很多Claude大模型中转站其实是假的

寂静回声

你花了钱，买了一个名称是Claude Opus的API接口。你把公司的核心代码扔进去让它帮你Debug，把商业计划书扔进去让它帮你润色，把客户数据扔进去让它帮你分析。
然后你不知道的是：回复你的可能根本不是 Claude，而是其它模型套了个壳。你的代码、商业计划、客户数据，全部被中间商记录下来，打包卖给了别人用来训练模型。
这不是阴谋论，这是牛津大学研究员Zilan Qian刚刚发布的一份研究报告里记录的事实，Tom’s Hardware在5月9日进行了详细报道。
由于种种原因，Anthropic不在中国提供Claude的商业服务。但中国开发者对Claude的需求是真实的，尤其是在编程领域，Claude Code被广泛认为是目前最强的AI编程助手。
需求存在，供给被封锁，中间商就出现了。
在中国的开发者社区里，这些中间商被称为中转站。它们活跃在GitHub、淘宝、闲鱼和各种社交媒体上，以官方价格一折甚至更低的价格转售Claude的API访问权。
一折是什么概念？Claude Opus的官方API定价大约是每百万输入token 15刀，输出75刀，中转站卖你1.5刀和7.5刀。

这个价格怎么做到的？报告揭示了三种主要手段。
第一种是盗刷信用卡和批量注册，中转站使用被盗的信用卡信息注册大量Anthropic账户，或者批量注册新账户然后利用免费试用额度。
Anthropic此前被披露过，一个单一的代理网络同时管理着超过2万个虚假账户，封一个就冒出一个，像九头蛇一样砍不完。
第二种是招募低收入国家人员代办实人认证，Anthropic近期加强了身份验证要求，但中转站通过雇佣东南亚和非洲地区的人员完成真人身份认证来绕过审查。每完成一个认证支付几刀，然后这个账户就被用来跑商业流量。
第三种是拆分订阅套餐，一个Pro或Max订阅被拆分成几十份卖给不同用户，通过技术手段在后台做负载均衡和请求分发。

据相关调查报告，在网上，Claude的转售账户和镜像站订阅被公开销售。
顶级商家显示5万笔交易和7000次复购，Claude是中国用户寻求访问AI模型时最热门的目标。
报告揭示的第二个问题比第一个更令人不安：模型掉包。
很多中转站卖的根本不是真正的Claude，用户付了钱，以为自己在跟Claude Opus对话，实际上后端连接的是一个廉价的模型，或者是Claude的低版本。
这种欺诈在技术上很容易实现，中转站只需要在代理服务器上做一层路由：简单的请求发给便宜的模型处理，复杂的请求才偶尔转发给真正的Claude。用户很难分辨，因为对于日常任务来说，不同模型的输出差异并不明显。
只有在真正需要高级推理能力的时候，差距才会暴露。
但到那时候，你的钱已经花了，你的数据也已经泄了。

更讽刺的是，有些中转站甚至不完全是在欺诈。它们确实接入了Claude的API，但同时用了一种混合策略：大部分请求用国产模型处理以降低成本，只有当用户明确要求高质量输出或进行复杂编程任务时，才切换到真正的Claude。用户感知上觉得大部分时候好像还行，偶尔特别好用，实际上是两个完全不同的模型在轮番上阵。
第三个问题是致命的：数据窃取。
研究报告指出，中转站会系统性地记录用户发送的所有提示词和Claude返回的所有输出。这些数据被打包出售，主要用途有两个。

第一个用途是模型蒸馏，所谓蒸馏，就是用一个更强的模型的输出来训练一个更弱的模型。
用户让Claude写的每一段代码、解决的每一个技术问题、给出的每一个推理过程，都是极其高质量的训练数据。
中转站把这些数据收集起来，卖给需要训练数据的AI公司或者网上的需求买家。
第二个用途更直接：商业情报。如果你用非正常渠道Claude来调试公司的专有代码，你的整个代码库就暴露了。
如果你用它来处理客户数据，客户信息就泄露了。
如果你用它来起草商业策略，竞争对手可能比你的老板更早看到你的计划。

TechStory的报道举了一个具体的场景：如果一个用户让中转站帮写一封给CFO的邮件讨论第三季度预算，代理运营商就获得了用户的姓名、CFO的姓名和具体的预算信息。几小时之内，CFO可能收到一封精心制作的AI钓鱼邮件，看起来完全像同事发的。
安全研究人员在Tom’s Hardware的报道中指出，他们发现多个高流量代理站点以明文形式记录和存储所有传入流量。
这些数据在某些论坛上被出售，或者被用来训练山寨模型。

面对围攻，Anthropic采取了多层防御措施。
在账户层面，加强了身份验证要求，引入了更激进的真人认证检查和基于硬件的地理位置验证。
在检测层面，通过分析请求模式、频率、token分布和提示结构来识别异常流量，正常用户的对话模式和蒸馏攻击的对话模式在统计特征上有明显差异。
在溯源层面，Anthropic已经开始在API响应中嵌入不可见的水印元数据，可以将泄露的输出追溯到

生成它的具体账户。
但报告也承认，这是一场不对称的战争。
Anthropic封一个账户，中转站几分钟内就开一个新的。Anthropic加强认证，中转站就雇人代办。Anthropic检测异常模式，攻击者就把蒸馏流量混在正常用户请求里来伪装。
如果你是一个使用中转站Claude服务的开发者，这份报告应该让你重新评估你正在承担的风险。
你以为你在省钱，实际上你可能在付出远高于官方价格的隐性成本。
你的代码可能已经被记录并用于训练其他模型，你的商业逻辑可能已经被打包出售。你使用的模型可能根本不是Claude，而是一个质量参差不齐的替代品。

而且这些风险不是假设性的，它们正在大规模地发生。
这份报告揭示的问题，本质上是AI时代一个更深层的信任危机。
在传统软件时代，你买了一个软件就是那个软件，它装在你的电脑上，你能看到它、控制它。
但在AI API时代，你发出一个请求，得到一个回复，中间发生了什么你完全不知道。你的请求经过了几层代理？被谁看到了？回复真的来自你以为的那个模型吗？你的数据被存储了吗？被转卖了吗？
这种不透明性在某些特殊环境中被放大到了极致，但即使在正规渠道，类似的信任问题也存在。
你怎么验证一个API返回的结果确实来自特定版本的特定模型？怎么确保你的提示词不会被用于模型改进？

Anthropic的水印技术和检测系统是朝正确方向迈出的一步。但更根本的解决方案可能需要整个行业共同建立一套AI服务的信任验证标准，就像互联网早期建立SSL/TLS证书体系来解决网站身份验证问题一样。
在那一天到来之前，有一条古老的互联网智慧依然适用：如果一个东西便宜得好得不像真的，那它大概率就不是真的。
而在AI时代，这条智慧需要加上一句：你付出的代价可能远不止金钱。