンを浮き彫りにした」と指摘し、Just Securityの法分析家は、既存の知的財産法がこれを明確にカバーしていないため、蒸留に対するコスト課すには政府による targeted な介入が必要であると論じている。
二番目の防衛ライン
ハードウェア管理からモデルレベルの保護への移行は、第一の防衛ラインが漏れていることを認めるものとなっている。米国は2022年10月以来、中国の高度なAIチップへのアクセスを制限しており、2023年10月に規則を拡大し、さらに2025年1月の「AI拡散ルール」でも強化した。2026年1月、産業保安局(Bureau of Industry and Security)は、中国向けH200およびAMD MI325Xの輸出審査を「拒否されるもの」とする前提からケースバイケースの審査へシフトさせた一方、ホワイトハウスは高度な半導体に対して25%の関税を同時に課した。NvidiaにはH20推論(inference)チップの販売が許可され、AMDにもMI308の販売が認められた。
しかし、実際にはハードウェア規制は回避されています。3月には、Super Microの共同創業者を通じてNvidiaのAIチップを中国へ密輸する25億ドル規模の計画が起訴されました。Jensen Huangは、DeepSeekがHuaweiチップの最適化を目指すことはアメリカにとって「恐ろしい結果」になると警告しました。なぜなら、それはハードウェアの制約ポイントを完全に排除してしまうからです。輸出規制にもかかわらず先進チップが密輸可能であり、かつ中国のチップメーカーが国内代替品との格差を縮めている場合、モデル自体へのアクセスを防ぐことが、技術拒否戦略における重要な第二の層となります。AIチップに一意の識別子を付与する提案は第三の層を表しており、ハードウェアの流れを追跡して転用を防ぐものです。現在構築されつつあるアーキテクチャは「深度防御(Defense in Depth)」です:チップを制御し、モデルを制御し、その両方を追跡するのです。
オープンソースの複雑さ
ディストillation(蒸留)は、米国のAI技術が中国の研究所に到達する唯一の経路ではありません。MetaのLlamaモデルはオープンソースであり、つまり重み(weights)が誰でもダウンロードできる形で公開されています。人民解放軍に関連する機関の中国研究者は、Llama 13Bを軍事データでファインチューニングし、軍事知能アプリケーションのために設計されたモデル「ChatBIT」を作成しました。Metaの許容利用ポリシーは軍事およびスパイ活動への使用を禁止していますが、同社はオープンソース版に対してこの制限を技術的に強制する手段を持っていません。一度重みが公開されると、制御は手放されます。Metaはこれに対応し、敵対国への禁止を維持しつつ、米軍およびFive Eyes(五カ国同盟)の同盟国に対してLlamaの利用を開放しました。この政策上の区別は法的には意味がありますが、実質的には執行不可能です。
オープンソースAIと国家安全保障の間の緊張関係は数年にわたって高まり続けていますが、一貫した政策解決には至っていません。オープンソースモデルは研究を推進し、人材を引き付け、米国の企業に利益をもたらすエコシステムを創出します。これらを制限すれば米国のイノベーションが遅れる一方、中国の開発者を国内の代替品へと追いやることになります。制限しなければ、敵対国の軍事アプリケーションのための基盤技術を提供することになります。Huizenga法案は、オープンソースの配布ではなく、クローズドモデルからの能力の不正な抽出である「ディストillation(蒸留)」に焦点を当てており、より困難な問いを回避しています。
次なる展開
米中半導体戦争はすでに同盟国をこの取り組みに巻き込んでおり、オランダは米国の圧力のもとでASMLの露光装置輸出を制限している。モデルレベルでの規制を実施するには、異なる執行体制が必要となる。半導体チップは国境を越える物理的な物体である。一方、ディストillation(知識蒸留)はインターネットを通じて行われ、いかなる管轄区域を経由してもルーティング可能なAPI呼び出しによって実行される。これを検出するには、Anthropicが2万4000の不正アカウントを特定に行ったような行動分析が必要であり、密輸されたハードウェアを捕捉する税関検査のようなものではない。
5月14日のトランプ・シー首脳会談は、OSTP(Office of Science and Technology Policy:科学技術政策局)の覚書が持続的な執行キャンペーンの始まりなのか、それとも譲歩を引き出すための交渉ポジションに過ぎないのかを試すものとなる。中国は、米国の技術管理を緩和し、1,000社以上の中国企業をエンティティリストから除外し、投資制限を減らすことを求めている。米国は、中国がAIモデルの蒸留(distillation)を停止し、チップの密輸を止め、オープンソースモデルの軍事利用のためのファインチューニング(fine-tuning)をやめることを求めている。これらの立場間のギャップは広く、どちらの側も望むものを得る可能性は低い。サミットの結果にかかわらず、この覚書が確立するのは、米国がAIモデルの保護を、半導体装置制限やチップ輸出管理と同様の国家安全保障のカテゴリーとして扱うようになったという点である。問題は、蒸留が問題かどうかではない。それは、物理的な形態を持たないものの周りに政府が境界線を執行できるかどうかである。
原文を表示
*Summary: The White House OSTP released a policy memo accusing China of “industrial-scale” distillation of US AI models, committing to share intelligence with US AI companies and explore accountability measures. OpenAI accused DeepSeek of distilling its models in February; Anthropic named DeepSeek, MiniMax, and Moonshot AI as having created 24,000 fraudulent accounts generating 16+ million exchanges with Claude. The Deterring American AI Model Theft Act (H.R. 8283) was introduced on 15 April. The memo arrives three weeks before a planned Trump-Xi summit on 14 May.*
The White House accused China on Wednesday of conducting “*industrial-scale*” theft of American artificial intelligence, releasing a policy memorandum that commits the government to sharing intelligence with US AI companies about foreign distillation campaigns and exploring measures to hold the perpetrators accountable. Michael Kratsios, director of the Office of Science and Technology Policy, said the US “*has evidence that foreign entities, primarily in China, are running industrial-scale distillation campaigns to steal American AI. We will be taking action to protect American innovation.*” The memo lands three weeks before a planned Trump-Xi summit in Beijing on 14 May, positioning AI technology protection as both a national security imperative and a negotiating chip.
Distillation is the technique at the centre of the dispute. It does not require stealing model weights or breaking into servers. A distiller feeds thousands or millions of carefully constructed queries to a frontier AI model, collects the responses, and uses those responses to train a cheaper rival model that approximates the original’s capabilities at a fraction of the cost. It is, in effect, learning from the teacher’s answers rather than the teacher’s brain. The legal status of this technique is unsettled. The strategic implications are not.
The evidence
The OSTP memo builds on allegations that US AI companies have been making since February. OpenAI sent a formal memo to the House Select Committee on China on 12 February accusing DeepSeek of distilling its models. OpenAI said it had identified accounts associated with DeepSeek employees that developed methods to circumvent access restrictions, routing queries through obfuscated third-party proxies to extract outputs at scale. OpenAI’s terms of service explicitly prohibit using outputs to create “*imitation frontier AI models*.” DeepSeek has not publicly responded to the allegations.
Anthropic published more detailed evidence on 23 February, naming three Chinese laboratories. DeepSeek, it said, conducted more than 150,000 exchanges with Claude focused on foundational logic and alignment techniques. MiniMax drove the most traffic, with more than 13 million exchanges. Moonshot AI generated more than 3.4 million exchanges targeting agentic reasoning, tool use, coding, and computer vision. Across the three firms, Anthropic identified approximately 24,000 fraudulent accounts that generated more than 16 million exchanges with Claude. The accounts used jailbreaking techniques to expose proprietary information and circumvented geofencing through commercial proxy services.
By early April, OpenAI, Anthropic, and Google had begun sharing distillation threat intelligence through the Frontier Model Forum, a coalition originally founded in 2023 with Microsoft. The arrangement is modelled on cybersecurity threat-sharing frameworks: when one company detects an attack pattern, it flags it for the others. That three fierce competitors agreed to cooperate on anything is itself a measure of how seriously they take the threat. DeepSeek proved that frontier AI performance no longer requires Silicon Valley-scale resources, and the question the US government is now asking is how much of that efficiency was earned and how much was extracted.
The policy response
The OSTP memo is a policy statement, not an executive order or a binding regulation. It directs federal departments to share intelligence with US AI developers about foreign distillation attempts, help industry strengthen technical defences, and explore accountability measures for foreign actors. No specific sanctions, entity list additions, or enforcement actions were announced on Wednesday. The memo’s practical force will depend on what follows it.
Congress is moving in parallel. On 15 April, Representative Bill Huizenga introduced the Deterring American AI Model Theft Act of 2026, co-sponsored by Representative John Moolenaar, who chairs the House Select Committee on China. The bill would direct the government to identify entities using “*improper query-and-copy techniques*” and impose sanctions through the Commerce Department blacklist. The House Select Committee held a hearing on 16 April titled “*China’s Campaign to Steal America’s AI Edge*,” with witnesses from Brookings, the Silverado Policy Accelerator, and the America First Policy Institute. The issue has bipartisan support. Roll Call reported that “*winning the AI arms race holds appeal for both parties*.”
The legal theory underpinning prosecution remains unclear. The Protecting American Intellectual Property Act, signed in January 2023, authorises sanctions for trade secret theft, but whether extracted model outputs qualify as trade secrets under existing frameworks is an open question. The South China Morning Post noted that Anthropic’s distillation charges “*expose an AI training grey area,*” and legal analysts at Just Security have argued that the case for imposing costs on distillation requires targeted government intervention precisely because existing intellectual property law does not cleanly cover it.
The second line of defence
The shift from hardware controls to model-level protections represents an acknowledgement that the first line of defence is leaking. The US has been restricting China’s access to advanced AI chips since October 2022, broadening the rules in October 2023 and again with the AI Diffusion Rule in January 2025. In January 2026, the Bureau of Industry and Security shifted its review of H200 and AMD MI325X exports to China from a presumption of denial to case-by-case review, while the White House simultaneously imposed a 25% tariff on advanced semiconductors. Nvidia was permitted to sell its H20 inference chip; AMD its MI308.
But hardware controls are circumvented in practice. A $2.5 billion scheme to smuggle Nvidia AI chips to China through Super Micro’s co-founder was charged in March. Jensen Huang warned that DeepSeek optimising for Huawei chips would be a “horrible outcome” for America, because it would eliminate the hardware chokepoint entirely. If advanced chips can be smuggled despite export controls, and if Chinese chipmakers are closing the gap with domestic alternatives, then preventing access to the models themselves becomes the critical second layer of the technology denial strategy. Proposals to tag AI chips with unique identifiers represent a third layer, tracking hardware flows to prevent diversion. The emerging architecture is defence in depth: control the chips, control the models, and track both.
The open-source complication
Distillation is not the only channel through which US AI technology reaches Chinese laboratories. Meta’s Llama models are open source, meaning the weights are publicly available for download. Chinese researchers from PLA-linked institutions fine-tuned Llama 13B on military data to create ChatBIT, a model designed for military intelligence applications. Meta’s acceptable use policy prohibits military and espionage applications, but the company has no technical means to enforce that restriction on open-source releases. Once the weights are published, control is relinquished. Meta responded by opening Llama to the US military and Five Eyes allies while maintaining the ban for adversaries, a policy distinction that is legally meaningful and practically unenforceable.
The tension between open-source AI and national security has been building for years but has not produced a coherent policy resolution. Open-source models drive research, attract talent, and create ecosystems that benefit American companies. Restricting them would slow US innovation while pushing Chinese developers toward domestic alternatives. Not restricting them means providing the foundational technology for adversary military applications. The Huizenga bill focuses on distillation, the unauthorised extraction of capability from closed models, rather than on open-source distribution, sidestepping the harder question.
What comes next
The US-China chip war has already drawn allies into the effort, with the Netherlands restricting ASML’s lithography exports under American pressure. Model-level restrictions would require a different enforcement architecture. Chips are physical objects that cross borders. Distillation happens over the internet, through API calls that can be routed through any jurisdiction. Detecting it requires the kind of behavioural analysis that Anthropic performed when it identified 24,000 fraudulent accounts, not the kind of customs inspection that catches smuggled hardware.
The Trump-Xi summit on 14 May will test whether the OSTP memo is the beginning of a sustained enforcement campaign or a negotiating position designed to extract concessions. China wants the US to loosen technology controls, remove more than 1,000 Chinese firms from entity lists, and reduce investment restrictions. The US wants China to stop distilling its AI models, stop smuggling its chips, and stop fine-tuning its open-source models for military use. The gap between those positions is wide enough that neither side is likely to get what it wants. What the memo establishes, regardless of the summit’s outcome, is that the US now treats AI model protection as a category of national security alongside chip export controls and semiconductor equipment restrictions. The question is no longer whether distillation is a problem. It is whether the government can enforce a border around something that has no physical form.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み