4155 - Vụ "đánh cắp" AI của Trung Quốc

Jared Dunnmon - Avanika Narayan  and Jon Saad-Falcon 

Cách đối phó với hành vi "chắt lọc" trái phép của Bắc Kinh

Bên ngoài văn phòng một công ty AI tại Bắc Kinh, Trung Quốc, tháng 3 năm 2026. Ảnh: Florence Lo / Reuters

Một mặt trận mới đã mở ra trong cuộc cạnh tranh giữa Mỹ và Trung Quốc về trí tuệ nhân tạo (AI): các mô hình AI cục bộ có trọng số mở (open-weight). Cho đến gần đây, những mô hình AI có năng lực mạnh nhất thường quá đồ sộ và tốn kém để có thể vận hành ở bất cứ đâu ngoại trừ các trung tâm dữ liệu khổng lồ, nơi được trang bị dày đặc những con chip chuyên dụng đắt đỏ. Tuy nhiên, hiện nay, các hệ thống này đang nhanh chóng dịch chuyển từ môi trường đám mây sang các thiết bị phần cứng tiêu dùng—bao gồm cả máy tính xách tay và thiết bị di động—nơi chúng có thể trả lời câu hỏi, viết mã lập trình và thực hiện các tác vụ thay mặt người dùng mà không cần gửi dữ liệu về một máy chủ từ xa. Nhờ những bước tiến công nghệ trong cả mô hình AI lẫn chip xử lý, các mô hình AI "trọng số mở"—vốn đang ngày càng trở thành nền tảng cho hầu hết các ứng dụng AI cục bộ—đã trở nên thông minh hơn, gọn nhẹ hơn so với các thế hệ tiền nhiệm, đồng thời có thể được tải xuống miễn phí từ Internet, tùy biến và triển khai mà không cần thông qua một nhà cung cấp tập trung nào.

Những hệ thống AI cục bộ tốc độ cao này hứa hẹn sẽ giúp dân chủ hóa quyền tiếp cận các công nghệ mạnh mẽ, cắt giảm chi phí và trao cho người dùng nhiều quyền kiểm soát hơn đối với những công cụ mà họ sử dụng hàng ngày. Tuy nhiên, chúng cũng tiềm ẩn nguy cơ củng cố một sự bất đối xứng sâu sắc. Các mô hình trọng số mở có năng lực vượt trội nhất đang tràn ngập trên các thiết bị cục bộ hiện nay lại mang đậm dấu ấn Trung Quốc một cách mất cân đối. Và nếu tình hình hiện tại tiếp diễn, Trung Quốc sẽ tiếp tục nắm giữ lợi thế mạnh mẽ này. Hơn nữa, nhiều mô hình trọng số mở xuất sắc nhất lại được xây dựng bởi các công ty Trung Quốc—những đơn vị đã áp dụng một cách có hệ thống quy trình gọi là "chắt lọc" (distillation) để trích xuất năng lực từ các hệ thống AI tiên tiến hàng đầu của Mỹ. Trong quy trình này, một mô hình AI nhỏ gọn và hiệu quả hơn sẽ được huấn luyện để bắt chước hoạt động của một mô hình phức tạp hơn, và quá trình này đang được thực hiện ở quy mô công nghiệp. Đây là một phương thức mà các doanh nghiệp Mỹ—vốn bị ràng buộc bởi các hợp đồng và chuẩn mực pháp lý—không thể áp dụng, bởi lẽ điều khoản dịch vụ của mọi nhà cung cấp AI lớn đều nghiêm cấm việc sử dụng đầu ra của mô hình để huấn luyện các hệ thống cạnh tranh khác.

Trước những diễn biến này, cuộc đua trọng tâm trong lĩnh vực AI không còn chỉ giới hạn ở khâu phát triển mô hình. Phạm vi cạnh tranh đã mở rộng sang cả khâu phân phối—tức là cuộc đua nhằm xác định xem mô hình, chip xử lý và khung phần mềm của quốc gia nào sẽ trở thành tiêu chuẩn mặc định trên hàng tỷ thiết bị điện tử. Hiện tại, các công ty Mỹ vẫn là những đơn vị thiết kế và cung cấp các loại chip tốt nhất cùng những mô hình AI tiên tiến nhất. Tuy nhiên, các công ty Trung Quốc lại đang thực hiện việc "chắt lọc" các mô hình này, nén gọn chúng lại để có thể vận hành với chi phí thấp trên các thiết bị phần cứng giá rẻ, rồi sau đó phân phối rộng rãi thành quả này ra khắp thế giới. Quả thực, trong nhiều trường hợp, họ đang chuyển các kết quả nghiên cứu trở lại Hoa Kỳ. Lợi thế mà Trung Quốc đạt được từ thực trạng này đã làm méo mó thị trường, đẩy các doanh nghiệp Hoa Kỳ cũng như những người dùng toàn cầu—vốn cần phát triển dựa trên các mô hình AI mã nguồn mở (open-weight AI)—vào một thế khó xử: hoặc phải sử dụng các mô hình của Trung Quốc, hoặc chấp nhận tụt hậu.

Giờ đây, dường như hoàn toàn có khả năng Hoa Kỳ sẽ giành chiến thắng trong cuộc đua huấn luyện AI, nhưng lại thất bại trong cuộc chiến phân phối—lý do không phải vì họ thiếu năng lực kỹ thuật, mà vì họ đã không thể đảm bảo một sân chơi bình đẳng. May mắn thay, vẫn có một giải pháp để ứng phó với tình hình này. Trong suốt thập kỷ qua, Washington đã đúc kết được một bộ chiến lược bài bản nhằm đối phó với các hành vi cạnh tranh không lành mạnh từ phía Trung Quốc. Giờ đây, họ cần điều chỉnh những chiến lược đó để thúc đẩy sự tiến bộ và vị thế dẫn đầu của Hoa Kỳ trong lĩnh vực AI mã nguồn mở; đồng thời trừng phạt những hành động của các thực thể Trung Quốc khi chúng vượt qua ranh giới giữa hoạt động nghiên cứu thông thường và chiến tranh kinh tế. Chiến lược này tiềm ẩn một rủi ro: nếu được triển khai quá rộng rãi, nó có thể gây tổn hại đến vị thế dẫn đầu về AI của Hoa Kỳ, do vô tình hạn chế quyền tiếp cận chính những nhân tài và mô hình mà Washington đang cần để đạt được thành công. Tuy nhiên, nếu được triển khai một cách chính xác và có trọng tâm, chiến lược này có thể bổ trợ cho những nỗ lực của khu vực tư nhân trong việc ngăn chặn tình trạng "chắt lọc" (distillation) dữ liệu trái phép, qua đó đảm bảo rằng lợi thế về AI của Hoa Kỳ sẽ tiếp tục được duy trì trong suốt thập kỷ tới.

Một giai đoạn mới

Cho đến tận gần đây, người dùng phổ thông vẫn gặp rất nhiều khó khăn khi muốn chạy các ứng dụng AI ngay trên thiết bị cá nhân (chạy cục bộ). Các con chip được tích hợp trong những thiết bị thông dụng hàng ngày—bao gồm cả máy tính xách tay và điện thoại thông minh—thường có dung lượng bộ nhớ quá nhỏ để có thể chứa các mô hình AI phức tạp, đồng thời thiếu hụt năng lực tính toán cần thiết để vận hành các mô hình này ở tốc độ đủ nhanh để người dùng có thể sử dụng hiệu quả. Hơn nữa, các phần mềm đóng vai trò nền tảng giúp những mô hình AI này thực hiện một cách đáng tin cậy các tác vụ đa bước (chẳng hạn như đọc hiểu văn bản, soạn thảo thư trả lời, và lưu trữ tài liệu vào đúng thư mục quy định) vẫn chưa đạt đến độ hoàn thiện cần thiết.

Ngày nay, tình thế đó đã hoàn toàn thay đổi. Các thiết bị phần cứng đã trở nên hiệu quả hơn rất nhiều, và bản thân các mô hình AI chạy cục bộ cũng đã được cải thiện vượt bậc. Một nghiên cứu gần đây do các chuyên gia tại Đại học Stanford thực hiện đã chỉ ra rằng tỷ lệ các truy vấn mà những mô hình AI chạy cục bộ có thể trả lời chính xác đã tăng vọt từ mức 23% vào năm 2023 lên tới 71% vào năm 2025. Điều này đồng nghĩa với việc người dùng giờ đây hoàn toàn có thể tải trực tiếp một mô hình AI mã nguồn mở về máy tính xách tay hoặc điện thoại thông minh của mình, và vận hành nó mà không cần đến kết nối Internet; mọi truy vấn của người dùng sẽ được xử lý trực tiếp bởi con chip tích hợp ngay trên thiết bị đó, thay vì phải gửi đến một trung tâm dữ liệu từ xa để xử lý như trước đây.

Nhu cầu về các hệ thống AI cục bộ đang tăng lên vì nhiều lý do. Các nhà phát triển muốn có các mô hình mà họ có thể tải xuống, sửa đổi và triển khai một cách độc lập. Các doanh nghiệp muốn giữ dữ liệu nhạy cảm trên cơ sở hạ tầng của riêng họ, và các công ty AI cần các mô hình mà họ có thể tinh chỉnh trên dữ liệu của chính mình. Các yếu tố kinh tế và cơ sở hạ tầng cũng đang thúc đẩy thị trường AI hướng tới các mô hình cục bộ. Truy cập đám mây rất tốn kém, và các mô hình dựa trên đám mây phụ thuộc vào các trung tâm dữ liệu khổng lồ phải đối mặt với những hạn chế lớn về điện năng. Việc chuyển khối lượng công việc AI sang các máy cục bộ sẽ phân tán gánh nặng trên hàng triệu thiết bị hiện có và tránh được những hạn chế vật lý và chính trị ngày càng tăng của các trung tâm dữ liệu.

Ngoài ra còn có lợi thế khi có khả năng AI được phân bổ rộng rãi về mặt địa lý. Rủi ro khi chỉ dựa vào các trung tâm dữ liệu để xử lý khối lượng công việc AI đã được bộc lộ vào tháng 3 khi các trung tâm dữ liệu của Amazon Web Services tại Các Tiểu vương quốc Ả Rập Thống nhất và Bahrain bị hư hại do các cuộc tấn công bằng máy bay không người lái của Iran. Các cuộc tấn công đã làm tê liệt một phần cơ sở hạ tầng AWS của khu vực, làm sập các hệ thống ngân hàng, ứng dụng thanh toán, dịch vụ gọi xe và phần mềm doanh nghiệp. Sau đó, Lực lượng Vệ binh Cách mạng Hồi giáo Iran đã đe dọa cơ sở hạ tầng Trung Đông của hơn một chục công ty công nghệ Hoa Kỳ, bao gồm một số công ty AI hàng đầu. Khi các hệ thống AI ngày càng được sử dụng để hỗ trợ các hoạt động quân sự, các trung tâm dữ liệu thực chất đang trở thành các cơ sở lưỡng dụng và do đó, trở thành mục tiêu của các cuộc tấn công quân sự. Việc tập trung năng lực AI vào một vài cơ sở lớn, dễ bị tấn công là một điểm yếu chiến lược. Các mô hình chạy cục bộ trên nhiều thiết bị là một lựa chọn an toàn hơn, có khả năng phục hồi tốt hơn.

Một hoạt động kinh doanh đầy rủi ro

Các công ty Trung Quốc nhận thức được những lợi thế mà các mô hình nội địa mang lại. Do đó, họ đang chạy đua để trích xuất các khả năng từ các mô hình của Mỹ thông qua quá trình "chưng cất" trong điều kiện mà các công ty Mỹ không được phép sao chép trong nước. Vào tháng Hai, công ty AI Anthropic của Mỹ tiết lộ rằng các phòng thí nghiệm AI DeepSeek, Moonshot và MiniMax của Trung Quốc đã cùng nhau tạo ra hơn 16 triệu giao dịch với mô hình Claude của họ thông qua khoảng 24.000 tài khoản gian lận để trích xuất các khả năng suy luận, lập trình và sử dụng công cụ có giá trị cao. Anthropic mô tả hoạt động này là quá trình "chưng cất" có hệ thống, chứ không phải là hành vi lạm dụng riêng lẻ. Kết quả là, các khả năng mà Anthropic đã chi hàng trăm triệu đô la để phát triển đã bị hút vào các sản phẩm cạnh tranh của Trung Quốc chỉ trong vòng vài tuần sau khi được phát hành.

Vấn đề không phải là quá trình "chưng cất" như một kỹ thuật. Việc chuyển giao tri thức là một phần trong cách thức hệ sinh thái AI đổi mới sáng tạo, và các nhà phát triển trên toàn thế giới đều dựa vào các mô hình mã nguồn mở (open-weight models) để phục vụ cho các hoạt động nghiên cứu chính đáng. Vấn đề nằm ở chỗ: các công ty Trung Quốc có thể tự do thực hiện việc trích xuất năng lực quy mô lớn từ các mô hình tiên tiến hàng đầu của Hoa Kỳ, trong khi các công ty Hoa Kỳ lại bị ràng buộc bởi các điều khoản dịch vụ và các chuẩn mực pháp lý—những thứ mà các đối thủ nước ngoài của họ lại hoàn toàn phớt lờ. Các phòng thí nghiệm tiên phong của Mỹ đã chi hàng chục tỷ đô la để huấn luyện các mô hình; thế nhưng, những năng lực đó lại có thể bị rút ruột và tung ra thị trường với chi phí chỉ bằng một phần nhỏ so với chi phí gốc. Theo cách này, những công ty đang gánh vác chi phí cho các nghiên cứu tiên phong lại ngày càng trở thành bên bao cấp cho các dòng sản phẩm của chính đối thủ cạnh tranh—những kẻ sau đó lại tìm cách hạ giá để cạnh tranh trực tiếp với họ.

Những rủi ro về an toàn và an ninh đi kèm với quá trình "chưng cất" (distillation) các mô hình cũng đáng lo ngại không kém. Quá trình chưng cất này chuyển giao những năng lực mà các mô hình đã tiếp thu được trong giai đoạn huấn luyện. Tuy nhiên, các biện pháp bảo vệ AI thiết yếu—chẳng hạn như điều chỉnh sự tương thích (huấn luyện mô hình tuân thủ chỉ dẫn của con người và từ chối các yêu cầu gây hại), kiểm thử "đội đỏ" (red-teaming—kiểm thử bởi chuyên gia nhằm phát hiện và khắc phục các khiếm khuyết của mô hình), và bộ lọc an toàn (phần mềm rà soát nội dung nguy hiểm trong cả dữ liệu đầu vào lẫn đầu ra)—lại chỉ được bổ sung vào các mô hình AI sau khi quá trình huấn luyện cốt lõi đã hoàn tất. Do đó, các biện pháp bảo vệ này sẽ không được chuyển giao trong quá trình chưng cất, và hậu quả để lại có thể vô cùng nghiêm trọng. Vào đầu năm 2025, công ty công nghệ Cisco của Hoa Kỳ đã tiết lộ rằng DeepSeek-R1—một mô hình lập luận mã nguồn mở của Trung Quốc—đã thất bại trong việc chặn đứng các câu lệnh mẫu (prompts) từ một bộ kiểm thử an toàn tiêu chuẩn của ngành có tên là HarmBench; bộ kiểm thử này bao quát các danh mục rủi ro bao gồm tội phạm mạng, vũ khí trái phép và thông tin sai lệch. Hơn nữa, công ty an ninh mạng CrowdStrike cũng chỉ ra rằng: khi các thuật ngữ nhạy cảm về chính trị (như "Tây Tạng", "Pháp Luân Công" và "người Duy Ngô Nhĩ") được chèn thêm vào các câu lệnh lập trình thông thường, mô hình DeepSeek-R1 có xác suất tạo ra mã nguồn chứa các lỗ hổng bảo mật cao hơn tới 50%.

Trường hợp của OpenClaw—một khung phần mềm tác nhân AI mã nguồn mở chạy trực tiếp trên thiết bị của người dùng—đã làm nổi bật những rủi ro về an toàn và bảo mật của các mô hình này. Sau khi ra mắt vào cuối năm 2025, OpenClaw nhanh chóng trở thành một trong những kho lưu trữ phát triển nhanh nhất trên nền tảng dành cho nhà phát triển GitHub, thu hút hàng triệu người dùng mỗi tháng. Khác với các chatbot chạy trên trình duyệt, OpenClaw trang bị cho các tác nhân hoạt động cục bộ (local agents) khả năng ghi nhớ, các công cụ và năng lực hành động bằng cách tận dụng phần cứng ngay trên thiết bị của người dùng. Thông thường, người dùng sẽ kết hợp OpenClaw với các mô hình AI "trọng số mở" (open-weight models). Do OpenClaw và các hệ thống tương tự có khả năng tự động xây dựng và thực thi mã lệnh, nên các lỗ hổng bảo mật tồn tại trong các mô hình AI nền tảng sẽ không chỉ dừng lại ở dạng văn bản; thay vào đó, chúng sẽ được biên dịch, triển khai và thực thi trực tiếp trên máy tính của người dùng. Thị trường "kỹ năng" của OpenClaw—nơi cung cấp các tính năng dựng sẵn cho phép các tác nhân thực hiện những tác vụ cụ thể, từ viết mã lập trình đến quản lý tệp tin—đã nhanh chóng bị tràn ngập bởi hơn 340 tiện ích mở rộng độc hại. Hơn nữa, đội ngũ Nghiên cứu về An ninh và Các mối đe dọa AI của Cisco đã phát hiện ra rằng một trong những "kỹ năng cộng đồng" được xếp hạng cao nhất trên OpenClaw thực chất lại là một loại phần mềm độc hại; điều này cho thấy mức độ nguy hại khôn lường khi sử dụng các mô hình AI trọng số mở—những mô hình không hề từ chối hay bác bỏ một tập hợp các chỉ thị mang tính độc hại rõ ràng.

Sự lan rộng không được kiểm soát của các mô hình AI nội địa Trung Quốc—vốn được chắt lọc và phát triển dựa trên các sản phẩm của Mỹ—đang tạo tiền đề dẫn đến một sự phụ thuộc địa chính trị nghiêm trọng. Ban đầu, một nhà phát triển có thể chỉ định sử dụng mô hình AI của Trung Quốc ở quy mô cục bộ (trên thiết bị riêng). Tuy nhiên, nếu các ứng dụng của nhà phát triển đó cần mở rộng quy mô hoạt động lên tầm điện toán đám mây, họ sẽ tự nhiên có xu hướng tìm đến nhà cung cấp dịch vụ đám mây đang lưu trữ và tối ưu hóa cho chính mô hình AI đó. Kết quả là, Alibaba Cloud sẽ được ưu tiên lựa chọn thay vì AWS—đối thủ cạnh tranh đến từ Hoa Kỳ. Dần dà, nhà phát triển đó sẽ chuyển sang sử dụng chip của Huawei thay vì chip của Nvidia. Điều khởi đầu chỉ đơn thuần là một lựa chọn dựa trên yếu tố chi phí, cuối cùng lại biến thành một sự phụ thuộc toàn diện và lâu dài trên mọi tầng lớp công nghệ (full-stack). Mô hình tương tự cũng đã xuất hiện trong các lĩnh vực viễn thông, thanh toán di động và cơ sở hạ tầng kỹ thuật số. Đây là một phần trong chiến lược rộng lớn hơn của Trung Quốc nhằm gia tăng tầm ảnh hưởng thông qua công nghệ—từ các dự án cơ sở hạ tầng vật lý thuộc sáng kiến ​​"Vành đai và Con đường" cho đến mạng lưới 5G của Huawei—với phương thức vận hành có hệ thống: chuyển hóa những lợi thế ban đầu về chi phí thành những sự phụ thuộc mang tính bền vững. Nếu các mô hình AI của Trung Quốc—vốn được phát triển dựa trên nền tảng của Mỹ—trở thành công nghệ trí tuệ mặc định trên hàng tỷ thiết bị, Hoa Kỳ sẽ phải đối mặt với nguy cơ trao cho Bắc Kinh quyền kiểm soát và gây ảnh hưởng lên chính những công cụ mà con người sử dụng hàng ngày để tiếp nhận thông tin, giao tiếp và làm việc. Đóng chặt cổng, đạp mạnh ga

Washington cần đối mặt với lợi thế này của Trung Quốc bằng cách kìm hãm các nỗ lực "chắt lọc" (distillation) trái phép của Bắc Kinh, đồng thời đẩy nhanh quá trình phát triển hệ sinh thái mô hình mã nguồn mở (open-weight) của Hoa Kỳ. Các công ty AI hàng đầu của Mỹ hiện đã bắt đầu nỗ lực nhằm vô hiệu hóa hoạt động chắt lọc trái phép này. Anthropic đã xây dựng các hệ thống nhận diện "dấu vân tay hành vi" và điều chỉnh phản hồi; các hệ thống này sẽ phát hiện những mô hình sử dụng mang đặc điểm của quá trình chắt lọc tự động, đồng thời tinh tế thay đổi đầu ra của mô hình gốc nhằm làm giảm giá trị sử dụng của dữ liệu bị thu thập đối với các đối thủ cạnh tranh. Google cũng đã triển khai các hệ thống phát hiện tương tự, qua đó xác định thành công một chiến dịch bao gồm hơn 100.000 câu lệnh truy vấn (prompts) nhắm vào mô hình Gemini của hãng. OpenAI cũng đã cảnh báo Quốc hội rằng họ cũng đang phải đối mặt với những chiến dịch chắt lọc dữ liệu tương tự ở quy mô công nghiệp.

Những bước đi này tuy là một khởi đầu tốt, nhưng khó có thể giải quyết dứt điểm vấn đề, bởi lẽ những kẻ tấn công chuyên nghiệp luôn có thể tìm ra cách lách qua hầu hết các biện pháp phòng vệ kỹ thuật này. Các "dấu thủy ấn kỹ thuật số" (digital watermarks) mà các công ty lồng ghép vào đầu ra của mô hình có thể bị xóa bỏ; những dấu vân tay hành vi mà họ dùng để nhận diện cũng có thể bị làm mờ đi thông qua quá trình huấn luyện bổ sung; và các biện pháp phát hiện chỉ thực sự hiệu quả khi các công ty có thể trực tiếp quan sát được mô hình của mình đang được sử dụng như thế nào ngay từ đầu. Để hỗ trợ nỗ lực của khu vực tư nhân, chính phủ Hoa Kỳ nên bắt đầu bằng việc tập trung vào các chính sách thương mại và quy định pháp lý. Các quy trình chắt lọc dữ liệu vẫn phụ thuộc vào việc tiếp cận các chip bán dẫn của Mỹ để phục vụ quá trình huấn luyện mô hình; chính vì vậy, các biện pháp kiểm soát xuất khẩu trở thành một trong những chính sách hữu hiệu nhất để kìm hãm các hoạt động này trên quy mô lớn. Các biện pháp kiểm soát này cần được duy trì và thắt chặt hơn nữa, đặc biệt là đối với những loại chip được xác định là công cụ hỗ trợ cho hoạt động chắt lọc trái phép. Nằm trong khuôn khổ nỗ lực này, Washington nên mở rộng phạm vi áp dụng "Quy tắc Sản phẩm Trực tiếp Nước ngoài" (FDPR)—một quy định cho phép chính phủ Mỹ áp đặt các yêu cầu về giấy phép đối với những sản phẩm do nước ngoài sản xuất nhưng có sử dụng công nghệ có nguồn gốc từ Hoa Kỳ. Theo cách tiếp cận này, bất kỳ mô hình AI nào của Trung Quốc—vốn đã tích hợp các năng lực được chắt lọc một cách có hệ thống từ các hệ thống công nghệ tiên tiến hàng đầu của Mỹ—đều sẽ phải tuân thủ các yêu cầu về giấy phép. Trong trường hợp yêu cầu cấp phép bị từ chối, kết quả sẽ là lệnh cấm tuyệt đối đối với việc triển khai thương mại các sản phẩm này, việc tích hợp chúng vào các sản phẩm dành cho doanh nghiệp, cũng như việc xuất khẩu chúng sang các quốc gia thứ ba. Động thái này tuy không thể ngăn chặn hoàn toàn việc tạo ra các mô hình nội địa dựa trên phương pháp chắt lọc, nhưng sẽ gây trở ngại nghiêm trọng cho quá trình triển khai và xuất khẩu các mô hình đó.

Hiệu quả của FDPR đã được chứng minh thông qua việc áp dụng vào thiết bị mạng và công cụ sản xuất chất bán dẫn. Việc mở rộng nó sang lĩnh vực trí tuệ nhân tạo (AI) thậm chí còn quan trọng hơn, bởi vì một mô hình tinh chế có thể được triển khai và tích hợp vào các sản phẩm thương mại chỉ trong vòng vài giờ sau khi phát hành, khiến việc kiểm soát chuỗi cung ứng thương mại ở khâu tiếp theo trở nên thiết yếu. Cách tiếp cận kiểu FDPR cũng có lợi thế thực tiễn là tập trung vào một mô hình cụ thể, thay vì trừng phạt toàn bộ các công ty hoặc thực thể một cách rộng rãi. Do đó, nó có thể được sử dụng thay thế hoặc cùng với các biện pháp khác, chẳng hạn như việc đưa vào Danh sách Thực thể, điều này sẽ chính thức cắt đứt các phòng thí nghiệm của Trung Quốc thực hiện việc tinh chế trái phép từ công nghệ và linh kiện của Hoa Kỳ. Theo Đạo luật Quyền lực Kinh tế Khẩn cấp Quốc tế, Hoa Kỳ cũng có thể đóng băng tài sản của các phòng thí nghiệm này tại Hoa Kỳ, cấm các cá nhân và công ty Hoa Kỳ giao dịch với họ, và tạo ra rủi ro thứ cấp cho các công ty nước ngoài tiếp tục cung cấp hoặc hợp tác với họ.

Cuộc cạnh tranh cốt lõi trong lĩnh vực AI không còn giới hạn ở khâu phát triển. Giờ đây nó bao gồm cả phân phối.

Những biện pháp bảo vệ này, dù rộng rãi, vẫn chưa đủ. Washington cần khẩn trương khuyến khích sự phát triển của các giải pháp thay thế cạnh tranh, có tính chất mở của Hoa Kỳ. Hiện nay, các động lực kinh tế đang gây bất lợi cho các nhà phát triển phần mềm mã nguồn mở của Mỹ. Các phòng thí nghiệm tiên phong ngần ngại phát hành các mô hình cạnh tranh trực tiếp với các sản phẩm thành công hiện có của họ, và các nhà phát triển độc lập của Mỹ không thể khai thác từ các hệ thống tiên phong mà không vi phạm các điều khoản dịch vụ quản lý quyền truy cập của họ. Washington nên giải quyết vấn đề này bằng cách hợp tác với các công ty AI tiên phong để cho phép khai thác có giới hạn và có trách nhiệm bởi các công ty của Mỹ và các đồng minh trong các điều khoản dịch vụ của họ. Việc khai thác như vậy có thể bị giới hạn và phải chịu sự xem xét về an toàn, trái ngược hoàn toàn với việc khai thác không giới hạn và ẩn danh mà một số phòng thí nghiệm của Trung Quốc đang thực hiện. Trong khi đó, các nguồn lực công cộng và kinh phí nghiên cứu nên được sử dụng để khuyến khích các tổ chức của Mỹ phát hành và duy trì các mô hình phần mềm mã nguồn mở có khả năng, mang lại cho các nhà phát triển, doanh nghiệp và chính phủ trên toàn thế giới lý do thuyết phục để lựa chọn phương án của Mỹ. Việc Google gần đây phát hành Gemma 4 – một họ các mô hình phần mềm mã nguồn mở được xây dựng từ cùng một nghiên cứu với Gemini – chứng minh rằng các công ty Mỹ thực sự có thể tạo ra các mô hình phần mềm mã nguồn mở cạnh tranh khi có đủ động lực. Nếu các lựa chọn thay thế của Mỹ cho các mô hình của Trung Quốc được phổ biến rộng rãi, thì động lực để áp dụng một lựa chọn thay thế không được kiểm soát được xây dựng trên các khả năng được khai thác sẽ giảm đi đáng kể.

Mỗi biện pháp này sẽ đạt hiệu quả cao nhất nếu được triển khai phối hợp cùng các đồng minh. Washington cần hợp tác với các đối tác tại châu Á, châu Âu và những khu vực khác nhằm hài hòa các phương thức tiếp cận chính sách, đồng thời xây dựng một liên minh đủ rộng lớn để thiết lập các tiêu chuẩn chung về kỹ thuật "chưng cất" (distillation), cấp phép mô hình và kiểm soát xuất khẩu. Nếu thiếu sự phối hợp này, các biện pháp kiểm soát do Washington đơn phương áp đặt sẽ rất dễ bị lách luật: một phòng thí nghiệm tại Trung Quốc bị từ chối tiếp cận chip của Mỹ vẫn có thể thực hiện việc mua sắm thông qua các thị trường khác; tương tự, một mô hình AI "mã mở" (open-weight) bị chặn nhập cảnh vào Hoa Kỳ vẫn có thể tìm thấy người dùng tại châu Âu hoặc Nhật Bản. Việc phối hợp chắc chắn sẽ gặp nhiều khó khăn; tuy nhiên, các quốc gia dân chủ—vốn đang sản xuất những con chip tiên tiến nhất thế giới, phát triển các mô hình AI tiên phong và sở hữu những thị trường phần mềm lớn nhất—vẫn đang nắm giữ hầu hết các "điểm nghẽn" (choke points) mang tính then chốt. Họ hoàn toàn có đủ năng lực để hành động. Trong khu vực tư nhân, các công ty Hoa Kỳ cần chia sẻ những công cụ phát hiện hành vi "chưng cất" mà họ đã phát triển, đồng thời xây dựng các chuẩn mực hợp tác xoay quanh vấn đề bảo mật mô hình AI.

Năm ngoái, một trong số chúng tôi—Jared Dunnmon—đã đưa ra lời cảnh báo trên chính diễn đàn này rằng: nếu kỹ thuật "chưng cất" của Trung Quốc giúp các mô hình AI mã mở của nước này bứt phá và vượt lên trước Hoa Kỳ, thì ưu thế dẫn đầu về AI của Mỹ có thể sẽ bị xói mòn một cách căn bản. Lời cảnh báo ấy giờ đây đã trở thành hiện thực. Hoạt động "trích xuất" (extraction) dữ liệu và mô hình hiện đang diễn ra trên quy mô công nghiệp, và việc xử lý dữ liệu trên các thiết bị cá nhân (local devices) đã chạm tới một bước ngoặt mang tính bước ngoặt; các hệ thống như OpenClaw đã chứng minh rằng người dùng trên khắp thế giới đều mong muốn được sử dụng những mô hình AI có thể chạy trực tiếp trên chính thiết bị của họ; mặt khác, các cuộc tấn công nhằm vào những trung tâm dữ liệu tại khu vực vùng Vịnh cũng đã phơi bày thực tế rằng: các nguồn lực điện toán tập trung hoàn toàn có thể bị tổn thương trước những rủi ro vật lý. Trong khi các hệ thống AI tiên phong (frontier AI) đang ngày càng tiến gần hơn đến việc kiến ​​tạo nên điều mà CEO Dario Amodei của Anthropic gọi là một "quốc gia của những thiên tài nằm gọn trong một trung tâm dữ liệu", thì ở một khía cạnh khác, các mô hình AI mã mở lại đang thực sự vận hành một thế giới rộng lớn gồm vô vàn trợ lý ảo trên các thiết bị khắp toàn cầu—giúp con người trong đời sống thường nhật làm việc và sinh hoạt một cách hiệu quả, năng suất hơn. Giai đoạn tiếp theo của cuộc cạnh tranh AI giữa Hoa Kỳ và Trung Quốc sẽ phụ thuộc phần lớn vào việc mô hình AI nào sẽ trở thành lựa chọn mặc định trên các thiết bị cá nhân của người dùng trên toàn thế giới. Trừ khi Washington thực hiện những thay đổi cần thiết, nếu không, vị thế dẫn đầu đó sẽ thuộc về Trung Quốc.

Jared Dunnmon từng đảm nhiệm vị trí Giám đốc Kỹ thuật về Trí tuệ Nhân tạo tại Đơn vị Đổi mới Quốc phòng thuộc Bộ Quốc phòng trong giai đoạn từ năm 2020 đến 2023. 

Avanika Narayan là nghiên cứu sinh Tiến sĩ ngành Khoa học Máy tính tại Đại học Stanford, đồng thời là người đồng sáng tạo và đồng phụ trách dự án OpenJarvis—một framework mã nguồn mở dành cho các tác nhân AI hoạt động trên các thiết bị cá nhân.

Jon Saad-Falcon là nghiên cứu sinh Tiến sĩ ngành Khoa học Máy tính tại Đại học Stanford, đồng thời là người đồng sáng tạo và đồng phụ trách dự án OpenJarvis—một framework mã nguồn mở dành cho các tác nhân AI hoạt động trên các thiết bị cá nhân.

https://www.foreignaffairs.com/china/chinas-ai-heist 

***

China’s AI Heist

How to Counter Beijing’s Unauthorized “Distillation”

Outside the offices of an AI company in Beijing, China, March 2026 Florence Lo / Reuters

Anew front has opened in the U.S.-China competition in artificial intelligence: open-weight, local AI models. Until recently, the most capable AI models were too big and too costly to run anywhere but in giant data centers packed with expensive, specialized chips. But now these systems are rapidly migrating from the cloud to consumer hardware—including laptops and mobile devices—where they can answer questions, write code, and take actions on a user’s behalf without sending data to a remote server. Thanks to technological advances in both AI models and chips, the so-called open-weight AI models that increasingly underpin most local AI deployments are smarter and smaller than their predecessors and can be freely downloaded from the Internet, modified, and deployed without a centralized provider.

These rapid local AI systems promise to democratize access to powerful technology, reduce costs, and give users more control over the tools they use daily. But they also risk entrenching a profound asymmetry. The most capable open-weight models now flowing onto local devices are disproportionately Chinese. And if current conditions continue, China will retain this powerful edge. Moreover, many of the best open-weight models have been built by Chinese companies that systematically extract the capabilities of frontier American systems by applying a process called distillation—in which a smaller, more efficient AI model is trained to mimic a more sophisticated one—at an industrial scale. It is an approach that U.S. firms, constrained by contracts and legal norms, cannot follow because the terms of service of every major AI provider prohibit using model outputs to train competing systems.

Given these dynamics, the central contest in AI is no longer limited to development. It has expanded to include distribution—that is, to determining which country’s models, chips, and software frameworks will become the default on billions of devices. At present, U.S. firms design and sell the best chips and frontier AI models. But Chinese firms are distilling these models, compressing them to run inexpensively on cheap hardware, and shipping the results to the world. Indeed, in many cases, they are shipping the results back to the United States. The resulting Chinese advantage distorts the market and leaves U.S. firms and global users that need to build on open-weight AI with the unenviable choice of using Chinese models or falling behind.

It now seems possible that the United States could win the AI training battle and lose the distribution war—not because it failed on technical merit, but because it failed to ensure a level playing field. Fortunately, there is a way to respond. Over the past decade, Washington has honed a playbook for dealing with China’s anticompetitive practices. It must now adapt those strategies to promote U.S. progress and leadership in open-weight AI while penalizing actions by Chinese entities that cross the boundary between common research practice and economic warfare. This strategy carries a risk: if executed too broadly, it could damage U.S. AI leadership by constricting access to the very talent and models Washington needs to succeed. Executed precisely, however, this strategy could complement private-sector efforts to combat unauthorized distillation and ensure that the United States’ AI advantage continues into the next decade.

A new phase

Until recently, ordinary users struggled to run AI locally. The chips inside everyday devices, including laptops and phones, had too little memory to fit capable models and too little computing power to run them at usable speeds. And the software that enabled these models to reliably perform multistep tasks (such as reading a document, drafting a reply, and saving it to the right folder) was not yet mature.

Today, that is no longer the case. Hardware has become much more efficient, as have local models themselves. A recent study by researchers at Stanford showed that the share of queries that local models can accurately answer rose from 23 percent in 2023 to 71 percent in 2025. This means that a person can now download an open-weight AI model directly onto a laptop or smartphone and run it without an Internet connection, with queries answered by the device’s own chip rather than by a remote data center.

Demand for local AI systems is increasing for a variety of reasons. Developers want models they can download, modify, and deploy independently. Businesses want to keep sensitive data on their own infrastructure, and AI companies need models that they can fine-tune on their own data. Economic and infrastructure factors are also pushing the AI market toward local models. Accessing the cloud is expensive, and cloud-based models rely on massive data centers that face major power constraints. Shifting AI workloads to local machines spreads the burden across millions of existing devices and sidesteps data centers’ increasing physical and political limitations.

There is also an advantage to having AI capabilities widely distributed geographically. The risk of relying solely on data centers to handle AI workloads was revealed in March when Amazon Web Services’ data centers in the United Arab Emirates and Bahrain were damaged by Iranian drone strikes. The attacks knocked out a chunk of the region’s AWS infrastructure, taking down banking systems, payment apps, ride-hailing services, and enterprise software. Subsequently, Iran’s Islamic Revolutionary Guard Corps threatened the Middle Eastern infrastructure of more than a dozen U.S. technology firms, including several leading AI companies. As AI systems are increasingly used to support military operations, data centers are effectively becoming dual-use facilities and, therefore, targets for military strikes. Concentrating AI capability in a few large, exposed facilities is a strategic vulnerability. Models running locally across many devices are a safer, more resilient alternative.

A risky business

Chinese companies are conscious of the advantages that local models offer. They are thus racing to extract capabilities from U.S. models via distillation under conditions that American firms are not permitted to replicate domestically. In February, the American AI company Anthropic disclosed that the Chinese AI labs DeepSeek, Moonshot, and MiniMax had collectively generated more than 16 million exchanges with its Claude model through roughly 24,000 fraudulent accounts to extract high-value reasoning, coding, and tool-use capabilities. Anthropic described the activity as systematic distillation, not isolated misuse. As a result, capabilities that Anthropic had spent hundreds of millions of dollars developing were siphoned into competing Chinese products within weeks of being released.

The problem is not distillation as a technique. Knowledge transfer is part of how the AI ecosystem innovates, and developers around the world depend on open-weight models for legitimate research. The problem is that Chinese firms can freely engage in large-scale capability extraction from frontier U.S. models while U.S. firms are constrained by terms of service and legal norms that their foreign competitors ignore. American frontier labs spend tens of billions of dollars to train models, yet those capabilities can be siphoned off and released at a fraction of the original cost. In this way, the companies bearing the expense of frontier research are increasingly subsidizing the product lines of their competitors, which then attempt to undercut them on price.

The safety and security risks that can accompany distillation are just as concerning. Distillation transfers the capabilities that models acquire in training. But essential AI safeguards—such as alignment tuning (training a model to follow human instructions and refuse harmful requests), red-teaming (expert testing to expose and fix a model’s flaws), and safety filtering (software that screens inputs and outputs for dangerous content)—are added to AI models after their core training process has been completed. These safeguards are accordingly not transferred during distillation, and the consequences can be serious. In early 2025, the U.S. technology company Cisco revealed that DeepSeek-R1, a Chinese open-weight reasoning model, failed to block sampled prompts from a standard industry safety test called HarmBench, which covers categories including cybercrime, illegal weapons, and disinformation. The cybersecurity firm CrowdStrike further showed that when politically sensitive terms (such as “Tibet,” “Falun Gong,” and “Uyghurs”) were added to ordinary coding prompts, DeepSeek-R1 was up to 50 percent more likely to generate code with security vulnerabilities.

The case of OpenClaw, an open-source AI agent software framework that runs on a user’s own device, underscored the safety and security risks of these models. After its release in late 2025, OpenClaw became one of the fastest-growing repositories on the developer platform GitHub, drawing millions of monthly users. Unlike browser-based chatbots, OpenClaw gives local agents the memory, tools, and ability to act by using local hardware. Often, users pair OpenClaw with open-weight AI models. Because OpenClaw and systems like it autonomously build and run code, vulnerabilities in the underlying AI models do not stay in text. Instead, they get compiled, deployed, and executed on the user’s machine. OpenClaw’s marketplace for “skills”—prebuilt capabilities that let its agents perform specific tasks, from writing code to managing files—was rapidly flooded with more than 340 malicious extensions. Furthermore, Cisco’s AI Threat and Security Research team found that one of OpenClaw’s top-ranked community skills was functionally malware, showing how damaging it can be to have open-weight AI models that will not reject a clearly malicious set of instructions.

The unchecked spread of Chinese local models distilled from American products is on track to generate a serious geopolitical dependence. A developer may initially only intend to use a Chinese model locally. But if the developer’s applications need cloud scale, they will naturally gravitate toward the cloud provider that hosts and optimizes for that model. As a result, Alibaba Cloud rather than the U.S. alternative AWS will be favored. Eventually, the developer will use Huawei’s chips, not Nvidia’s. What starts as a cost-driven choice becomes a full-stack, enduring dependence. The same pattern has already appeared in telecommunications, mobile payments, and digital infrastructure. It is part of a broader Chinese strategy of technology-driven influence, from Belt and Road physical infrastructure to Huawei’s 5G networks, that systematically converts initial cost advantages into lasting dependencies. If Chinese models distilled from U.S. ones become the default intelligence on billions of devices, the United States risks allowing Beijing to have sway over the tools that people use every day for information, communication, and work.

Close the gates, hit the gas

Washington must confront this Chinese advantage by slowing Beijing’s unauthorized distillation efforts and accelerating the development of the U.S. open-weight ecosystem. The major U.S. AI companies are already attempting to blunt unauthorized distillation. Anthropic has built behavioral fingerprinting and response-shaping systems that flag the usage patterns characteristic of automated distillation and subtly alter the model’s outputs to make the harvested data less useful to a competitor. Google has deployed similar detection systems, which successfully identified a campaign of more than 100,000 prompts targeting its Gemini model. OpenAI has warned Congress that it has been subject to similar industrial-scale distillation campaigns.

These steps are a good start, but they are unlikely to solve the problem because dedicated attackers can invariably work around most of these technical defenses. The digital watermarks companies embed in model outputs can be edited out, the behavioral fingerprints they look for can be blurred by further training, and detection only works when firms can see how their models are being used in the first place. To assist private companies’ efforts, the U.S. government should begin by focusing on trade and regulatory policy. Distillation pipelines still depend on access to U.S. chips for training, which makes export controls one of the more effective policies for constraining them at scale. These controls should be maintained and tightened, particularly where chips are known to enable unauthorized distillation. As part of this effort, Washington should extend the foreign direct product rule (FDPR), under which it can impose licensing requirements on foreign products that use technology originating in the United States. In this framing, any Chinese models that have incorporated capabilities systematically extracted from American frontier systems would be subject to licensing requirements. If licenses are denied, the result would be outright prohibitions on these products’ commercial deployment, integration into enterprise products, and export to third countries. This move would not prevent the creation of local models based on distillation, but it would disrupt their deployment and export.

FDPR’s efficacy has already been proven through its application to networking equipment and semiconductor manufacturing tools. Extending it to AI may be even more important, because a distilled model can be deployed and integrated into commercial products within hours of its release, making controls on the downstream commercial usage pipeline essential. An FDPR-style approach also has the practical advantage of focusing on a particular model, rather than broadly penalizing entire firms or entities. As a consequence, it could be used either instead of or alongside other measures, such as Entity List designations, which would formally cut off Chinese labs that perform unauthorized distillation from U.S. technology and components. Under the International Emergency Economic Powers Act, the United States can also freeze these labs’ U.S.-based assets, bar U.S. persons and companies from doing business with them, and create secondary risks for foreign companies that continue to supply or partner with them.

The central contest in AI is no longer limited to development. It now includes distribution.

These protective measures, though extensive, will not be enough. Washington must urgently encourage the development of competitive U.S. open-weight alternatives. At present, economic incentives are working against American open-weight developers. Frontier labs are reluctant to release models that cannibalize their own existing successful products, and independent American developers cannot distill from frontier systems without violating the terms of service that govern their access. Washington should address this by working with frontier AI firms to permit limited, accountable distillation by U.S. and allied companies in their terms of service. Such distillation could be limited and subject to safety review, in sharp contrast to the unbounded, anonymous harvesting practiced by some Chinese labs. Meanwhile, public resources and research funding should be used to encourage U.S. entities to release and maintain capable open-weight models that give developers, enterprises, and governments worldwide a compelling reason to choose the U.S. option. Google’s recent release of Gemma 4—a family of open-weight models built from the same research as Gemini—proves that American companies can indeed produce competitive open-weight models when sufficiently motivated. If U.S. alternatives to Chinese models are widely available, the incentive to adopt an ungoverned alternative built on extracted capabilities diminishes substantially.

Each of these measures will be most effective if pursued in coordination with allies. Washington should work with its partners in Asia, Europe, and elsewhere to harmonize policy approaches and create a coalition large enough to set common standards for distillation, model licensing, and export controls. Without such coordination, controls imposed by Washington alone are easily evaded: a Chinese lab that is denied U.S. chips can route purchases through other markets, and an open-weight model blocked from entering the United States can find users in Europe or Japan. Coordination will be difficult, but the democracies that produce the world’s most advanced chips, frontier models, and largest software markets still control most of the choke points that matter. They can act. In the private sector, U.S. companies should share the distillation detection tools that they have developed and build cooperative norms around model security.

Last year, one of us, Jared Dunnmon, warned in these pages that if Chinese distillation allowed China’s open-weight models to race ahead of America’s, it could fundamentally erode the United States’ AI lead. That warning has been realized. Extraction is now happening on an industrial scale, and computing on local devices has crossed an inflection point; systems including OpenClaw have demonstrated that users around the world want models that run on their own devices, and strikes on data centers in the Gulf region have shown that centralized computing resources are physically vulnerable. As frontier AI systems move ever closer to creating what Anthropic CEO Dario Amodei has termed a “country of geniuses in a data center,” open-weight AI is already powering a veritable world of virtual assistants on devices around the globe that help everyday people work and live more efficiently and effectively. The next phase of the U.S.-China AI competition will be in no small part decided by which models become the default on the world’s local devices. Unless Washington makes the necessary changes, that distinction will belong to China.

Jared Dunnmon served as Technical Director for Artificial Intelligence at the Pentagon’s Defense Innovation Unit from 2020 to 2023. He is a Senior Adviser to the Geopolitics, Technology, and Governance Program at Stanford’s Center for International Security and Cooperation and a Nonresident fellow at the Center for Global Energy Policy at Columbia University.

Avanika Narayan is a Ph.D. candidate in computer science at Stanford University and Co-Creator and Co-Lead of OpenJarvis, an open-source framework for AI agents on personal devices.

Jon Saad-Falcon is a Ph.D. candidate in computer science at Stanford University and Co-Creator and Co-Lead of OpenJarvis, an open-source framework for AI agents on personal devices.