Kinh doanh trạm chuyển tiếp Claude: Càng siết chặt việc chặn truy cập, thị trường xám càng phát triển đầy đủ
Tuyển chọn TechFlowTuyển chọn TechFlow
Kinh doanh trạm chuyển tiếp Claude: Càng siết chặt việc chặn truy cập, thị trường xám càng phát triển đầy đủ
Rủi ro thực sự không nằm ở địa chính trị, mà nằm ở việc chuỗi cung ứng này như thế nào sẽ lôi kéo những người bình thường — nhiều người trong số họ vốn đã ở vị thế yếu thế — vào thị trường tội phạm.
Chuyên sâu báo cáo Web3Tác giả: Zilan Qian
Biên dịch: TechFlow
Giới thiệu của TechFlow: Nhà Trắng cáo buộc các phòng thí nghiệm Trung Quốc đã sử dụng “hàng chục nghìn tài khoản đại lý” để đánh cắp các mô hình AI tiên tiến của Mỹ. Tuy nhiên, họ đã hiểu sai bản chất sự việc — đây không phải là một chiến dịch tinh vi do vài phòng thí nghiệm thực hiện, mà là một thị trường xám đang hoạt động công khai trên GitHub, Taobao, Twitter và Telegram. Bất kỳ người nào ở Trung Quốc muốn sử dụng các công cụ AI tiên tiến — từ giáo sư, lập trình viên đến người đam mê — đều đang dùng các trạm trung chuyển (API relay), với giá chỉ bằng 10% mức giá chính thức. Điều này phơi bày điểm mù trong khuôn khổ an ninh AI của Mỹ: mỗi lớp kiểm soát đều tạo ra cơ sở hạ tầng tương ứng nhằm né tránh; và rủi ro thực sự không nằm ở địa chính trị, mà ở cách chuỗi cung ứng này lôi kéo những người bình thường — nhiều người trong số đó vốn đã ở vị thế yếu — vào thị trường phạm tội.
Ngày 23 tháng 4 năm 2026, Nhà Trắng ban hành bản ghi nhớ cảnh báo rằng các thực thể Trung Quốc đang tiến hành các cuộc tấn công “quy mô công nghiệp” nhằm sao chép (distillation) các mô hình AI tiên tiến của Mỹ, sử dụng “hàng chục nghìn tài khoản đại lý” để tránh bị phát hiện. Tháng 2 năm 2026, Anthropic cũng báo cáo rằng các phòng thí nghiệm Trung Quốc đã tiến hành các cuộc tấn công sao chép phối hợp thông qua “một mạng lưới đại lý duy nhất quản lý hơn 20.000 tài khoản gian lận”. Cả hai văn bản đều coi “đại lý” — tức bên trung gian giữa người dùng và nhà cung cấp mô hình — như một cơ chế có chủ đích do một số ít phòng thí nghiệm hàng đầu Trung Quốc thiết kế nhằm khai thác hệ thống mô hình AI của Mỹ một cách có hệ thống.
Dù các phòng thí nghiệm Trung Quốc có thực sự dựa vào kỹ thuật sao chép để “bắt kịp” hay không, cả hai văn bản nói trên đều hiểu sai bản chất nền kinh tế đại lý mà chúng mô tả. Phía sau vài phòng thí nghiệm ấy tồn tại một thị trường lớn hơn nhiều, đang hoạt động công khai trên GitHub, Taobao, Twitter và Telegram. Đây là một nền kinh tế xám các trạm trung chuyển API (thường được gọi là “relay”), cho phép các nhà phát triển Trung Quốc truy cập các mô hình của Anthropic với chi phí chỉ bằng 10% giá chính thức. Những người tham gia không chỉ giới hạn ở một vài nhà nghiên cứu AI giàu kinh nghiệm, và động cơ của họ cũng đa dạng hơn rất nhiều so với mục tiêu xây dựng một mô hình tiên tiến để “bắt kịp”. Bất kỳ ai muốn sử dụng các mô hình hoặc công cụ AI tiên tiến hơn — từ giảng viên và sinh viên đại học, chuyên gia công nghệ, lập trình viên cá nhân đến người đam mê — đều đang sử dụng các trạm trung chuyển API. Các nhật ký (logs) do họ tạo ra có thể đã trở thành một mặt hàng thương mại, được mua bán nhằm phục vụ đủ loại mục đích — từ huấn luyện mô hình đến gian lận có chủ đích.
Đồng thời, mỗi lớp kiểm soát mới mà các công ty AI hàng đầu Mỹ tăng cường (khóa vùng địa lý, xác minh số điện thoại, yêu cầu thẻ tín dụng, và gần đây nhất là kiểm tra KYC nhận diện sinh trắc học thời gian thực) đều làm nảy sinh cơ sở hạ tầng tương ứng nhằm né tránh. Tác động của các “trang trại tin nhắn SMS” mới và các hoạt động thu thập sinh trắc học này vượt xa phạm vi địa chính trị, lan rộng tới cách thiết kế khuôn khổ an ninh AI tiên tiến.
Dựa trên bài viết ChinaTalk năm 2025 của tôi về việc tiếp cận các mô hình Mỹ bị cấm tại Trung Quốc, bản cập nhật lần này tập trung đặc biệt vào nền kinh tế trạm trung chuyển: cách nó được xây dựng, cách nó tạo ra doanh thu, và những hạn chế nào trong công cụ quản trị AI — như khóa truy cập và giám sát tài khoản — mà nó phơi bày. Tuy nhiên, khác với thị trường xám năm 2025, câu chuyện năm 2026 không dừng lại ở ranh giới giữa người dùng Trung Quốc và nhà cung cấp mô hình AI của Mỹ. Nền kinh tế trạm trung chuyển phơi bày điểm mù trong khuôn khổ an ninh AI — những khuôn khổ được thiết kế nhằm ngăn chặn những mối nguy vượt lên trên cạnh tranh Mỹ–Trung, từ việc lạm dụng bởi các đối tượng độc hại đến suy giảm khả năng truy vết của nhà cung cấp — đồng thời nuôi dưỡng một thị trường phạm tội khai thác những người bình thường trong chuỗi cung ứng, trong đó rất nhiều người vốn đã ở vị thế yếu.
Để minh họa cách các trạm trung chuyển vận hành, hãy lấy ví dụ về Anthropic — công ty áp dụng cơ chế khóa vùng địa lý nghiêm ngặt nhất, song lại cực kỳ phổ biến trong cộng đồng nhà phát triển Trung Quốc.
Ảnh: Một trò đùa lan truyền trên mạng Internet Trung Quốc: “Bạn nghĩ mình thông minh hơn Claude à?”
Khóa vùng địa lý và xác thực danh tính (KYC)
Trên bản đồ các quốc gia được Anthropic hỗ trợ, Trung Quốc rõ ràng vắng mặt; và trên mạng Internet Trung Quốc, Anthropic cũng “biến mất” — ít nhất là về mặt kỹ thuật. Thực tế, dù có cả kiểm soát nền tảng lẫn tường lửa (Great Firewall), người dùng Trung Quốc vẫn hoàn toàn có thể truy cập Claude và Claude Code. Từ năm 2025 đến nay, các mô hình Claude vẫn phát triển mạnh mẽ trên các ứng dụng thương mại điện tử như Taobao, bất chấp sự kiểm duyệt từ cả nền tảng lẫn chính phủ; trong khi Singapore — quốc gia có dân số ít hơn cả thành phố New York — “đáng ngạc nhiên” dẫn đầu về mức độ sử dụng bình quân đầu người toàn cầu đối với Claude của Anthropic vào tháng 4 năm 2026.
Ảnh: Các nhà phát triển Trung Quốc đùa trên Twitter về tin tức Singapore đứng đầu thế giới về mức tiêu thụ token Claude, ám chỉ rằng người Trung Quốc đang định tuyến lưu lượng truy cập qua Singapore để sử dụng mô hình này. “Thỉnh thoảng chúng ta đều cảm thấy mình là người Singapore.” “Mỗi ngày tôi đều tự phân bổ quốc tịch cho mình.” “Chẳng lẽ vì tất cả chúng ta đều dùng nút (node) ở Singapore sao?” “Có vẻ nhiều công ty đang dùng nút ở Singapore.”
Hiện nay, chính phủ Trung Quốc không đặc biệt tích cực ngăn cản các nhà phát triển Trung Quốc truy cập các mô hình tiên tiến của Mỹ. Ngược lại, Anthropic lại rất nghiêm túc trong vấn đề này, áp dụng nhiều lớp cơ chế để khóa người dùng từ Trung Quốc đại lục. Ở mức cơ bản nhất, việc đăng ký tài khoản yêu cầu số điện thoại, thẻ tín dụng nước ngoài và địa chỉ hóa đơn khớp với thẻ. Vào ngày 5 tháng 9 năm 2025, Anthropic còn cấm mọi thực thể — bất kể nơi đăng ký — nếu có hơn 50% cổ phần trực tiếp hoặc gián tiếp thuộc sở hữu của công ty đặt trụ sở tại các khu vực không được hỗ trợ (như Trung Quốc). Quy định này bịt kín lỗ hổng trước đây cho phép các công ty nước ngoài có gốc Trung Quốc duy trì quyền truy cập API thông qua các công ty con.
Các biện pháp mới nhất xuất hiện vào tháng 4 năm 2026. Anthropic bắt đầu yêu cầu một số người dùng cụ thể xác thực danh tính bằng giấy tờ tùy thân do chính phủ cấp có ảnh và ảnh chụp selfie thời gian thực, khiến Claude trở thành nền tảng AI tiêu dùng chính đầu tiên triển khai mức độ kiểm tra danh tính này. Việc triển khai mang tính chọn lọc, được kích hoạt bởi các trường hợp sử dụng cụ thể hoặc các dấu hiệu liên quan đến tính toàn vẹn của nền tảng. Về mặt lý thuyết, chính sách KYC mới này khiến việc truy cập Claude trở nên khó khăn hơn đối với người dùng Trung Quốc sử dụng VPN hoặc các trung gian khác — bởi dù người dùng Trung Quốc có thể giả mạo số điện thoại và địa chỉ, thì việc giả mạo ảnh selfie thời gian thực khớp với giấy tờ tùy thân thực tế là điều gần như bất khả thi.
Tuy nhiên trên thực tế, người Trung Quốc không chỉ có thể truy cập Claude và các công cụ liên quan, mà còn thường xuyên mua token với giá chỉ bằng 10% giá niêm yết. Bí mật nằm ở “trạm trung chuyển”.
“Trạm trung chuyển” là gì?
“Trạm trung chuyển” là cách gọi trong hệ sinh thái nhà phát triển Trung Quốc dành cho các đại lý API — một máy chủ nước ngoài nằm giữa nhà phát triển và cơ sở hạ tầng của Anthropic. Nó nhận các yêu cầu API, chuyển tiếp chúng với tư cách là nguồn phát xuất từ vị trí của trạm trung chuyển, rồi gửi phản hồi trở lại. Người dùng cấu hình phần mềm để trỏ tới máy chủ của đại lý thay vì máy chủ của Anthropic, và thanh toán bằng Nhân dân tệ qua WeChat Pay hoặc Alipay. Cách làm này giúp tránh được nhu cầu sử dụng VPN và thẻ tín dụng nước ngoài khi truy cập trực tiếp. Các trạm trung chuyển nổi tiếng được đưa vào các kho lưu trữ cộng đồng, xếp hạng theo giá thực tế và thời gian hoạt động ổn định. Bên dưới, những dự án nhỏ và cá nhân ở đuôi dài hơn thì xuất hiện và biến mất liên tục.
Mặc dù về mặt chức năng, cấu hình này nghe có vẻ giống với các bộ tổng hợp API phương Tây hợp pháp như OpenRouter, nhưng các trạm trung chuyển lại vận hành trong một vũ trụ hoàn toàn khác về tính hợp pháp và độ tin cậy. Các bộ tổng hợp hợp pháp tồn tại nhằm đơn giản hóa quy trình làm việc của nhà phát triển, thu phí tiêu chuẩn dựa trên các thỏa thuận doanh nghiệp minh bạch. Ngược lại, các trạm trung chuyển được xây dựng rõ ràng nhằm né tránh kiểm soát, định tuyến dữ liệu thông qua các trung gian thiếu trách nhiệm.
Cũng như việc cung cấp dịch vụ VPN hay bán Claude trên Taobao, các trạm trung chuyển về mặt kỹ thuật là không được phép tại Trung Quốc. Theo quy định của Trung Quốc về đăng ký dịch vụ AI, việc cung cấp dịch vụ AI mà chưa đăng ký và chưa qua đánh giá an ninh là hành vi bất hợp pháp. Nhưng giống như một số doanh nghiệp nhỏ có thể bỏ qua việc đăng ký AI mà không bị trừng phạt, hầu hết các trạm trung chuyển cũng vậy. Tuy nhiên, quy mô kinh doanh càng lớn thì hoạt động càng kém an toàn.
Chuỗi cung ứng trạm trung chuyển
Trạm trung chuyển không phải là một thực thể duy nhất. Nó nằm ở vị trí trung tâm trong một chuỗi cung ứng phân tầng, trong đó phần lớn các bên tham gia chưa từng tương tác trực tiếp với nhau.
Phía thượng nguồn là các nhà cung cấp tài nguyên: những “thương gia tài khoản” chuyên đăng ký hàng loạt hoặc thu thập số lượng lớn tài khoản Anthropic; các nền tảng xác minh SMS cung cấp số điện thoại nước ngoài cần thiết để vượt qua bước xác minh đăng ký; và ở mặt kỹ thuật sâu hơn, các kỹ sư đảo ngược (reverse engineer) phân tích mã nguồn client của Anthropic nhằm tìm kiếm các kẽ hở trong quy trình xác thực hoặc phát hiện khi nào logic phát hiện thay đổi. Cơ sở hạ tầng thanh toán của các nhà cung cấp thẻ và mạng lưới đại lý cũng làm cho việc thanh toán quốc tế từ lãnh thổ Trung Quốc trở nên khả thi.
Phía thượng nguồn còn phải đối phó với các cơ chế KYC ngày càng phức tạp — dù do AI hay con người thực hiện. Các dịch vụ AI đã chứng minh khả năng tạo ra giấy tờ tùy thân giả cực kỳ chân thực, đủ để vượt qua quy trình xác thực danh tính trên các nền tảng lớn; trong khi các công cụ deepfake giờ đây cho phép tội phạm tạo ra các bản sao kỹ thuật số (digital clone) có thể vượt qua thành công các kiểm tra sinh trắc học từ xa. Ngay cả khi bên phòng thủ có thể phát hiện thành công việc AI giả dạng con người, vẫn tồn tại một phương pháp tốn nhiều sức lao động hơn để tìm người thật: các đại lý đến các quốc gia thu nhập thấp ở châu Phi hoặc Mỹ Latinh để tuyển những cá nhân sẵn sàng thực hiện xác minh tại chỗ. Thị trường chợ đen Worldcoin cung cấp một tiền lệ đã được ghi nhận: các bản quét mống mắt thu thập từ các nhà cung cấp KYC ở Campuchia và Kenya được bán với giá dưới 30 đô la Mỹ.
Ảnh: Tài khoản Twitterquảng bá dịch vụ xác thực KYC.
Phía trung tâm là bản thân trạm trung chuyển: một giao diện phần mềm nhận yêu cầu từ người dùng và chuyển tiếp chúng tới Anthropic như thể chúng phát xuất từ tài khoản hợp pháp; một hệ thống tích hợp thanh toán (thường là Alipay hoặc WeChat Pay); và một lớp vận hành đơn giản nhưng thiết yếu nhằm duy trì hoạt động — luân chuyển tài khoản trước khi chúng bị gắn cờ, cân bằng tải trong nhóm tài khoản, và liên tục thích nghi với các bản cập nhật phát hiện lạm dụng của Anthropic.
Phía hạ nguồn là khách hàng: các lập trình viên cá nhân sử dụng Codex hoặc Claude Code; các doanh nghiệp định tuyến quy trình làm việc nội bộ thông qua trạm trung chuyển; các nhà xây dựng ứng dụng tích hợp API vào sản phẩm của mình; và các nhà phân phối cấp hai mua quyền truy cập với số lượng lớn rồi tái đóng gói để bán lẻ cho khách hàng cá nhân trên Taobao — như tôi đã ghi chép năm ngoái.
Hầu như không ai vận hành toàn bộ chuỗi. Phần lớn người tham gia chỉ nắm giữ một hoặc hai khâu và biến chúng thành nguồn thu hiệu quả, tạo nên một hệ thống mô-đun bền bỉ. Các nhà cung cấp mô hình AI có thể tạm ngưng hoạt động của một số nhà vận hành cá biệt, nhưng nhóm tài khoản phía thượng nguồn và cơ sở khách hàng phía hạ nguồn vẫn nguyên vẹn. Chỉ cần còn nhà phát triển muốn truy cập Claude và còn thị trường chợ đen cung cấp giấy tờ tùy thân — hai yếu tố đều tồn tại dai dẳng — thì những người thay thế sẽ nhanh chóng xuất hiện.
Ảnh: Một ảnh chụp màn hình lan truyền trong nhóm WeChat của các nhà phát triển, đùa về chuỗi cung ứng nhằm vượt qua quy trình KYC của Anthropic; ảnh gốc bằng tiếng Trung (phía trên), phần dưới là bản dịch của tác giả.
Một con cá, ba món ăn: Làm thế nào để token rẻ đến mức phi lý?
Tuy nhiên, điều kỳ lạ nhất không phải là cách người Trung Quốc tiếp cận Claude hoặc Claude Code, mà là cách họ mua chúng với mức giá rẻ đến mức phi lý — thường chỉ 1 Nhân dân tệ cho mỗi 1 đô la Mỹ giá trị token — thấp hơn 70–90% so với giá chính thức. Theo các thảo luận công khai, các trạm trung chuyển có ít nhất ba cách để đạt được điều này — thường được mô tả là “một con cá, ba món ăn”.
Món thứ nhất: Gia tăng lợi nhuận từ quyền truy cập. Điều này khả thi vì các nhà cung cấp tài nguyên phía thượng nguồn có thể sử dụng ít nhất năm chiến lược tương đối “vô hại” để chồng chéo các tài khoản đại lý:
Đăng ký hàng loạt tài khoản API để tận dụng khoản miễn phí 5 đô la Mỹ của Anthropic
Chuyển bán hạn mức chưa sử dụng trong tài khoản của người khác
“APImaxxing” — một gói Max giá 200 đô la Mỹ, nhờ chia sẻ hạn mức token mỗi giờ cho nhiều người dùng, khai thác khoảng chênh lệch giữa giá đăng ký cố định và chi phí truy cập API theo token tương đương cao hơn nhiều
Ngoài ra còn có một đầu vào tối hơn từ phía thượng nguồn: các tài khoản được mua bằng thẻ tín dụng bị đánh cắp hoặc gian lận, khiến chi phí thực tế đối với nhà vận hành bằng không và có thể đưa vào nhóm tài khoản đại lý. Tỷ lệ chiếm lĩnh của phần này so với bốn chiến lược “vô hại” nói trên khó xác minh, nhưng hai thị trường này có thể chia sẻ một số cơ sở hạ tầng và nhân sự.
Món thứ hai: Thay thế mô hình và báo cáo sai số lượng token. Vì đầu vào người dùng và đầu ra mô hình đều đi qua trung gian đại lý, người dùng không thể xác minh yêu cầu của mình thực sự được định tuyến tới mô hình nào. Người dùng chọn Opus 4.7, nhưng đại lý có thể âm thầm định tuyến sang Sonnet, Haiku, hoặc tệ hơn là sang GLM hoặc Qwen, rồi gán nhãn sai đầu ra. Trong một bài báo gần đây của Trung tâm An ninh Thông tin Helmholtz CISPA (Đức) — trích dẫn bài viết năm ngoái của tôi về thị trường xám — các nhà nghiên cứu đã kiểm toán 17 trạm trung chuyển API và phát hiện tình trạng thay thế mô hình phổ biến: việc truy cập “Gemini-2.5” thông qua trạm trung chuyển API chỉ đạt 37,00% trên bài kiểm tra y khoa, giảm mạnh so với hiệu suất 83,82% của API chính thức. Đối với người dùng, chỉ trong các tác vụ phức tạp, khi đầu ra cảm giác “sai sai” (thường gọi là “giảm trí tuệ”) thì mới lộ manh mối, nhưng lại không có cách nào gọn gàng để chứng minh điều đó. Hàng loạt hồ sơ công khai làm nổi bật lo ngại về việc một số trạm trung chuyển API gây tổn hại rõ rệt tới hiệu năng mô hình. Các trạm trung chuyển này bị nghi ngờ “pha loãng” dịch vụ bằng cách thay thế các mô hình tiên tiến cấp cao bằng các tầng chất lượng thấp hơn.
Bên cạnh việc thay thế mô hình, việc tiêu thụ quá mức token cũng làm giảm giá mỗi token, mặc dù điều này đẩy tổng chi phí lên cao. Một số trường hợp là do cấu trúc: các đại lý thường xuyên luân chuyển tài khoản vô tình phá vỡ tính liên tục của bộ nhớ đệm (cache), buộc người dùng phải tiêu tốn token giá đầy đủ cho các ngữ cảnh vốn gần như miễn phí. Một số trường hợp khác có thể là chủ ý, khi nhà cung cấp đại lý cố gắng khai thác tối đa lượt sử dụng. Từ bên ngoài rất khó phân biệt ranh giới giữa hai trường hợp này.
Món thứ ba: Nhật ký chính là sản phẩm. Đây có thể là phần quan trọng nhất, vì nó giao thoa giữa quyền riêng tư dữ liệu và kỹ thuật sao chép (distillation). Mỗi yêu cầu đi qua đại lý — toàn bộ prompt, toàn bộ phản hồi, lời gọi công cụ, vòng lặp lặp lại — đều nằm trên máy chủ của nhà vận hành đại lý. Với các đại lý AI lập trình, các nhật ký này chứa chuỗi lập luận dài, các quyết định kỹ thuật thực tế, ngữ cảnh kho lưu trữ (repository) và đầu ra đúng đã được con người xác minh. Điều này khiến chúng trở thành tập dữ liệu lý tưởng cho việc huấn luyện hậu kỳ: để tinh chỉnh giám sát (SFT) trên các tác vụ kỹ thuật thực tế, và trong trường hợp ghi lại toàn bộ hành trình lập luận, để sao chép (distill) mô hình lập luận của Claude sang các mô hình nhỏ hơn. Cộng đồng nhà phát triển Trung Quốc khẳng định điều này ít nhất đang xảy ra trong một số trường hợp, nhưng việc các nhà vận hành đại lý có đang hệ thống hóa việc thu thập và bán các nhật ký này, cũng như bán cho ai, vẫn chưa được xác minh. Tuy nhiên, dữ liệu sao chép (distillation) thực tế từ hạ nguồn đã tồn tại trên mạng mở. Một vài tập dữ liệu đầu ra suy luận Claude Opus 4.6 đang lưu hành trên HuggingFace, nhưng nguồn gốc đầu ra không rõ ràng. Về mặt lý thuyết, người ta có thể làm sạch và bán các tập dữ liệu sao chép tương tự cho các nhà phát triển mô hình khác ở Trung Quốc.
Hai món đầu tiên cung cấp token rẻ hơn giá chính thức của Anthropic, nhưng để đẩy giá xuống mức phi lý như 10% hoặc thậm chí 5% giá gốc, thì phải “ăn” món thứ ba. Như câu tục ngữ Trung Quốc nói: “Trên đời không có bữa ăn miễn phí”. Một số nhà phát triển Trung Quốc tiết lộ, việc kinh doanh gia tăng lợi nhuận chỉ là thủ đoạn thu hút khách hàng, còn việc khai thác nhật ký mới là nguồn lợi nhuận thực sự. Người dùng vừa là khách hàng trả tiền, vừa là người sản xuất dữ liệu miễn phí, dùng dữ liệu riêng tư của mình để đổi lấy mức giá rẻ từ nhà vận hành đại lý. Cũng có người cảnh báo rằng dữ liệu người dùng bị rò rỉ qua các đại lý có thể bị dùng vào mục đích quảng cáo, lừa đảo hoặc thậm chí tống tiền. Để tránh rủi ro về quyền riêng tư, một số nhà phát triển Trung Quốc còn tự xây dựng trạm trung chuyển API cho Claude Code và công bố hướng dẫn vận hành mã nguồn mở.
Những điều xác thực danh tính không thể biết
Việc sử dụng AI đang dần chuyển từ chatbot sang các công cụ chuyên dụng. Cùng với sự trỗi dậy của các agent và nền kinh tế token, vấn đề sử dụng các mô hình Mỹ không còn chỉ xoay quanh việc truy cập, mà mở rộng sang hiệu quả chi phí. Bởi hệ sinh thái AI Trung Quốc — dù là các phòng thí nghiệm hàng đầu, nhóm nghiên cứu đại học, lập trình viên độc lập hay người đam mê — đều chung một thực trạng thiếu hụt tài chính. Đồng thời, dữ liệu do người dùng tạo ra thông qua các trạm trung chuyển rõ ràng đang chảy vào thị trường hạ nguồn, phục vụ huấn luyện mô hình, giao dịch dữ liệu hoặc gian lận. Nếu kỹ thuật sao chép cũng là một phần trong nền kinh tế này, thì vấn đề đã vượt xa những đối tượng tiên phong ít ỏi mà chính phủ Mỹ hoặc các công ty AI dự kiến.
Lịch sử cho thấy, việc khóa truy cập hiếm khi ngăn được người dùng có quyết tâm. Khóa truy cập làm tăng chi phí tiếp cận, từ đó tạo ra một thị trường sinh lời cho bất kỳ ai có khả năng giảm chi phí đó. Tường lửa (Great Firewall) biến dịch vụ VPN thành một nghề thủ công gia đình phát triển mạnh ở Trung Quốc. Các yêu cầu KYC thúc đẩy nền kinh tế làm giả danh tính, từ các nhà buôn giấy tờ tùy thân trong nước đến các hoạt động thu thập đặc điểm sinh trắc học ở Đông Nam Á hoặc châu Phi. Các lớp kiểm soát đa tầng của các công ty AI tiên tiến — khóa vùng địa lý, xác minh số điện thoại, yêu cầu thẻ tín dụng, và giờ đây là kiểm tra sinh trắc học thời gian thực — đều mang lại cùng một kết quả.
Tuy nhiên, câu chuyện này vượt xa khuôn khổ “Anthropic/Mỹ chống Trung Quốc”. Nó chỉ ra một sự thật đáng lo ngại về kiểm soát truy cập, bất kể là ở biên giới địa chính trị hay ở phạm vi rộng hơn. Phương pháp mà một nhà phát triển bị khóa vùng địa lý dùng để vượt qua kiểm soát, xét về cấu trúc, lại giống hệt phương pháp mà một tên khủng bố dùng để tiếp cận mô hình AI tiên tiến và sản xuất vũ khí sinh học tàn phá mà không bị truy vết. Vấn đề truy cập vừa là một cân nhắc địa chính trị đặc thù, vừa là một mối lo an ninh chung.
Ngày nay, nghiên cứu an ninh AI coi kiểm soát truy cập ở cấp hệ thống — đặc biệt là việc phát hiện, giám sát và khóa tài khoản đối với các mô hình trọng lượng (weights) mã nguồn đóng nhưng công khai — là một biện pháp bảo đảm quan trọng. Về mặt giám sát, nhà phát triển kiểm soát cơ sở hạ tầng suy luận, bao gồm việc gắn thẻ thời gian thực các đầu vào và đầu ra có hại. Việc phát hiện (ví dụ như yêu cầu KYC) giả định rằng nhà cung cấp có thể quy kết hành vi về một chủ thể có thể nhận diện được; việc khóa tài khoản cũng giả định rằng khóa tài khoản sẽ hiệu quả trong việc từ chối truy cập. Nhưng các nhà cung cấp mô hình Mỹ không thể kiểm soát quá trình suy luận của người dùng Trung Quốc khi lưu lượng đi qua trạm trung chuyển — người kiểm soát thực sự là nhà vận hành đại lý. Khi một yêu cầu có hại đến, nhà cung cấp mô hình AI nhìn thấy không phải địa chỉ IP của người dùng thực, mà là địa chỉ IP của đại lý. Khi một tài khoản bị khóa, chuỗi cung ứng phía thượng nguồn có thể dễ dàng thiết lập một đại lý mới trong vòng vài giờ.
Với các công cụ giám sát phức tạp hơn, vấn đề còn nghiêm trọng hơn. Hệ thống Clio của Anthropic một phần được thiết kế để phát hiện việc lạm dụng phối hợp không thể thấy được ở cấp độ từng cuộc hội thoại riêng lẻ, bằng cách nhận diện các mẫu xuyên suốt nhiều tài khoản và cuộc hội thoại. Ví dụ, nó nhận diện một mạng lưới tài khoản tự động sử dụng cấu trúc prompt tương tự để tạo nội dung spam cho công cụ tìm kiếm, sau đó khóa toàn bộ mạng lưới đó. Nhưng vì các yêu cầu đi qua đại lý, việc khóa tài khoản không hiệu quả trong việc ngăn chặn hành vi nền tảng. Với các cuộc tấn công được lên kế hoạch kỹ lưỡng — chẳng hạn như phân tán các truy vấn có hại thành nhiều giai đoạn và nhiều tài khoản đại lý, sao cho từng yêu cầu riêng lẻ đều trông vô hại — thì các mẫu xuyên tài khoản sẽ không rõ ràng bằng các mẫu spam phối hợp, vốn có tín hiệu vốn dĩ nổi bật.
Cuối cùng, các trạm trung chuyển không chỉ thể hiện mô hình phòng thủ truyền thống — dù là giữa các công ty AI Mỹ và người dùng Trung Quốc, hay giữa các biện pháp bảo đảm AI và các đối tượng độc hại. Thị trường chợ đen có chuỗi cung ứng và logic khai thác riêng, gây ra những tổn hại vượt xa vấn đề truy cập ban đầu. Thông tin khuôn mặt bị khai thác hôm nay để xác thực KYC cho các trạm trung chuyển nhằm vượt qua hệ thống Anthropic, ngày mai có thể bị bán lại để mở tài khoản tài chính gian lận, làm giả hồ sơ việc làm hoặc tạo deepfake, trong khi chủ thể gốc ở các nước phương Nam phải gánh chịu hậu quả pháp lý và uy tín. Cơ sở hạ tầng định tuyến yêu cầu Claude có thể được dùng để lừa người dùng thông qua việc thay thế mô hình, lừa đảo có chủ đích dựa trên dữ liệu prompt bị rò rỉ hoặc tống tiền. Các hoạt động “nuôi tài khoản” nhằm duy trì nhóm tài khoản đại lý — xác minh SMS hàng loạt, đăng ký gian lận, sử dụng trái phép tài khoản — nuôi dưỡng thị trường phạm tội rộng lớn hơn bao gồm gọi điện rác, tin nhắn lừa đảo (phishing), đơn xin vay gian lận và gian lận thẻ tín dụng. Nhiều tổn hại này không liên quan đến AI hay địa chính trị.
Tuy nhiên, hiện nay mọi sản phẩm phụ của thị trường xám — từ nguy cơ tiềm tàng về việc khủng bố sử dụng AI để tổng hợp đại dịch tiếp theo, đến các hình thức khai thác và phạm tội thực tế — đều đã hiện hữu. Dù Tường lửa (Great Firewall) hay việc khóa vùng địa lý AI có cố gắng phân chia ranh giới quốc gia để xác định ai được tiếp cận công nghệ tiên tiến, thì như thị trường xám đã phơi bày, các mối nguy hại là không thể chia cắt.
Lời cảm ơn:
Zilan xin cảm ơn Alan Chan, Gabriel Wagner, Karuna Nandkumar và Kayla Blomquist đã đóng góp những phản hồi hữu ích.
Tác giả thừa nhận đã sử dụng LLM để thực hiện nghiên cứu sơ bộ, làm rõ các khái niệm kỹ thuật và hiệu đính bản thảo, đồng thời thực sự biết ơn vì bà vẫn có thể sử dụng VPN tại Trung Quốc đại lục để truy cập Claude thông qua nút ở Singapore mà không kích hoạt quy trình KYC.
Tài liệu tham khảo từ các trao đổi không chính thức.
Giao diện lập trình ứng dụng (API) là kênh cho phép các nhà phát triển tích hợp phần mềm trực tiếp với mô hình AI — gửi yêu cầu tới máy chủ Anthropic và nhận phản hồi một cách lập trình, thay vì tương tác qua trình duyệt.
Cụ thể hơn, là thay đổi biến môi trường ANTHROPICBASEURL thành địa chỉ của đại lý.
Từ các trao đổi không chính thức và nghiên cứu sơ bộ.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
