2026年4月23日，白宫发布备忘录警告称，中国实体正在对美国前沿人工智能模型进行“工业级”的“数据提炼”攻击，并利用“数万个代理账户”来逃避检测。2026年2月，Anthropic也发布了类似的报告，指出中国实验室利用“一个代理网络管理着超过2万个欺诈账户”进行协同数据提炼攻击。这两起案例都指出，“代理”（即模型用户和模型提供商之间的中间人）是部分中国前沿实验室有针对性地设计用来系统性地窃取美国人工智能模型的工具。

无论中国实验室是否依赖数据提炼来“追赶”，这两份文件都误解了它们所描述的代理经济。在少数实验室背后，隐藏着一个规模更大的市场，这个市场一直在GitHub、淘宝、Twitter和Telegram等平台上公开运作。这是一个由API代理（通常被称为“中转站”）构成的灰色经济，它允许中国开发者以低至官方价格10%的价格访问Anthropic的模型。参与者远不止少数经验丰富的AI研究人员，他们的动机也远不止构建前沿模型来追赶。所有想要使用更高级AI模型或工具的人，无论是大学教授和学生、科技工作者、独立开发者还是业余爱好者，都在使用API​​代理。他们生成的日志可能已经成为一种商品，被用于从模型训练到定向欺诈等各种用途。

与此同时，美国人工智能公司在前沿领域增加的每一层控制措施（地理封锁、手机验证、信用卡要求，以及现在的实时生物识别KYC检查）都催生了相应的规避基础设施。这些新型短信农场和生物识别信息采集活动的影响远不止于地缘政治层面，更延伸至前沿人工智能安全框架的设计层面。

继我2026年发表在ChinaTalk上关于在中国访问被禁美国模型的文章之后，本次更新将重点关注转运站经济：它的结构、盈利模式，以及它揭示了访问封锁和账户监控作为人工智能治理工具的局限性。然而，与2025年的灰色市场不同，2026年的故事并不局限于中国用户和美国人工智能模型提供商之间的边界。转运站经济暴露了人工智能安全框架的盲点，这些框架旨在防止危害，其影响范围远超中美竞争，从恶意行为者的滥用到提供商可追溯性的削弱，同时还助长了剥削普通民众（其中许多人本就处境不利）的犯罪市场，这些人被卷入供应链之中。

为了说明转运站的工作原理，我们以 Anthropic为例，该公司拥有最严格的地理封锁机制，其模式在中国开发者中非常流行。

地理封锁和了解你的客户 (KYC)

在Anthropic公司支持的国家/地区地图上，中国赫然不见踪影；严格来说，Anthropic公司在中国互联网上也同样缺席。但实际上，无论是Anthropic公司的封锁，还是中国的网络防火墙，都无法阻止中国用户访问Claude和Claude Code。自2025年以来，尽管平台和政府都进行了审查，Claude模型在淘宝等电商应用上依然蓬勃发展。而人口少于纽约市的新加坡，在2026年4月却“出人意料地”成为全球人均使用Anthropic Claude软件最多的国家。

中国政府目前并没有特别强烈的意愿去限制中国开发者获取美国先进模型。但Anthropic公司对此却十分重视，并设置了多层机制来屏蔽中国大陆用户。最基本的要求是，账户注册需要提供手机号码、海外信用卡以及匹配的账单地址。2025年9月5日，Anthropic进一步禁止任何直接或间接由总部设在非支持地区（例如中国）的公司持股超过50%的实体访问其API，无论该实体实际运营地点在哪里。此举堵住了此前允许海外中资企业继续使用API​​的漏洞。

最新措施于2026年4月出台。Anthropic开始要求部分用户使用政府颁发的带照片的身份证件和实时自拍照来验证身份，这使得Claude成为首个实施如此高级别身份验证的主流消费级AI平台。该措施的推出具有选择性，并由特定用例或平台完整性警报触发。对于通过VPN或其他中介访问Claude的中国用户而言，新的KYC政策旨在大幅增加访问Claude的难度——即使中国用户可以伪造电话号码和地址，理论上他们也很难伪造与政府颁发的纸质证件相匹配的实时自拍照。

然而，实际上，中国人不仅可以访问Claude及相关工具，而且大多数情况下还能以原价的10%购买代币。其中的奥妙就在于“转运站”。

什么是“中转站”？

中转站是中国开发者生态系统中对 API 代理的称呼——它指的是位于开发者和 Anthropic 基础设施之间的海外服务器。该服务器接收 API 请求，将其转发，就好像请求是从其自身服务器发出的一样，并将响应返回给开发者。用户将软件重定向到代理服务器而非 Anthropic 的服务器，并通过微信或支付宝向 API 代理支付人民币费用。这样就绕过了直接访问所需的 VPN 和海外信用卡。一些知名的中转站会被收录在社区仓库中，并根据实时价格和运行时间进行排名。在这些知名中转站之下，还有许多小型和独立项目，它们来来去去，难以预测。

虽然这种模式在功能上听起来与 OpenRouter 等合法的西方 API 聚合器完全相同，但转运站的运作却处于完全不同的法律和信任体系中。合法的聚合器旨在简化开发者的工作流程，并根据透明的企业协议收取标准费用。而转运站则恰恰相反，它们存在的目的就是为了规避监管，通过不受监管的中间商来路由数据。

就像提供VPN服务或在淘宝上出售Claude一样，转运站在中国技术上是不合法的。根据中国人工智能服务注册管理条例，未经备案和安全评估而提供的人工智能服务属于违法行为。但正如一些小型企业可以绕过人工智能注册而不受处罚一样，大多数转运站也同样如此。然而，业务规模越大，运营风险就越高。

转运站的供应链

转运站并非孤立存在。它位于层级分明的供应链中间，大多数参与者之间从未直接互动。

上游是资源提供商：批量注册或大规模获取 Anthropic 账户的账户商户；提供注册验证所需境外手机号码的短信验证平台；以及技术层面的逆向工程师，他们分析 Anthropic 的客户端代码，以寻找身份验证捷径或检测验证逻辑何时发生变更。此外，通过与信用卡商户和代理网络合作构建的支付基础设施也支持从中国境内进行境外支付。

上游技术还应对更为复杂的KYC（了解你的客户）机制——无论是通过人工智能还是人工操作。人工智能服务已展现出生成高度逼真的虚假身份的能力，足以绕过主流平台的身份验证；而深度伪造工具则使犯罪分子能够创建数字克隆，并成功通过远程生物识别验证。即使防御方能够成功检测出人工智能伪造的人类身份，仍然存在一种更为耗费人力的方法来寻找真人。代理人前往非洲或拉丁美洲的低收入国家，招募愿意进行现场验证的人员。⁴ Worldcoin黑市提供了一个有据可查的先例，从柬埔寨和肯尼亚的KYC商家处采集的虹膜扫描信息以不到30美元的价格出售。

中间是转运站本身：一个软件界面，接收用户的请求并将其转发给 Anthropic，就像这些请求来自合法帐户一样；一个支付集成（通常是支付宝或微信）；以及一个不起眼的运营层，它维持着转运站的运行——在帐户被标记之前循环使用它们，在池子中平衡负载，并不断适应 Anthropic 的滥用检测更新。

下游是客户：使用 Codex 或 Claude Code 的个人开发者、通过代理路由内部工作流程的企业、将 API 嵌入到自己产品中的应用程序构建者，以及购买批发访问权限并在淘宝上重新打包出售给个人客户的二级经销商——正如我去年记录的那样。

几乎没有人运营完整的区块链。大多数参与者只拥有一两个环节，并能有效地利用这些环节盈利，从而形成一个具有弹性的模块化系统。人工智能模型提供商可以暂停个别运营商的账户，但上游账户池和下游客户群仍然完好无损。只要有开发者需要访问Claude平台，并且有身份黑市愿意提供凭证（这两者都是持久存在的），就可以迅速搭建替代方案。

一鱼三吃：如何让代币便宜

然而，最令人好奇的并非如何在国内获得 Claude 或 Claude Code，而是如何以极低的价格——通常每 1 美元代币只需 1 元人民币——获得，比官方价格低 70% 到 90%。根据公开讨论，至少有三种方法可以通过转运站实现这一点——常被形容为“一鱼三吃”。

第一餐：访问权限的加价。这之所以成为可能，是因为上游资源提供商可以使用至少五种相对“无害”的策略来堆叠代理：

• 批量注册 API 账户以获取 Anthropic 的 5 美元免费额度
• 转售他人账户中未使用的配额
• 企业/教育折扣套利
• “APImaxxing”——将一份价值 200 美元的 Max 套餐通过每小时代币配额分配给多个用户，从而利用 Anthropic 固定订阅价格与同等 API 访问按代币付费的高昂成本之间的差距。

除此之外，还有一种更为隐蔽的上游输入：使用盗窃或欺诈性信用卡购买的账户，这些账户几乎可以零成本进入代理池。这种账户相对于上述四种“无害”策略所占的比例难以核实，但这两个市场很可能共享一些基础设施和人员。

第二餐：模型互换和代币膨胀。由于用户的输入和模输出都通过代理进行中介，用户无法验证他们的请求实际路由到了哪个模型。例如，用户选择了 Opus 4.7，但代理可以悄悄地将请求路由到 Sonnet、Haiku，或者在最糟糕的情况下，路由到 GLM 或 Qwen，并篡改输出结果。德国亥姆霍兹信息安全中心 (CISPA)最近发表的一篇论文（该论文引用了我去年关于灰色市场的文章！）中，研究人员审计了 17 个 API 代理，发现模型互换现象普遍存在——通过 API 代理访问“Ge​​mini-2.5”在医学基准测试中仅达到 37.00% 的准确率，与官方 API 的 83.82% 的性能相比，下降幅度惊人。对于用户而言，只有在执行复杂任务时才会察觉到异常，即输出结果感觉不对劲（通常被称为“降智”，或“简化”），但却没有明确的方法来证明这一点。大量公开记录显示，某些API代理服务器明显损害了模型性能。这些代理服务器被怀疑通过用低端模型替代高端模型来“稀释”服务。

除了模型切换之外，代币的过度消耗也会降低每个代币的价格，尽管这会推高总成本。部分原因是结构性的，因为频繁轮换账户的代理会破坏缓存的连续性，迫使用户在原本几乎免费的上下文中消耗全价代币。部分原因可能是代理提供商为了榨取更多用户而故意为之。从外部很难区分这两者之间的界限。

第三点：日志是最终产品。 这或许是最重要的部分，因为它与数据隐私和数据提炼密切相关。所有经过代理服务器的请求——完整的提示信息、完整的响应信息、工具调用、迭代次数——都会存储在代理服务器运营商的服务器上。对于人工智能编码代理而言，这些日志包含冗长的推理链、真实的工程决策、代码库上下文以及经过人工验证的正确输出。这使得它们成为训练后处理的理想数据集：用于在真实工程任务上进行监督式微调，并且在捕获到完整推理轨迹的情况下，可以将 Claude 的推理模式提炼成更小的模型。中国开发者社区声称这种情况至少在某些情况下正在发生，但代理服务器运营商是否系统性地收集和出售这些日志，以及出售给谁，目前尚无定论。然而，下游提炼数据确实存在于开放网络上。HuggingFace上流传着多个Claude Opus 4.6 推理输出数据集，但这些输出的来源并不明确。理论上，人们可以清洗类似的提炼数据集，并将其出售给中国的其他模型开发者。

前两餐有助于以低于 Anthropic 官方价格的低价提供代币，但要想真正将价格压低到离谱的地步——低至原价的 10% 甚至 5%——就需要进行第三餐。正如中国谚语所说，天下没有免费的午餐。一些中国开发者透露，加价只是获取用户的一种手段，而日志收集才是真正的利润来源。用户既是付费用户，又是无偿的数据生产者，他们将自己的隐私数据出售给代理运营商以换取低价。一些人还警告说，基于从代理泄露的用户数据，可能会出现推广、欺诈甚至敲诈勒索的情况。为了避免隐私风险，一些中国开发者也构建了自己的 Claude Code API 代理，并开源了相关指南。

了解你的客户无法知道什么

人工智能的应用正逐渐从聊天机器人转向工具化。随着代理和代币经济的兴起，使用美国模型的问题不再仅仅局限于获取途径，而是扩展到成本效益层面。这是因为中国的人工智能生态系统，无论是前沿实验室、大学研究团队、个体开发者还是业余爱好者，都面临着资金短缺的问题。与此同时，用户通过数据转运站产生的数据会流入下游市场，被用于模型训练、数据经纪或欺诈等各种用途。如果数据提炼是这一经济体系的一部分，那么问题的影响范围就远远超出了美国政府或人工智能公司所预期的少数前沿参与者。

历史告诉我们，封锁网络很少能阻止意志坚定的用户。封锁只会提高访问成本，进而为那些掌握降低成本技术的人创造有利可图的市场。中国防火长城使VPN服务成为蓬勃发展的产业。KYC（了解你的客户）要求催生了伪造身份的经济，从国内的身份证转售商到东南亚或非洲的生物识别信息采集机构，不一而足。前沿人工智能公司采取的多层控制措施——地理封锁、手机验证、信用卡要求，以及如今的实时生物识别验证——也产生了同样的效果。

然而，这个故事远不止于“人类/美国对抗中国”的框架。它揭示了一个关于访问控制的令人不安的真相，无论从地缘政治边界还是其他方面来看皆是如此。从结构上看，受地理限制的开发者绕过控制的方法，与恐怖分子可能用来访问前沿人工智能模型并制造破坏性生物武器而不被追踪的方法如出一辙。访问问题既是一个独特的地缘政治考量，也是一个共同的安全问题。

如今，人工智能安全研究将系统级访问控制——特别是对公开访问的封闭权重模型进行检测、监控和账户封禁——视为一项重要的保障措施。在监控方面，开发者可以控制推理基础设施，包括实时标记有害的输入和输出。检测（例如KYC要求）的前提是提供商能够将行为归因于可识别的参与者，账户封禁也同样假设封禁账户能够有效地阻止访问。然而，美国模型提供商无法控制通过转运站路由的中国用户的推理过程——代理运营商可以。当收到有害请求时，人工智能模型提供商看到的不是真实用户的IP地址，而是代理的IP地址。而且，当账户被封禁时，上游供应链可以在数小时内轻松建立一个新的代理。

对于更复杂的监控工具而言，问题会更加复杂。Anthropic的 Clio 系统旨在检测在单个对话层面难以察觉的协同滥用行为，其工作原理是识别跨账户和对话的模式。例如，该系统识别出一个使用类似提示结构的自动化账户网络，用于生成搜索引擎垃圾信息，并随后封禁了这些账户。但由于请求会通过代理服务器路由，封禁并不能有效阻止其背后的行为。对于精心策划的攻击——例如将恶意查询分散到多个阶段和代理账户，每个请求单独来看都无害——跨账户模式远不如协同垃圾信息那样显而易见，因为协同垃圾信息的信号是刻意设计的。

最后，转运站不仅仅体现了传统的攻防模式——无论是在美国人工智能公司和中国用户之间，还是在人工智能安全措施和恶意行为者之间。黑市拥有其自身的剥削逻辑的供应链，其造成的危害远远超出了最初的访问问题。今天用于代理KYC验证以绕过Anthropic系统的面部信息，明天就可以被转售，用于开设欺诈性金融账户、伪造就业记录或制作深度伪造视频，而身处全球南方的原始主体则要承担法律和声誉后果。用于路由Claude请求的同一基础设施，也可用于通过模型替换、基于泄露提示数据的定向诈骗或敲诈勒索来欺骗用户。维持代理池的账户农场活动——批量短信验证、欺诈性注册、盗刷信用卡账户——滋养了更广泛的犯罪市场，包括垃圾电话、钓鱼短信、欺诈性贷款申请和信用卡诈骗。许多危害与人工智能或地缘政治无关。

但如今，灰色市场的每一个副产品——从恐怖分子利用人工智能合成下一场大流行病的潜在危险，到现实生活中的剥削和犯罪——都暴露无遗。尽管防火长城或人工智能地域封锁试图按国界划分前沿技术的获取途径，但正如灰色市场所揭示的那样，这些危害是密不可分的。