导读:白宫称中国实验室用”数万个代理账户”窃取美国 AI 模型,但他们误读了真相——这不是几家实验室的精密行动,而是一个在 GitHub、淘宝、Twitter 和 Telegram 上公开运营的灰色市场。任何想用先进 AI 工具的中国人,从教授到程序员到爱好者,都在用 API 中转站,价格低至官方的 10%。这揭示了美国 AI 安全框架的盲点:每一层封锁都催生了对应的破解基础设施,而真正的风险不在地缘政治,在于这条供应链如何将普通人——很多本就处于弱势——卷入犯罪市场。
2026 年 4 月 23 日,白宫发布备忘录警告,中国实体正在对美国前沿 AI 模型发起”工业级规模”的蒸馏攻击,利用”数万个代理账户”逃避检测。2026 年 2 月,Anthropic 也报告称中国实验室通过”单个代理网络管理超过 2 万个欺诈账户”进行协同蒸馏攻击。两份文件都把”代理”——模型用户和提供商之间的中间人——视为中国少数前沿实验室有目的设计的系统性提取美国 AI 模型的手段。
无论中国实验室是否依赖蒸馏来”追赶”,这两份文件都误读了它们所描述的代理经济。在少数几家实验室之下,存在一个规模大得多的市场,它一直在 GitHub、淘宝、Twitter 和 Telegram 上公开运营。这是一个 API 代理(通常被称为”中转站”)的灰色经济,让中国开发者能以低至官方价格 10%的成本访问 Anthropic 的模型。参与者远不止少数经验丰富的 AI 研究人员,动机也远比打造一个前沿模型来追赶要广泛得多。任何想使用更先进 AI 模型或工具的人,无论是大学教授和学生、科技工作者、个人开发者还是爱好者,都在使用 API 代理。他们生成的日志可能已经成为一种商品,被交易用于从模型训练到定向欺诈等各种目的AI。
与此同时,美国前沿 AI 公司增加的每一层控制措施(地理封锁、手机验证、信用卡要求,以及现在的实时生物识别 KYC 检查)都产生了相应的规避基础设施。这些新的短信农场和生物识别采集操作的影响超越了地缘政治,延伸到前沿 AI 安全框架的设计方式。
在我 2025 年关于在中国访问被禁美国模型的 ChinaTalk 文章基础上,本次更新专门聚焦中转站经济:它如何构建、如何变现,以及它揭示了访问封锁和账户监控作为 AI 治理工具的哪些局限。然而,与 2025 年的灰色市场不同,2026 年的故事并未止步于中国用户和美国 AI 模型提供商之间的边界。中转站经济暴露了 AI 安全框架的盲点,这些框架旨在防止超越美中竞争的危害,从恶意行为者的滥用到提供商可追溯性的侵蚀,同时助长了剥削供应链中普通人——其中许多人本就处于弱势地位——的犯罪市场。
为说明中转站如何运作,让我们以 Anthropic 为例,这家公司拥有最严格的地理封锁机制,其模型在中国开发者中非常受欢迎。
图:中国互联网上流传着一个梗:“你觉得自己比 Claude 聪明吗?”
地理封锁和身份验证(KYC)
在 Anthropic 支持国家的地图上,中国明显缺席,而在中国互联网上,Anthropic 也不见踪影——从技术上讲。实际上,无论是 Anthropic 的封锁还是防火长城都无法阻止中国用户访问 Claude 和 Claude Code。自 2025 年以来,尽管存在平台和政府审查,Claude 模型一直在淘宝等电商应用上蓬勃发展,而人口少于纽约市的新加坡,”令人惊讶地”在 2026 年 4 月领跑 Anthropic Claude 的全球人均使用量。
图:中国开发者在推特上就新加坡是 Claude 代币消费量最高的报道开玩笑,暗示这是因为中国人为了使用该模型而将流量路由到新加坡。“我们时不时都会觉得自己是新加坡人。”“我每天都会给自己分配国籍。”“是不是因为我们都用新加坡的节点?”“看来很多公司都在用新加坡的节点。”
中国政府目前并不特别积极地限制中国开发者访问美国先进模型。另一方面,Anthropic 对此很认真,采用多层机制来封锁中国大陆用户。最基本的层面,账户注册需要手机号码、海外信用卡和匹配的账单地址。2025 年 9 月 5 日,Anthropic 进一步禁止任何超过 50%股权直接或间接由总部位于中国等不支持地区的公司拥有的实体访问,无论该实体在哪里运营。这堵住了此前允许中国背景的外国公司保留 API 访问权限的子公司漏洞。
最新措施出现在 2026 年 4 月。Anthropic 开始要求特定用户使用政府颁发的带照片身份证件和实时自拍来验证身份,使 Claude 成为首个实施这种级别身份检查的主要消费 AI 平台。推出是有选择性的,由特定用例或平台完整性标志触发。对于通过 VPN 或其他中介访问 Claude 的中国用户,新 KYC 政策理论上应该让访问 Claude 变得更加困难——即使中国用户能伪造手机号码和地址,他们理论上也很难伪造与实体政府文件匹配的实时自拍。
然而实际上,中国人不仅可以访问 Claude 和相关工具,而且大多数时候他们可以以原价 10%的价格购买代币。魔法就在”中转站”。
什么是”中转站”?
中转站是中国开发者生态系统对 API 代理的称呼——一个位于开发者和 Anthropic 基础设施之间的海外服务器。它接收 API 请求,转发时假装源自中转站的位置,然后将响应传回。用户将软件重定向到代理的服务器而不是 Anthropic 的,并通过微信或支付宝支付人民币。这绕过了直接访问所需的 VPN 和海外信用卡。知名中转站被编入社区存储库,按实时价格和正常运行时间排名。在它们之下,更长尾的小型和个人项目来来去去。
虽然这种设置在功能上听起来与 OpenRouter 等合法西方 API 聚合器相同,但中转站在一个完全不同的合法性和信任宇宙中运作。合法聚合器的存在是为了简化开发者工作流程,基于透明的企业协议收取标准费率。相反,中转站明确为规避而建,通过不负责任的中间人路由数据。
就像提供 VPN 服务或在淘宝上销售 Claude 一样,中转站在中国技术上是不被允许的。根据中国关于 AI 服务注册的规定,未经备案和安全评估提供的 AI 服务是非法的。但就像一些小企业可以跳过 AI 注册而不受惩罚一样,大多数中转站也是如此。然而,生意越大,运营就越不安全。
中转站的供应链
中转站不是单一实体。它位于分层供应链的中间,大多数参与者彼此从不直接互动。
上游是资源提供商:批量注册或大规模获取 Anthropic 账户的账户商人;提供通过注册检查所需的外国手机号码的短信验证平台;以及在更技术性的一端,分析 Anthropic 客户端代码以寻找认证捷径或检测检测逻辑何时改变的逆向工程师。卡商和代理网络的支付基础设施也使从中国境内进行海外计费成为可能。
上游还应对更复杂的 KYC 机制——无论是 AI 还是人类。AI 服务已经展示了生成高度逼真的假身份证的能力,能够绕过主要平台的身份验证,而深度伪造工具现在允许犯罪分子创建能够成功通过远程生物识别验证的数字克隆。即使防御者能够成功检测出 AI 伪装人类,也存在一种更劳动密集型的方法来找到真人。代理人前往非洲或拉丁美洲的低收入国家招募愿意完成现场验证的真实个人。Worldcoin 黑市提供了一个有记录的先例,从柬埔寨和肯尼亚的 KYC 商人那里采集的虹膜扫描以不到 30 美元的价格出售。
图:Twitter 账号推广 KYC 验证服务。
中间是中转站本身:一个接收用户请求并将其转发给 Anthropic 的软件接口,就好像它们来自合法账户一样;一个支付集成(通常是支付宝或微信);以及保持其运行的平淡无奇的操作层——在账户被标记之前循环使用它们,在池中平衡负载,并不断适应 Anthropic 的滥用检测更新。
下游是客户:使用 Codex 或 Claude Code 的个人开发者,通过代理路由内部工作流程的企业,在自己产品中嵌入 API 的应用程序构建者,以及批发购买访问权限并在淘宝上为个人客户重新包装的二级转销商——正如我去年记录的那样。
几乎没有人运营整个链条。大多数参与者拥有一两个环节并将其很好地变现,形成一个有韧性的模块化系统。AI 模型提供商可以暂停个别运营商,但上游账户池和下游客户群保持完整。只要有开发者想要访问 Claude 以及愿意提供凭证的身份黑市——这两者都是持久特征——替代者就能迅速建立起来。
图:一张截图在开发者微信群中流传,内容是关于绕过 Anthropic KYC 流程的供应链玩笑;原图为中文(上方),下方为作者翻译。
一鱼三吃:如何让代币变便宜
然而,最奇怪的事情不是如何在中国获得 Claude 或 Claude Code 的访问权限,而是如何以荒谬的低价获得它——通常定价为每 1 美元代币 1 元人民币——比官方价格低 70-90%。根据公开讨论,中转站至少有三种方式使这成为可能——通常被描述为”一鱼三吃”。
第一吃:访问加价。这之所以可能,是因为上游资源提供商可以使用至少五种相对”无辜”的策略来堆叠代理:
批量注册 API 账户以收集 Anthropic 的 5 美元免费额度
转售他人账户中未使用的配额
“APImaxxing”——一个 200 美元的 Max 计划通过每小时代币配额在多个用户之间分割,利用 Anthropic 的固定订阅价格与远高于等值按代币付费 API 访问成本之间的差距
除此之外,还有一个更黑暗的上游输入:使用被盗或欺诈信用卡购买的账户,对运营商来说实际成本为零,可以进入代理池。相对于上述四种”无辜”策略,这部分占比有多大难以验证,但这两个市场可能共享一些基础设施和人员。
第二吃:掉包模型和虚报代币。因为用户的输入和模型输出是通过代理中介的,用户无法验证他们的请求实际被路由到哪个模型。用户选择 Opus 4.7,但代理可以悄悄路由到 Sonnet、Haiku,或在最坏的情况下路由到 GLM 或 Qwen,并欺诈性地重新标记输出。在德国 CISPA 亥姆霍兹信息安全中心最近的一篇论文中(引用了我去年关于灰色市场的文章),研究人员审计了 17 个 API 代理,发现了广泛的模型掉包——通过 API 代理访问”Gemini-2.5″在医学基准测试中仅达到 37.00%,与官方 API 的 83.82%性能相比大幅下降。在用户端,只有在复杂任务上,当输出感觉不对(通常被称为”降智”)时,才会露出马脚,但没有简洁的方法来证明它。大量公开记录突显了对某些 API 代理明显损害模型性能的担忧。这些代理被怀疑通过用劣质层级替换高级前沿模型来”掺水”服务。
除了掉包模型,过度消耗代币也使每个代币的价格更便宜,尽管代价是推高总成本。其中一些是结构性的,因为频繁轮换账户的代理会破坏缓存连续性作为副作用,迫使用户在本来几乎免费的上下文上燃烧全价代币。其中一些可能是故意的,因为代理提供商试图榨取更多使用量。从外部很难划清两者之间的界限。
第三吃:日志就是产品。这可能是最重要的部分,因为它与数据隐私和蒸馏相交。通过代理的每个请求——完整提示、完整响应、工具调用、迭代——都位于代理运营商的服务器上。对于 AI 编码代理,这些日志包含长推理链、真实工程决策、存储库上下文和人类验证的正确输出。这使它们成为后训练的理想数据集:用于真实工程任务的监督微调,以及在捕获完整推理轨迹的情况下,将 Claude 的推理模式蒸馏到更小模型中。中国开发者社区断言这至少在某些情况下正在发生,但代理运营商是否在系统性地收集和出售这些日志,以及卖给谁,仍未经证实。然而,下游蒸馏数据确实存在于开放网络上。几个 Claude Opus 4.6 推理输出的数据集在 HuggingFace 上流传,输出来源不明。理论上,人们可以清洗并向中国的其他模型开发者出售类似的蒸馏数据集。
前两顿饭提供了比 Anthropic 官方定价更便宜的 token,但要让价格降到原价的 10%、甚至 5% 这样荒谬的水平,就得吃第三顿饭。正如中国俗语所说,天下没有免费的午餐。几位中国开发者透露,加价生意只是获客手段,收割日志才是真正的利润来源。用户既是付费客户,也是无偿的数据生产者,用自己的隐私数据向代理运营商换取低价。也有人警告,代理泄露的用户数据可能被用于推销、诈骗甚至敲诈。为避免隐私风险,一些中国开发者也搭建了自己的 Claude Code API 代理,并开源了操作指南。
实名认证无法得知的事
AI 的使用正逐渐从聊天机器人转向工具使用。随着 agent 和 token 经济的兴起,使用美国模型的问题不再只关乎访问,而延伸到了成本效益。这是因为中国的 AI 生态系统——无论是前沿实验室、大学研究组、独立开发者还是爱好者——都普遍缺乏资金。与此同时,用户通过中转站产生的数据明显流入了下游市场,被用于模型训练、数据交易或诈骗。如果蒸馏也是这个经济体系的一部分,那问题就远超美国政府或 AI 公司预期的少数前沿参与者。
历史告诉我们,封锁访问很少能阻止有决心的用户。封锁提高了访问成本,进而为任何有能力降低成本的人创造了有利可图的市场。防火长城让 VPN 服务在中国成为蓬勃发展的家庭手工业。KYC 要求催生了伪造身份的经济,从国内身份证转售商到东南亚或非洲的生物特征采集操作。前沿 AI 公司的多层控制——地理封锁、手机验证、信用卡要求,以及现在的实时生物识别检查——产生了同样的效果。
然而,这个故事超越了”Anthropic/美国对抗中国”的框架。这指向了一个关于访问控制令人不安的真相,无论是在地缘政治边界还是更广的范围。一个被地理封锁的开发者绕过控制的方法,在结构上与恐怖分子访问前沿 AI 模型并制造破坏性生物武器而不被追踪的方法相同。访问问题既是独特的地缘政治考量,也是共同的安全担忧。
如今,AI 安全研究将系统级访问控制——特别是对公开可用的闭源权重模型的检测、监控和账户封禁——视为重要的保障措施。在监控方面,开发者控制推理基础设施,包括实时标记有害输入和输出。检测(如 KYC 要求)假设提供商能将行为归因于可识别的参与者,账户封禁同样假设封禁账户能有效拒绝访问。但美国模型提供商无法控制通过中转站路由的中国用户的推理——代理运营商才控制。当有害请求到达时,AI 模型提供商看到的不是真实用户的 IP,而是代理的 IP。当一个账户被封禁时,上游供应链可以在几小时内轻松建立新代理。
对于更复杂的监控工具,问题更加严重。Anthropic 的 Clio 系统部分设计用于检测在单个对话层面不可见的协同滥用,它通过识别跨账户和对话的模式来工作。例如,它识别出一个使用类似提示词结构生成搜索引擎垃圾内容的自动化账户网络,并随后封禁了它们。但因为请求通过代理路由,封禁并不能有效阻止底层行为。对于蓄意策划的攻击——比如将有害查询分散到多个阶段和代理账户,每个请求单独看都无害——跨账户模式远不如协同垃圾内容明显,后者的信号天然就很显著。
最后,中转站不仅体现了传统的攻防范式——无论是美国 AI 公司与中国用户之间,还是 AI 保障措施与恶意行为者之间。黑市有自己的供应链和剥削逻辑,它产生的危害远超最初的访问问题。今天为绕过 Anthropic 系统而被收割用于代理 KYC 验证的面部信息,明天可以被转售用于开设欺诈性金融账户、伪造就业记录或生成深度伪造,全球南方的原始主体要承担法律和声誉后果。路由 Claude 请求的基础设施可以用于通过模型替换、基于泄露提示词数据的定向诈骗或敲诈来欺骗用户。维持代理池的养号操作——批量短信验证、欺诈性注册、盗刷账户——滋养了更广泛的垃圾电话、钓鱼短信、欺诈性贷款申请和信用卡诈骗的犯罪市场。许多危害与 AI 或地缘政治无关。
但现在灰色市场的每个副产品——从恐怖分子利用 AI 合成下一场大流行病的潜在危险,到现实中的剥削和犯罪——都已存在。尽管防火长城或 AI 地理封锁想按国家界线划分谁能访问前沿技术,但正如灰色市场所揭示的,危害是无法分割的。
致谢:
Zilan 感谢 Alan Chan、Gabriel Wagner、Karuna Nandkumar 和 Kayla Blomquist 提供的有益反馈。
作者承认使用了 LLM 进行初步案头研究、技术概念澄清和文稿编辑,并且事实上非常感激她仍能在中国大陆使用 VPN 通过新加坡节点访问 Claude,而不会触发 KYC 流程。
资料来自非正式交流。
应用程序编程接口(API)是让开发者将软件直接接入 AI 模型的通道——以编程方式向 Anthropic 服务器发送请求并接收响应,而不是通过浏览器交互。
具体来说,是将 ANTHROPICBASEURL 环境变量替换为代理的地址。
来自非正式交流和案头研究。
本文来自转载TechFlow深潮 ,不代表发现AI立场,如若转载,请联系原作者;如有侵权,请联系编辑删除。
微信扫一扫 
