你花100块从官方渠道买到的Claude token,有人只用5块就能拿到。不是团购,不是教育折扣,不是Anthropic发了善心。这是一套完整的灰色供应链——API中转站。它们在淘宝和Telegram上公开营业,用微信和支付宝收款,把中国开发者的请求转发到海外账户,再返回Claude的回答。Anthropic看到的不是真实用户,而是一个不存在的“新加坡人”。
公开的秘密:一条被政策催生的灰色产业链
2026年5月,牛津大学中国政策实验室研究员Zilan Qian在ChinaTalk上发表了一篇看似“薅羊毛指南”的报告。标题像实用技巧,内容却拆解了一条围绕Claude访问权、身份验证、日志数据和模型训练形成的完整灰色产业链。
几乎同一时间,CISPA亥姆霍兹信息安全中心的六位德国研究员在arXiv上发表论文,审计了17家最流行的AI API代理服务。结果令人不安:45.83%的代理没有运行它们声称的模型。一家标榜“GPT-5”的服务,实际运行的是GLM-4-9B——一个只有90亿参数的开源中文模型。一个“Gemini-2.5-flash”代理在医学基准测试MedQA上得分37%,而真正的Gemini-2.5-flash得分为83.82%。这不是同一款产品。这差了一个“能用的医疗问答工具”和“三分之二概率答错”之间的距离。
更颠覆认知的是背后那组数字:这些代理服务的接口已被187篇已发表的学术论文引用,其中116篇被ACL、CVPR、ICLR等顶级AI会议接收。要重新验证每一篇论文的真实性,需要花费11.5万到14万美元。学术界在使用这些API时,可能从未怀疑过自己调用的模型根本不是它声称的那个。
这片灰色市场的规模远超外界想象。全球最大的合法模型聚合器OpenRouter,在2025年10月到2026年3月的六个月内,年化收入从1000万美元飙升至5000万美元,增长5倍。2026年5月,它完成了1.13亿美元B轮融资,估值13亿美元,由CapitalG领投。中国的SiliconFlow宣称拥有600万注册用户,日处理数万亿token。而这仅仅是合法部分。灰色市场的实际体量,可能十倍于此。
“中转站”的三个利润引擎
“中转站”在中文开发者圈子里是一个公开的秘密。它不是一个需要暗网才能找到的地下市场。它在GitHub上建文档,在淘宝上开店,在Telegram和微信群里拉客。
技术原理简单粗暴:你把API调用地址从api.anthropic.com改成一个中转服务器地址。服务器接收你的prompt,通过自己在海外维护的Claude账号池转发请求,拿回结果,再返回给你。你不需要海外信用卡,不需要翻墙,甚至不需要注册Anthropic账户。付款用微信或支付宝。
Zilan Qian在报告中揭示了这套灰色经济的核心:它不是只靠技术维生的搬运生意,而是“一鱼三吃”的商业模型。
账号和额度套利是第一条利润线。中转站通过批量注册账号获取免费额度、倒卖闲置额度、拆分Claude Max订阅(200美元/月,按token等值价值数千美元API用量)、申请企业或教育折扣来降低采购成本。更激进的玩法混入了盗刷信用卡获得的账号。最终,这些token以官方价格5%到10%的售价流向中国开发者,这也是这条灰色供应链对终端用户的最大吸引力。
模型替换和token注水是第二条利润线。你以为自己调的是Claude Opus,中转站可能偷偷换成了Sonnet甚至Haiku。CISPA的论文证实,接近一半的代理都在做这件事。普通开发者很难察觉,只有在复杂任务中感觉“输出变笨了”时才隐约怀疑。更隐蔽的手段是虚报token消耗量。用官方tokenizer一比,偏差超过5%基本可以判定有猫腻。而这个偏差本身就是中转站的额外利润空间。
用户日志才是最隐蔽的第三条利润线。所有经过中转站的prompt、response、tool call、代码仓库上下文、debug记录,全部留在代理商的服务器上。对于训练AI模型来说,这些日志是一桶金。开发者用Claude写代码时的每一步推理都会被记录,然后被转手卖给数据经纪商、模型训练方,甚至用于诈骗画像。你花钱买了Claude的推理服务,同时用你的数据帮别人训练了下一轮模型。
“用户同时是付费客户和免费数据生产者。”——Zilan Qian,《How to Buy Cheap Claude Tokens in China》
封锁与突围:Anthropic的四道防线为何全部失效
Anthropic并非坐视不管。事实上,它是美国AI公司中区域封锁政策最严格的。
第一道防线是地理封锁。中国不在Anthropic的支持国家列表中,普通用户无法直接注册。在此基础上,Anthropic加装了电话验证加海外信用卡和账单地址匹配。这套组合拳在早期筛掉了大部分个人用户。
2025年9月5日,Anthropic更新服务条款,禁止任何总部在封锁区域的公司持股50%以上的海外实体访问API。这条规则堵死了中国公司借海外子公司拿API的惯用路线。Anthropic高管向英国《金融时报》坦承,这项政策将使公司损失“数亿美元”的年收入。
进入2026年6月,Anthropic发布新版隐私政策,要求被标记的可疑用户提交政府签发的带照片身份证件和实时自拍来进行身份验证。政策于7月8日生效,Claude由此成为首个在消费级AI平台实施这种级别KYC检查的服务。
但四道防线每一道都未能真正阻断流量。原因很简单:每增加一层封锁,就催生一层绕过封锁的产业。电话验证催生了虚拟号码批发商。海外信用卡催生了虚拟信用卡和支付通道代理。KYC身份验证催生了证件伪造和生物识别数据采集黑市。这些黑产环节层层叠架,形成了一个以“帮中国开发者用上Claude”为核心的完整服务生态。
TechCrunch在2026年6月22日的报道中指出,Anthropic的KYC检查只适用于“被标记但未被直接封禁的小部分用户”。Anthropic发言人Thariq Shihipar在X上确认了这一点。言下之意,大部分用户在中转站的匿名保护伞下,根本不会被送到KYC关卡。就像给一栋没有门卫的大楼装了指纹锁:来客只要不走到门前,锁就毫无意义。
更讽刺的是,Anthropic投入巨大资源追踪的“工业级蒸馏攻击”——中国AI实验室通过大量虚假账号提取Claude能力的行为,恰恰使用了与个人中转站完全相同的代理网络。
2026年2月,Anthropic披露DeepSeek、Moonshot AI和MiniMax三家中国公司通过约24,000个欺诈账号,产生了超过1600万次与Claude的模型交互。2026年4月23日,白宫科技政策办公室发布NSTM-4备忘录,正式指控中国实体利用“数万个代理账户”对美国前沿AI模型进行“对抗性蒸馏”。两个月后的2026年6月,Anthropic在致美国参议院银行委员会的信中指控,阿里巴巴Qwen实验室在4月22日至6月5日期间通过近25,000个欺诈账户生成了超过2880万次与Claude的交互,这是迄今为止公开披露的最大规模蒸馏攻击。
同一套代理基础设施,为个人开发者提供廉价token,为顶级AI实验室提供模型蒸馏管道。中间的每个节点都在赚钱,而Anthropic站在接口的另一端,分不清对面是学生还是国家实验室。
当你的代码经过一片陌生的土地
绕过了Anthropic的账号锁定,中转站成为一道完美的匿名屏障。AI公司能看到的是代理IP,不是真实用户。封掉一个账号,上游补货渠道还在,新账号几分钟就能上线。
这种匿名性带来的风险远不止Anthropic少收几个亿的API费用。当AI coding agent和工作流agent已经成为主流开发工具时,每次API调用里装的不再只是几句聊天文本。里面有代码库、工具调用、企业流程、决策痕迹和商业逻辑。中转站运营商理论上可以看到你在Claude Code里调试的每一行代码,每一段测试数据,每一个生产环境配置。
独立调查记者Peike Li在一项为期六周的调查中发现,17个被审计的API代理中有9个在agent的工具调用中主动注入了恶意代码。这不是被动的数据窃取,而是主动的后门植入。
在安全领域,这被称为“模型供应链中间人攻击”。你以为自己在调用AI,实际上你的整个开发环境已经暴露在未知的第三方服务器上。你的API key、登录凭证、源代码,全部经过了一片你不了解的土地。而最终买单的是中国开发者自己,被低廉的价格吸引,用企业代码库中的敏感数据为代价换取几分钟的推理服务。
谁在催生这个市场
这从来不是一个简单的“中国用户薅资本主义羊毛”的故事。
站在Anthropic的角度,每一条被屏蔽的中国访问请求都意味着一笔本可以入账的营收。2024年7月,OpenAI切断中国API访问。Anthropic本可以主动填补这个市场的空缺,但它选择了配合出口管制和政治压力,在2025年进一步收紧封锁。结果是,中国开发者确实没从Anthropic买到服务,但他们从一百多个中转站买到了,价格只有官方定价的十分之一。Anthropic既没赚到这笔钱,也没能阻止自己的模型被中国公司蒸馏。
站在中转站的角度,这是一门纯粹的共识生意。只要供给和需求之间存在被管制的缺口,中间商就会补上。灰色市场不是被“发现”的,它是被政策催生的。
站在中国开发者的角度,这是一个困局。想用最好的模型,官方渠道被封锁,只剩灰色市场。而灰色市场的代价可能是你的代码、你的数据、你的隐私。你不是在薅资本主义羊毛,你是在用自己的数字身份为一张无法验证真伪的入场券买单。
而站在安全视角,最令人担忧的不是“中国开发者用到了Claude”,而是“Anthropic不知道谁在用Claude”。当恶意行为者可以像购买普通token一样轻松地获取匿名AI访问权时,AI安全体系中的滥用监测、行为追踪、责任追溯等基础假设就全部失效了。一个恐怖分子、一个国家级黑客、一个金融诈骗集团,他们和深圳的一个独立开发者从同一个中转站买到同一批Claude token,Anthropic一个都分辨不出来。
一个多月后,Anthropic的KYC新政即将生效。但当整个市场的基础商业模式建立在对用户身份的主动隐藏之上时,看到身份证件并不能让身份变得透明。你看到的不会是一个真实的用户,而是一张被黑市倒卖了三次的护照扫描件。
你买的不是廉价token。你买的是别人代码里的那行bug,和交出去之后再也要不回来的商业逻辑。
快报