表面上,中国开发者用上美国顶级AI模型,还得靠“中转站”把官方价格打下来。但这门生意的利润大头,其实是把用户和模型的对话记录打包卖掉。便宜模型的背后,是用你的隐私和生物信息买单。这套绕过封锁的产业链,不仅让地缘政治隔离形同虚设,更催生了从深度伪造到电信诈骗的完整犯罪市场。
价格打下来,智商打上去
“怎么买到便宜的Claude token?”,这个问题在中文开发者社区的热度,可能比“怎么用Claude”本身还高。
官方渠道给中国用户设了重重关卡:要海外手机号、要境外信用卡、要账单地址,从2025年9月开始,连有中国母公司背景的海外实体都被禁了。到了2026年4月,Anthropic搞了波大的,开始要求部分用户上传政府签发的带照片证件和实时自拍来验证身份,号称是第一个这么干的消费级AI平台。
这套组合拳打下来,按常理想,中国用户基本该退散了。但现实是,这群人不仅没走,反而在淘宝、微信群里用官方一折的价格,把Claude Code和API用得飞起。魔术的关键就在“中转站”。
所谓中转站,就是个架在开发者与Anthropic服务器之间的海外代理服务器。你的请求发给它,它伪装成合法流量转发给Anthropic,再把结果传回来。用户只需要改个环境变量,把钱通过支付宝或微信转给代理方,就把什么境外信用卡和VPN的麻烦全绕过去了。
看起来有点像美国的OpenRouter这类正规聚合商,但内核完全是两码事。正规军赚的是服务费,中转站生来就是为了“越狱”。问题在于,从你把代码跑起来的那一刻,用户就已经走进了一个被设计好的三层漏斗里,而模型的智商在第二层就已经开始漏水了。
一鱼三吃,账要怎么算
价格能打到官方价的一折甚至零点五折,靠的是“一鱼三吃”的商业模式。这三个吃法层层递进,前两个解决“便宜”的问题,第三个决定“多便宜”以及“谁买单”的问题。
第一吃,吃的是“利差”。上游的资源商有各种手段搞到低价甚至零成本的API额度。批量注册账号薅官方那5美元免费试用额度、倒卖别人用不完的配额、利用企业或教育优惠套利,甚至把官方那个200美元的Max套餐拆成多份按量卖给不同人。更暗黑的还有用盗刷信用卡买的账号,成本几乎为零,流入代理池后直接把市价打穿。
第二吃,吃的是“置换”。因为所有请求都要经过中转站,用户根本没法验证自己点的顶级模型到底跑没跑。你选了最贵的Opus 4.7,代理后台可能悄无声息地给你路由到了更便宜的Sonnet、Haiku,甚至最夸张的情况,直接换成国产的GLM或Qwen,然后把输出结果改个标签再返回。德国CISPA的研究员审计了17个API代理,发现模型偷换现象非常普遍,某个号称是“Gemini-2.5”的代理在医学测试里得分只有37%,比官方API的83.82%直接腰斩。用户只有在做复杂任务发现模型变“蠢”了的时候才能隐约感觉到,但根本没法证明。
第三吃,才是这条产业链最精妙的地方,卖日志。每一个经过代理的请求,完整的提示词、完整的输出、工具调用记录、代码迭代过程,全在代理商的服务器上躺着。对于AI编程助手,这些日志包含了长链条的推理过程、真实的工程决策和人工验证过的正确输出。收集起来就是极好的数据集。用它来做微调,或者提炼Claude的推理模式训练小模型,效果拔群。有开发者直言,前两吃的低价获客生意,最终都是为了给第三吃输送数据原料。用户以为自己薅到了羊毛,实际上用户自己就是那只羊。
搞钱不磕碜,但底线在哪
如果你觉得卖点对话记录也无伤大雅,那恐怕是低估了这条灰色产业链向下的渗透能力。为了绕过越来越变态的KYC活体验证,上游已经发展出了一套基于真实人类的“生物识别供应链”。有AI生成超高拟真假证的技术,更有直接用深度伪造突破远程验证的手段。最原始也最有效的,是派人跑到非洲或拉丁美洲的低收入国家,花钱雇真人去完成面对面验证,然后把用过的身份信息拿去卖。这跟之前Worldcoin被曝光的黑市如出一辙,从柬埔寨、肯尼亚收来的虹膜扫描数据,不到30美元就能买到。
今天用于绕过Anthropic验证的人脸数据,明天就可能被拿去开立诈骗金融账户、伪造就业记录、生成更深度的虚假视频。而那个被采集了生物信息的普通非洲或东南亚居民,要面对的是他完全无力承担的信用和法律后果。这甚至引发了知识产权的悖论:如果我用自己买的合法账号,通过正规API调用Claude,那我的对话数据所有权自然归我。一旦经过中转站,服务条款被破坏,所有权声明失效,数据就彻底变成了无主之物,代理商拿走洗白,毫无心理负担。
这里面还有一个更深的陷阱。代理为了压低价格,疯狂轮换账号,这导致缓存无法连续命中,用户被迫为本来近乎免费的上下文重复烧钱。这种损耗究竟是结构性的技术无奈,还是代理为了多榨取用量故意为之,外人根本分不清。用户付出了隐私、安全感和数据所有权,得到的却是一个随时可能变蠢、随时可能被盗用的打折模型。
绕过高墙的人,也绕过了监控
这套中转体系带来的最大麻烦,不是帮几个中国程序员省了钱,而是直接把美国AI公司设置的安全护栏给拆了。AI安全研究把系统级访问控制,比如实时监测有害输入输出、账号行为分析,当成重要的防线。Anthropic的Clio系统就是干这个的,它能识别跨账号的协同滥用模式,比如一窝蜂生成垃圾邮件的自动账号,然后封禁它们。
但所有流量经过中转站一搅和,美国公司看到的只有代理的IP地址,真正的用户隐身了。封禁一个代理账号,上游供应链几小时就能立起个新的。对于精心设计的恶意攻击,比如把合成生物武器的查询拆成无数小片段,分散到成百上千的代理账号里执行,每个请求单独看都人畜无害。Clio那套依赖跨账号模式识别的算法,面对这种刻意打散的流量,基本就抓瞎了。
这种绕过能力意味着,不只是中国想赶超的科研人员在用,任何有恶意企图的人,恐怖分子、网络罪犯,都能用完全一样的方法,用最前沿的AI模型而不留痕迹。这套基础设施天然就是对所有人都开放的。美国AI公司加了地理围栏、电话验证、信用卡门槛、活体KYC,每一层控制都催生了对应的破解工具包,这些工具反过来又滋养了更广泛的犯罪市场。
这条产业链不会消失
历史反复证明一件事:访问限制从来挡不住真正想进去的人,它只会提高门槛,然后让有技术去降低门槛的人赚得盆满钵满。防火长城让VPN成了一门红火的小生意;KYC逼出了从国内身份证倒卖到东南亚生物信息采集的造假经济;美国AI公司的层层加码,同样在复制这个剧本。只要中国AI生态圈,无论是顶尖实验室还是普通开发者,依然处在“算力饥渴”和“资金稀缺”的状态,对先进美国模型的需求就不会断。只要有需求,从薅免费额度到卖训练数据,再到卖人脸信息的完整链条就会持续运转。
这甚至不单纯是国与国之间的技术竞赛。它暴露了用主权边界思维去管理一个全球化数字工具的漏洞。模型被锁在美国公司的服务器里,但开发者在全世界。既然无法物理隔绝,每一道新增的验证墙,本质上都是在把守墙的人往外推,推到一个完全不受任何AI安全协议约束的灰色地带。
总结
“便宜”本身就是风险的价格标签。用户在输入端省下的每一分钱,都在下游某个黑市里,以隐私泄露和身份盗窃的形式连本带利地还回去了。你以为自己在用顶级AI,其实是在给一条跨国犯罪供应链当免费劳动力。
作者单位背景
Zilan Qian,牛津大学互联网社会科学硕士,牛津中国政策实验室研究员