Серый рынок прокси-услуг в Китае занимается перепродажей доступа к ИИ-моделям Claude от компании Anthropic по цене, составляющей лишь десятую часть официальной стоимости. Доходы формируются за счёт краденых учётных записей, подмены моделей, а также перепродажи пользовательских запросов и ответов. К таким выводам пришла Цзылань Цянь (Zilan Qian), исследовательница из Oxford China Policy Lab.
Источник изображения: anthropic.com
Такие прокси-сети, которые китайские разработчики называют «перевалочными станциями», действуют открыто через GitHub, Taobao и Telegram. Выводы Цянь подтверждают недавние предупреждения со стороны Белого дома и самой Anthropic. В конце апреля администрация президента США обвинила китайские структуры в дистилляции «промышленного масштаба» — то есть в обучении собственных ИИ-моделей на ответах Claude с использованием десятков тысяч прокси-аккаунтов. А Anthropic ещё в феврале обнаружила около 24 000 аккаунтов, связанных с ИИ-стартапами DeepSeek, Moonshot AI и MiniMax.
Цянь описала схему, в которой каждый участник отвечает за одно-два звена. Поставщики аккаунтов на верхнем уровне массово регистрируют учётные записи ради получения бесплатных кредитов Anthropic по $5, перепродают неиспользованные лимиты с чужих аккаунтов, используют корпоративные и образовательные скидки, либо дробят подписку Claude Max за $200 на десятки пользователей, устанавливая лимиты токенов в час. Часть аккаунтов, оплаченных украденными банковскими картами, попадает в пул фактически бесплатно. Чтобы обойти верификацию личности, посредники выезжают в страны Африки и Латинской Америки, где нанимают людей для прохождения проверки лично. Задокументированным прецедентом стал биометрический чёрный рынок Worldcoin, на котором сканы радужной оболочки глаза, собранные у жителей Камбоджи и Кении, продавались дешевле $30.
Отдельный риск связан с подменой ИИ-моделей. Немецкие исследователи из CISPA Helmholtz Center for Information Security проверили 17 таких прокси-сервисов и выяснили, что заявленная ИИ-модель часто не соответствует реальной. Доступ, продававшийся как «Gemini-2.5», набрал лишь 37% в медицинском тесте, тогда как официальный API показал почти 84%. По данным Цянь, вместо заказанного Claude Opus пользователь мог получить ответ от более дешёвых Sonnet, Haiku или китайских ИИ.
Провайдеры прокси-услуг фиксируют все запросы и ответы, которые проходят через их инфраструктуру. Как рассказали Цянь несколько китайских разработчиков, заниженная стоимость доступа на самом деле служит лишь для привлечения клиентов, а основная прибыль формируется за счёт сбора информации. На платформе HuggingFace уже появились наборы данных, содержащие результаты рассуждений Claude Opus 4.6 неустановленного происхождения. Подобные сведения особенно важны для дистилляции, поскольку ответы с логическими цепочками можно собирать в систему и применять для обучения моделей-конкурентов. Прокси-серверы обеспечивают такой же поток информации с меньшими затратами: платные пользователи сами создают материал для тренировки.
Тем не менее, опасность выходит за рамки обучения нейросетей. Разработчики нередко передают ИИ-агентам части закрытого кода, описание API и механизмы аутентификации. Если трафик проходит через непроверенный прокси, компания фактически отправляет внутренние данные на сторонний сервер без каких-либо обязательств по их защите. Аналогичная проблема возникла в 2023 году у Samsung: инженеры корпорации загрузили исходный код в ChatGPT, тем самым раскрыв серверам OpenAI конфиденциальные сведения о производстве полупроводниковых компонентов.
Anthropic в сентябре ограничила доступ к Claude для организаций, подконтрольных китайским структурам, а затем последовательно ужесточала верификацию пользователей. Однако исследование Цянь демонстрирует, что каждое новое ограничение породило отдельный рынок способов его обхода, а не остановило несанкционированное использование.
