Claude 中轉站生意：封鎖越嚴，灰產越完整

作者：Zilan Qian

編譯：深潮 TechFlow

深潮導讀：白宮稱中國實驗室用"數萬個代理賬戶"竊取美國 AI 模型，但他們誤讀了真相——這不是幾家實驗室的精密行動，而是一個在 GitHub、淘寶、Twitter 和 Telegram 上公開運營的灰色市場。任何想用先進 AI 工具的中國人，從教授到程序員到愛好者，都在用 API 中轉站，價格低至官方的 10%。這揭示了美國 AI 安全框架的盲點：每一層封鎖都催生了對應的破解基礎設施，而真正的風險不在地緣政治，在於這條供應鏈如何將普通人——很多本就處於弱勢——捲入犯罪市場。

2026 年 4 月 23 日，白宮發佈備忘錄警告，中國實體正在對美國前沿 AI 模型發起"工業級規模"的蒸餾攻擊，利用"數萬個代理賬戶"逃避檢測。2026 年 2 月，Anthropic 也報告稱中國實驗室通過"單個代理網絡管理超過 2 萬個欺詐賬戶"進行協同蒸餾攻擊。兩份文件都把"代理"——模型用戶和提供商之間的中間人——視為中國少數前沿實驗室有目的設計的系統性提取美國 AI 模型的手段。

無論中國實驗室是否依賴蒸餾來"追趕"，這兩份文件都誤讀了它們所描述的代理經濟。在少數幾家實驗室之下，存在一個規模大得多的市場，它一直在 GitHub、淘寶、Twitter 和 Telegram 上公開運營。這是一個 API 代理（通常被稱為"中轉站"）的灰色經濟，讓中國開發者能以低至官方價格 10%的成本訪問 Anthropic 的模型。參與者遠不止少數經驗豐富的 AI 研究人員，動機也遠比打造一個前沿模型來追趕要廣泛得多。任何想使用更先進 AI 模型或工具的人，無論是大學教授和學生、科技工作者、個人開發者還是愛好者，都在使用 API 代理。他們生成的日誌可能已經成為一種商品，被交易用於從模型訓練到定向欺詐等各種目的。

與此同時，美國前沿 AI 公司增加的每一層控制措施（地理封鎖、手機驗證、信用卡要求，以及現在的實時生物識別 KYC 檢查）都產生了相應的規避基礎設施。這些新的短信農場和生物識別採集操作的影響超越了地緣政治，延伸到前沿 AI 安全框架的設計方式。

在我 2025 年關於在中國訪問被禁美國模型的 ChinaTalk 文章基礎上，本次更新專門聚焦中轉站經濟：它如何構建、如何變現，以及它揭示了訪問封鎖和賬戶監控作為 AI 治理工具的哪些侷限。然而，與 2025 年的灰色市場不同，2026 年的故事並未止步於中國用戶和美國 AI 模型提供商之間的邊界。中轉站經濟暴露了 AI 安全框架的盲點，這些框架旨在防止超越美中競爭的危害，從惡意行為者的濫用到提供商可追溯性的侵蝕，同時助長了剝削供應鏈中普通人——其中許多人本就處於弱勢地位——的犯罪市場。

為說明中轉站如何運作，讓我們以 Anthropic 為例，這家公司擁有最嚴格的地理封鎖機制，其模型在中國開發者中非常受歡迎。

圖：中國互聯網上流傳著一個梗：“你覺得自己比 Claude 聰明嗎？”

地理封鎖和身份驗證（KYC）

在 Anthropic 支持國家的地圖上，中國明顯缺席，而在中國互聯網上，Anthropic 也不見蹤影——從技術上講。實際上，無論是 Anthropic 的封鎖還是防火長城都無法阻止中國用戶訪問 Claude 和 Claude Code。自 2025 年以來，儘管存在平臺和政府審查，Claude 模型一直在淘寶等電商應用上蓬勃發展，而人口少於紐約市的新加坡，"令人驚訝地"在 2026 年 4 月領跑 Anthropic Claude 的全球人均使用量。

圖：中國開發者在推特上就新加坡是 Claude 代幣消費量最高的報道開玩笑，暗示這是因為中國人為了使用該模型而將流量路由到新加坡。“我們時不時都會覺得自己是新加坡人。”“我每天都會給自己分配國籍。”“是不是因為我們都用新加坡的節點？”“看來很多公司都在用新加坡的節點。”

中國政府目前並不特別積極地限制中國開發者訪問美國先進模型。另一方面，Anthropic 對此很認真，採用多層機制來封鎖中國大陸用戶。最基本的層面，賬戶註冊需要手機號碼、海外信用卡和匹配的賬單地址。2025 年 9 月 5 日，Anthropic 進一步禁止任何超過 50%股權直接或間接由總部位於中國等不支持地區的公司擁有的實體訪問，無論該實體在哪裡運營。這堵住了此前允許中國背景的外國公司保留 API 訪問權限的子公司漏洞。

最新措施出現在 2026 年 4 月。Anthropic 開始要求特定用戶使用政府頒發的帶照片身份證件和實時自拍來驗證身份，使 Claude 成為首個實施這種級別身份檢查的主要消費 AI 平臺。推出是有選擇性的，由特定用例或平臺完整性標誌觸發。對於通過 VPN 或其他中介訪問 Claude 的中國用戶，新 KYC 政策理論上應該讓訪問 Claude 變得更加困難——即使中國用戶能偽造手機號碼和地址，他們理論上也很難偽造與實體政府文件匹配的實時自拍。

然而實際上，中國人不僅可以訪問 Claude 和相關工具，而且大多數時候他們可以以原價 10%的價格購買代幣。魔法就在"中轉站"。

什麼是"中轉站"？

中轉站是中國開發者生態系統對 API 代理的稱呼——一個位於開發者和 Anthropic 基礎設施之間的海外服務器。它接收 API 請求，轉發時假裝源自中轉站的位置，然後將響應傳回。用戶將軟件重定向到代理的服務器而不是 Anthropic 的，並通過微信或支付寶支付人民幣。這繞過了直接訪問所需的 VPN 和海外信用卡。知名中轉站被編入社區存儲庫，按實時價格和正常運行時間排名。在它們之下，更長尾的小型和個人項目來來去去。

雖然這種設置在功能上聽起來與 OpenRouter 等合法西方 API 聚合器相同，但中轉站在一個完全不同的合法性和信任宇宙中運作。合法聚合器的存在是為了簡化開發者工作流程，基於透明的企業協議收取標準費率。相反，中轉站明確為規避而建，通過不負責任的中間人路由數據。

就像提供 VPN 服務或在淘寶上銷售 Claude 一樣，中轉站在中國技術上是不被允許的。根據中國關於 AI 服務註冊的規定，未經備案和安全評估提供的 AI 服務是非法的。但就像一些小企業可以跳過 AI 註冊而不受懲罰一樣，大多數中轉站也是如此。然而，生意越大，運營就越不安全。

中轉站的供應鏈

中轉站不是單一實體。它位於分層供應鏈的中間，大多數參與者彼此從不直接互動。

上游是資源提供商：批量註冊或大規模獲取 Anthropic 賬戶的賬戶商人；提供通過註冊檢查所需的外國手機號碼的短信驗證平臺；以及在更技術性的一端，分析 Anthropic 客戶端代碼以尋找認證捷徑或檢測檢測邏輯何時改變的逆向工程師。卡商和代理網絡的支付基礎設施也使從中國境內進行海外計費成為可能。

上游還應對更復雜的 KYC 機制——無論是 AI 還是人類。AI 服務已經展示了生成高度逼真的假身份證的能力，能夠繞過主要平臺的身份驗證，而深度偽造工具現在允許犯罪分子創建能夠成功通過遠程生物識別驗證的數字克隆。即使防禦者能夠成功檢測出 AI 偽裝人類，也存在一種更勞動密集型的方法來找到真人。代理人前往非洲或拉丁美洲的低收入國家招募願意完成現場驗證的真實個人。Worldcoin 黑市提供了一個有記錄的先例，從柬埔寨和肯尼亞的 KYC 商人那裡採集的虹膜掃描以不到 30 美元的價格出售。

圖：Twitter 賬號推廣 KYC 驗證服務。

中間是中轉站本身：一個接收用戶請求並將其轉發給 Anthropic 的軟件接口，就好像它們來自合法賬戶一樣；一個支付集成（通常是支付寶或微信）；以及保持其運行的平淡無奇的操作層——在賬戶被標記之前循環使用它們，在池中平衡負載，並不斷適應 Anthropic 的濫用檢測更新。

下游是客戶：使用 Codex 或 Claude Code 的個人開發者，通過代理路由內部工作流程的企業，在自己產品中嵌入 API 的應用程序構建者，以及批發購買訪問權限並在淘寶上為個人客戶重新包裝的二級轉銷商——正如我去年記錄的那樣。

幾乎沒有人運營整個鏈條。大多數參與者擁有一兩個環節並將其很好地變現，形成一個有韌性的模塊化系統。AI 模型提供商可以暫停個別運營商，但上游賬戶池和下游客戶群保持完整。只要有開發者想要訪問 Claude 以及願意提供憑證的身份黑市——這兩者都是持久特徵——替代者就能迅速建立起來。

圖：一張截圖在開發者微信群中流傳，內容是關於繞過 Anthropic KYC 流程的供應鏈玩笑；原圖為中文（上方），下方為作者翻譯。

一魚三吃：如何讓代幣變便宜

然而，最奇怪的事情不是如何在中國獲得 Claude 或 Claude Code 的訪問權限，而是如何以荒謬的低價獲得它——通常定價為每 1 美元代幣 1 元人民幣——比官方價格低 70-90%。根據公開討論，中轉站至少有三種方式使這成為可能——通常被描述為"一魚三吃"。

第一吃：訪問加價。這之所以可能，是因為上游資源提供商可以使用至少五種相對"無辜"的策略來堆疊代理：

批量註冊 API 賬戶以收集 Anthropic 的 5 美元免費額度

轉售他人賬戶中未使用的配額

"APImaxxing"——一個 200 美元的 Max 計劃通過每小時代幣配額在多個用戶之間分割，利用 Anthropic 的固定訂閱價格與遠高於等值按代幣付費 API 訪問成本之間的差距

除此之外，還有一個更黑暗的上游輸入：使用被盜或欺詐信用卡購買的賬戶，對運營商來說實際成本為零，可以進入代理池。相對於上述四種"無辜"策略，這部分佔比有多大難以驗證，但這兩個市場可能共享一些基礎設施和人員。

第二吃：掉包模型和虛報代幣。因為用戶的輸入和模型輸出是通過代理中介的，用戶無法驗證他們的請求實際被路由到哪個模型。用戶選擇 Opus 4.7，但代理可以悄悄路由到 Sonnet、Haiku，或在最壞的情況下路由到 GLM 或 Qwen，並欺詐性地重新標記輸出。在德國 CISPA 亥姆霍茲信息安全中心最近的一篇論文中（引用了我去年關於灰色市場的文章），研究人員審計了 17 個 API 代理，發現了廣泛的模型掉包——通過 API 代理訪問"Gemini-2.5"在醫學基準測試中僅達到 37.00%，與官方 API 的 83.82%性能相比大幅下降。在用戶端，只有在複雜任務上，當輸出感覺不對（通常被稱為"降智"）時，才會露出馬腳，但沒有簡潔的方法來證明它。大量公開記錄突顯了對某些 API 代理明顯損害模型性能的擔憂。這些代理被懷疑通過用劣質層級替換高級前沿模型來"摻水"服務。

除了掉包模型，過度消耗代幣也使每個代幣的價格更便宜，儘管代價是推高總成本。其中一些是結構性的，因為頻繁輪換賬戶的代理會破壞緩存連續性作為副作用，迫使用戶在本來幾乎免費的上下文上燃燒全價代幣。其中一些可能是故意的，因為代理提供商試圖榨取更多使用量。從外部很難劃清兩者之間的界限。

第三吃：日誌就是產品。這可能是最重要的部分，因為它與數據隱私和蒸餾相交。通過代理的每個請求——完整提示、完整響應、工具調用、迭代——都位於代理運營商的服務器上。對於 AI 編碼代理，這些日誌包含長推理鏈、真實工程決策、存儲庫上下文和人類驗證的正確輸出。這使它們成為後訓練的理想數據集：用於真實工程任務的監督微調，以及在捕獲完整推理軌跡的情況下，將 Claude 的推理模式蒸餾到更小模型中。中國開發者社區斷言這至少在某些情況下正在發生，但代理運營商是否在系統性地收集和出售這些日誌，以及賣給誰，仍未經證實。然而，下游蒸餾數據確實存在於開放網絡上。幾個 Claude Opus 4.6 推理輸出的數據集在 HuggingFace 上流傳，輸出來源不明。理論上，人們可以清洗並向中國的其他模型開發者出售類似的蒸餾數據集。

前兩頓飯提供了比 Anthropic 官方定價更便宜的 token，但要讓價格降到原價的 10%、甚至 5% 這樣荒謬的水平，就得吃第三頓飯。正如中國俗語所說，天下沒有免費的午餐。幾位中國開發者透露，加價生意只是獲客手段，收割日誌才是真正的利潤來源。用戶既是付費客戶，也是無償的數據生產者，用自己的隱私數據向代理運營商換取低價。也有人警告，代理洩露的用戶數據可能被用於推銷、詐騙甚至敲詐。為避免隱私風險，一些中國開發者也搭建了自己的 Claude Code API 代理，並開源了操作指南。

實名認證無法得知的事

AI 的使用正逐漸從聊天機器人轉向工具使用。隨著 agent 和 token 經濟的興起，使用美國模型的問題不再只關乎訪問，而延伸到了成本效益。這是因為中國的 AI 生態系統——無論是前沿實驗室、大學研究組、獨立開發者還是愛好者——都普遍缺乏資金。與此同時，用戶通過中轉站產生的數據明顯流入了下游市場，被用於模型訓練、數據交易或詐騙。如果蒸餾也是這個經濟體系的一部分，那問題就遠超美國政府或 AI 公司預期的少數前沿參與者。

歷史告訴我們，封鎖訪問很少能阻止有決心的用戶。封鎖提高了訪問成本，進而為任何有能力降低成本的人創造了有利可圖的市場。防火長城讓 VPN 服務在中國成為蓬勃發展的家庭手工業。KYC 要求催生了偽造身份的經濟，從國內身份證轉售商到東南亞或非洲的生物特徵採集操作。前沿 AI 公司的多層控制——地理封鎖、手機驗證、信用卡要求，以及現在的實時生物識別檢查——產生了同樣的效果。

然而，這個故事超越了"Anthropic/美國對抗中國"的框架。這指向了一個關於訪問控制令人不安的真相，無論是在地緣政治邊界還是更廣的範圍。一個被地理封鎖的開發者繞過控制的方法，在結構上與恐怖分子訪問前沿 AI 模型並製造破壞性生物武器而不被追蹤的方法相同。訪問問題既是獨特的地緣政治考量，也是共同的安全擔憂。

如今，AI 安全研究將系統級訪問控制——特別是對公開可用的閉源權重模型的檢測、監控和賬戶封禁——視為重要的保障措施。在監控方面，開發者控制推理基礎設施，包括實時標記有害輸入和輸出。檢測（如 KYC 要求）假設提供商能將行為歸因於可識別的參與者，賬戶封禁同樣假設封禁賬戶能有效拒絕訪問。但美國模型提供商無法控制通過中轉站路由的中國用戶的推理——代理運營商才控制。當有害請求到達時，AI 模型提供商看到的不是真實用戶的 IP，而是代理的 IP。當一個賬戶被封禁時，上游供應鏈可以在幾小時內輕鬆建立新代理。

對於更復雜的監控工具，問題更加嚴重。Anthropic 的 Clio 系統部分設計用於檢測在單個對話層面不可見的協同濫用，它通過識別跨賬戶和對話的模式來工作。例如，它識別出一個使用類似提示詞結構生成搜索引擎垃圾內容的自動化賬戶網絡，並隨後封禁了它們。但因為請求通過代理路由，封禁並不能有效阻止底層行為。對於蓄意策劃的攻擊——比如將有害查詢分散到多個階段和代理賬戶，每個請求單獨看都無害——跨賬戶模式遠不如協同垃圾內容明顯，後者的信號天然就很顯著。

最後，中轉站不僅體現了傳統的攻防範式——無論是美國 AI 公司與中國用戶之間，還是 AI 保障措施與惡意行為者之間。黑市有自己的供應鏈和剝削邏輯，它產生的危害遠超最初的訪問問題。今天為繞過 Anthropic 系統而被收割用於代理 KYC 驗證的面部信息，明天可以被轉售用於開設欺詐性金融賬戶、偽造就業記錄或生成深度偽造，全球南方的原始主體要承擔法律和聲譽後果。路由 Claude 請求的基礎設施可以用於通過模型替換、基於洩露提示詞數據的定向詐騙或敲詐來欺騙用戶。維持代理池的養號操作——批量短信驗證、欺詐性註冊、盜刷賬戶——滋養了更廣泛的垃圾電話、釣魚短信、欺詐性貸款申請和信用卡詐騙的犯罪市場。許多危害與 AI 或地緣政治無關。

但現在灰色市場的每個副產品——從恐怖分子利用 AI 合成下一場大流行病的潛在危險，到現實中的剝削和犯罪——都已存在。儘管防火長城或 AI 地理封鎖想按國家界線劃分誰能訪問前沿技術，但正如灰色市場所揭示的，危害是無法分割的。

致謝：

Zilan 感謝 Alan Chan、Gabriel Wagner、Karuna Nandkumar 和 Kayla Blomquist 提供的有益反饋。

作者承認使用了 LLM 進行初步案頭研究、技術概念澄清和文稿編輯，並且事實上非常感激她仍能在中國大陸使用 VPN 通過新加坡節點訪問 Claude，而不會觸發 KYC 流程。

資料來自非正式交流。

應用程序編程接口（API）是讓開發者將軟件直接接入 AI 模型的通道——以編程方式向 Anthropic 服務器發送請求並接收響應，而不是通過瀏覽器交互。

具體來說，是將 ANTHROPICBASEURL 環境變量替換為代理的地址。

來自非正式交流和案頭研究。