Alibaba criou 25 mil contas fake pra roubar o Claude
Back to the blog
Artigo

Alibaba criou 25 mil contas fake pra roubar o Claude

Mafra
01/07/2026
6 min read

Entre 22 de abril e 5 de junho de 2026, 25.000 contas fraudulentas fizeram 28,8 milhões de queries ao Claude. Quarenta e quatro dias. Nenhum dev real por trás dessas contas. A operação tinha um objetivo específico: copiar as capacidades do Claude Fable 5 para treinar um modelo concorrente.

Em 25 de junho, a Anthropic foi ao Senado americano descrever o que chamou de "o maior ataque conhecido de distilação de modelos da história". Os operadores identificados: entidades ligadas ao Qwen, o lab de IA da Alibaba. Alvo declarado: software engineering e raciocínio agêntico do Claude, os pontos onde o modelo é mais valioso para desenvolvedores.

Se você usa Claude Code, vale entender o que aconteceu e o que isso implica pra você.

O que é distilação de modelos e por que é difícil de detectar?

Distilação de modelos não é invasão de sistema. Não envolve roubar pesos ou código-fonte. É mais simples e, por isso, muito mais difícil de bloquear.

O processo funciona assim: você faz milhões de queries cuidadosamente planejadas a um modelo poderoso e coleta os outputs. Esses outputs viram dados de treinamento para o seu próprio modelo. O resultado: seu modelo "aprendeu" com o frontier model sem nunca ter acesso direto aos pesos dele.

No ataque do Qwen, as 25.000 contas roteavam requests automaticamente. Quando uma atingia o limite de uso, o sistema trocava para a próxima. 28,8 milhões de interações em 44 dias é aproximadamente 654 mil queries por dia. Cada query projetada para sondar capacidades específicas do modelo: debugging complexo, refactor de arquitetura, raciocínio em múltiplos passos.

Não foi um dev curioso. Foi uma operação com orçamento, engenharia e objetivos definidos.

O que a Alibaba diz sobre isso?

Pouco, por enquanto. Em 23 de junho, a Alibaba entrou com processo federal na Califórnia contestando sua inclusão na lista de empresas militares chinesas do Pentágono. A empresa chamou a designação de sem "base em fato ou lei". Sobre as acusações específicas de distilação do Claude, nenhuma resposta pública até o momento.

Dois pontos que contextualizam a história:

Primeiro, as acusações da Anthropic não foram judicialmente estabelecidas. O que está confirmado é que 28,8 milhões de interações aconteceram via contas fraudulentas. Quem as criou e com qual intenção é o que processos vão determinar. A Bloomberg Law publicou os detalhes das acusações.

Segundo, a própria Anthropic está sob processos por uso não-autorizado de textos protegidos para treinar o Claude. A questão de "o que pode ser usado para treinar um modelo" é juridicamente aberta para as duas partes.

Isso não invalida a gravidade do ataque. Mas coloca a narrativa em perspectiva.

O que muda para o dev que usa modelos proprietários?

Três pontos concretos:

  1. Seus prompts podem ser revisados. Os termos da Anthropic permitem acesso às conversas para investigação de fraude e segurança. A operação rodou 44 dias antes de ser detectada porque as contas pareciam legítimas. Isso implica revisão ativa de logs quando há suspeita, e potencialmente quando não há.
  2. O modelo muda sem aviso. O Claude Fable 5 que existe hoje não é o mesmo que vai existir no próximo trimestre. Modelos proprietários são black boxes com ciclo de atualização próprio. Comportamentos que você depende em produção hoje podem não estar na versão seguinte. Isso já afetou devs brasileiros antes, quando a Anthropic mudou regras de acesso sem documentar claramente o que havia mudado.
  3. A briga geopolítica EUA-China vira o seu problema. Se você usa modelos proprietários americanos e a tensão escala, sua ferramenta de trabalho vira peça de barganha. Não é hipotético: o custo de usar Claude Code em escala já soma riscos de câmbio, restrição de contas e dependência de infraestrutura americana.

Saber onde seus prompts estão e o que acontece com eles é parte do trabalho agora.

A ironia do qwen3.6-27b

Há um detalhe que a Boo não pode deixar passar. O Verboo Code roda o qwen3.6-27b. Modelo open source da Alibaba. O mesmo lab que, segundo a Anthropic, tentou extrair o Claude com 25 mil contas fraudulentas.

Aqui está a diferença que importa: os pesos do qwen3.6-27b são públicos. Estão no Hugging Face. Qualquer pessoa pode inspecionar a arquitetura, rodar localmente, fazer fine-tuning. Não há IP secreto a roubar, porque não há segredo.

Modelos open source têm capacidades públicas por design. O esquema de distilação fraudulenta não faz sentido quando tudo que o modelo sabe já está disponível para download.

O qwen3.6-27b performa bem em coding benchmarks, tem 262k de janela de contexto e roda no Verboo Code com tokens ilimitados. Sem geopolítica no meio, sem risco de seus logs de debug virarem dataset de treinamento da concorrência.

Junto com o deepseek-v4-flash (1M de contexto) e o @preset/glm4-7-flash (202k de contexto), o Verboo Code oferece os três principais modelos open source de coding disponíveis hoje. Veja o comparativo completo de agentes de programação em 2026 se quiser os números lado a lado.

O que vem depois dessa história?

Anthropic foi ao Senado. Isso sinaliza que a empresa quer regulação, não só processo civil. O argumento: distilação em escala industrial inviabiliza o retorno sobre investimento em modelos frontier. Se qualquer player com recursos pode copiar o que você treinou por bilhões de dólares, o incentivo de investir some.

O contra-argumento, que os próprios modelos open source existem para provar: capacidades de ponta podem emergir sem propriedade fechada. qwen3.6-27b, deepseek-v4-flash e glm4 existem, são competitivos, e ninguém precisou criar 25 mil contas fake para tê-los.

O que está certo: esse não é o primeiro caso e não vai ser o último. Distilação é tecnicamente trivial para quem tem escala. Os 44 dias sem detecção sugerem que o threshold de detecção é alto. Operações menores passam sem ruído.

Para o dev brasileiro usando Claude Code todos os dias: o depoimento completo ao Senado está no TechTimes. Vale a leitura.

Enquanto o mercado discute quem roubou o quê, a Verboo Code já entrega tokens ilimitados em agente de programação com modelos open source. Conheça.

Enjoyed this article?
Share knowledge with your network.
Read also

Related articles