译注:本文为 Zilan Qian发表于 ChinaTalk 的 How to Buy Cheap Claude Tokens in China 的完整中文翻译,基于原文全文译出,未删节核心论点与案例。
中国转站经济解析#
2026年4月23日,白宫发布了一份备忘录,警告中国实体正在对美国前沿 AI 模型进行「工业规模」的蒸馏攻击,利用「数以万计的代理账户」规避检测。2026年2月,Anthropic 也报告了中国实验室通过「单一代理网络管理超过 2 万个欺诈账户」进行的协同蒸馏攻击。两份文件都将「代理」(即模型用户与提供商之间的中间人)视为中国部分前沿实验室系统性提取美国 AI 模型的有意设计。
无论中国实验室是否依赖蒸馏来「追赶」,这两份文件都误读了它们所描述的代理经济。在少数实验室之下,存在着一个规模大得多的市场,这个市场已在 GitHub、淘宝、Twitter 和 Telegram 上公开运行。这是一个 API 代理的灰色经济(俗称「中转站」),让中国开发者能以官方价格低至 10% 的成本访问 Anthropic 模型。参与者远不止经验丰富的 AI 研究员,动机也远不止构建前沿模型追赶。任何想使用更先进 AI 模型或工具的人——大学教授、学生、科技工作者、独立开发者或爱好者——都在使用 API 代理。他们产生的日志已成为商品,用于从模型训练到针对性欺诈的各种目的。
与此同时,美国前沿 AI 公司每增加一层控制(地理封锁、手机验证、信用卡要求,以及现在的实时生物识别 KYC 检查),就相应产生一层规避基础设施。这些新的短信农场和生物识别采集操作的影响,远超地缘政治,延伸到前沿 AI 安全框架的设计方式。
本文基于我 2025 年在 ChinaTalk 发表的《关于在中国访问被禁美国 LLM 的灰色市场》一文,进一步聚焦中转站经济:其结构、变现方式,以及它揭示的访问封锁和账户监控作为 AI 治理工具的局限性。与 2025 年的灰色市场不同,2026 年的故事不再止于中国用户与美国 AI 模型提供商之间的边界。中转站经济暴露了 AI 安全框架的盲点,这些框架旨在防止超出中美竞争的危害,包括恶意行为者的滥用、提供商可追溯性的侵蚀,同时滋养了剥削普通人(其中许多已是弱势群体)的犯罪市场。
以 Anthropic 为例(它有最严格的地理封锁机制,其模型在中国开发者中非常受欢迎),来说明中转站的工作原理。
地理封锁与 KYC(Know-Your-Customer)#
在 Anthropic 支持的国家地图上,中国明显缺席;在中文互联网上,Anthropic 在技术上也不存在。但现实中,Anthropic 的封锁或防火长城都无法阻止中国用户访问 Claude 和 Claude Code。自 2025 年以来,尽管有平台和政府审查,Claude 模型在淘宝等电商 App 上蓬勃发展;新加坡(人口比纽约市还少)在 2026 年 4 月「意外」成为全球人均使用 Anthropic Claude 最多的地区。
中国政府目前并无强烈动机限制开发者访问美国先进模型。但 Anthropic 非常认真,实施了多层机制阻止中国大陆用户访问。最基本的要求是:账户注册需手机号、海外信用卡和匹配的账单地址。2025 年 9 月 5 日,Anthropic 进一步禁止任何直接或间接由不支持地区(如中国)总部公司持股超过 50% 的实体访问,无论该实体在哪里运营。这堵死了此前允许中国背景公司在外国保留 API 访问的子公司漏洞。
2026 年 4 月最新措施:Anthropic 开始要求部分用户使用政府颁发的带照片 ID 和实时自拍进行身份验证,使 Claude 成为首个实施此级别身份检查的主要消费者 AI 平台。身份验证采取选择性推进,由特定用例或平台完整性标志触发。对通过 VPN 或其他中介访问的中国用户来说,新 KYC 政策理论上会大大增加难度——即使能伪造手机号和地址,也很难伪造与实体政府文件匹配的实时自拍。关于 Claude 实名验证的触发条件与风险,可参见本站《Claude 要身份证和刷脸了》一文。
然而现实中,中国人不仅能访问 Claude 及相关工具,大多数时候还能以原价 10% 的价格购买 tokens。秘诀就在「中转站」。
什么是「中转站」(Transfer Station)?#
中转站是中国开发者生态对 API 代理的称呼——它是一个位于开发者与 Anthropic 基础设施之间的海外服务器。它接收 API 请求,伪装成来自中转站所在地的请求转发给 Anthropic,并将响应传回。用户将软件指向代理服务器而非 Anthropic,并通过微信或支付宝用人民币支付。这绕过了直接访问所需的 VPN 和海外信用卡。主要中转站在社区仓库(如 GitHub awesome-ai-proxy)和实时价格/在线时间排行榜(如 aiapipk.com)上被收录和排名,下面还有大量小型和个人项目此起彼伏。
虽然功能上听起来像合法的西方 API 聚合器(如 OpenRouter),但中转站在合法性和信任上完全不同。合法聚合器旨在简化开发者工作流,按透明的企业协议收取标准费用;而中转站明确为规避而建,通过不可问责的中间人路由数据。
在中国,提供 VPN 服务或在淘宝卖 Claude 在技术上都不被允许。根据中国的 AI 服务备案规定,未备案且未经安全评估的 AI 服务是非法的。但正如一些小企业能跳过 AI 备案而不受惩罚,大多数中转站也是如此。不过规模越大,运营风险越高。三类 API 转售灰产的法律边界,可对照本站《AI 算力套利与 API 转售三类灰产》一文。
中转站的供应链#
中转站并非单一实体。它处于分层供应链的中间,大多数参与者彼此从不直接互动。
上游是资源提供者:批量注册或收购 Anthropic 账户的账户商、提供注册所需外国手机号的 SMS 验证平台,以及更技术端的逆向工程师(分析 Anthropic 客户端代码寻找认证捷径或检测检测逻辑变化)。支付基础设施(卡商和代理网络)也让中国境内能完成海外计费。
上游还应对更复杂的 KYC 制度——无论 AI 还是人工。AI 服务已能生成高度逼真的假 ID 绕过主要平台的身份验证,深度伪造工具允许罪犯远程创建通过生物识别验证的数字克隆。即使防御方能检测 AI 伪造,另一种劳动密集型方法是寻找真人:代理人前往非洲或拉美低收入国家招募愿意完成现场验证的个人。Worldcoin 黑市提供了先例,在柬埔寨和肯尼亚的 KYC 商贩处采集虹膜扫描,以低于 30 美元的价格出售。
中间是中转站本身:接收用户请求并转发至 Anthropic 的软件接口、支付集成(通常支付宝或微信),以及维持运行的无趣操作层——在账户被标记前循环使用、在池中平衡负载,并持续适应 Anthropic 的滥用检测更新。
下游是客户:使用 Codex 或 Claude Code 的个人开发者、将内部工作流路由通过代理的企业、将 API 嵌入自己产品的应用构建者,以及在淘宝上批量购买访问权再转售给个人的二级经销商。
几乎没人运营全链条。大多数参与者只掌握一两个环节并充分变现,形成了一个有韧性、模块化的系统。AI 模型提供商可以暂停个别运营商,但上游账户池和下游客户群保持完好。只要有开发者想要访问 Claude,且身份黑市愿意提供凭证(两者都是持久特征),就能快速建立替代品。
一鱼三吃:如何让 Tokens 变得便宜#
最有趣的不是如何在中国访问 Claude 或 Claude Code,而是如何以荒谬的低价获得——通常 1 元人民币买 1 美元的 tokens,比官方价格低 70–90%。根据公开讨论,至少有三种方式让中转站实现这一点,常被称为「一鱼三吃」。
第一吃:访问加价#
这得益于上游资源提供者使用至少五种相对「无辜」的策略堆叠代理:
- 批量注册 API 账户薅 Anthropic 的 5 美元免费信用;
- 转售他人账户的未用配额;
- 企业/教育折扣套利;
- 「APImaxxing」——将一个 200 美元 Max 计划通过每小时 tokens 配额切分给多个用户,利用 Anthropic 固定订阅价与等价按 token 计费 API 访问更高成本之间的差距。
此外还有更黑暗的上游输入:用被盗或欺诈信用卡购买的账户,能以对运营商近乎零成本进入代理池。这些与上述「无辜」策略的市场份额难以验证,但两者很可能共享部分基础设施和人员。
第二吃:模型替换与 tokens 膨胀#
因为用户的输入和模型输出都通过代理中介,用户无法验证请求实际路由到哪个模型。用户选 Opus 4.7,代理却可能悄无声息地路由到 Sonnet、Haiku,甚至 GLM 或 Qwen,并伪造标签输出。德国 CISPA 的一项最新论文审计了 17 个 API 代理,发现广泛的模型替换——「Gemini-2.5」的代理访问在医学基准上仅 37.00%,远低于官方 API 的 83.82%。用户端只有在复杂任务中输出感觉「降智」时才察觉,但无法干净证明。许多公开记录显示某些代理模型性能明显受损,被怀疑通过替换高端前沿模型为低端版本「掺水」。
除了模型替换,tokens 过度消耗也能让单价更便宜(尽管会抬高总成本)。部分是结构性问题(频繁轮换账户破坏缓存连续性,迫使用户在原本几乎免费的上下文上烧全价 tokens);部分可能是代理提供商故意多榨取使用量。两者界限从外部难以划清。
第三吃:日志才是产品#
这可能是最重要的一环,与数据隐私和蒸馏交织。每条通过代理的请求——完整 prompt、完整响应、工具调用、迭代——都留在代理运营商的服务器上。对于 AI 编码代理,这些日志包含长推理链、真实工程决策、仓库上下文和人工验证的正确输出,是后训练的理想数据集:用于真实工程任务的监督微调,以及在捕获完整推理轨迹时将 Claude 的推理模式蒸馏到更小模型。中国开发者社区认为这在某些情况下正在发生,但代理运营商是否系统性采集并出售这些日志、卖给谁,仍未证实。不过下游蒸馏数据已在公开网页上存在,Hugging Face 上有多个 Claude Opus 4.6 推理输出的数据集。前两吃能提供比 Anthropic 官方更便宜的 tokens,但要真正达到 10% 甚至 5% 的荒谬低价,就需要吃第三吃。正如中国俗语「天下没有免费的午餐」。一些开发者指出,加价业务只是获客,日志采集才是真实利润。用户既是付费客户,又是无偿数据生产者,用私人数据换取低价。还有人警告可能基于泄露的代理数据进行推广、欺诈甚至勒索。为避免隐私风险,一些中国开发者自建 Claude Code API 代理并开源指南。
KYC 无法知道的事#
AI 使用正从聊天机器人转向工具使用。随着代理和 token 经济的兴起,使用美国模型的问题不再仅是访问,而是延伸到成本效率。这是因为中国 AI 生态(无论前沿实验室、大学研究组、独立开发者还是爱好者)普遍资本稀缺。同时,通过中转站生成的用户数据明显进入下游市场,用于模型训练、数据经纪或欺诈。如果蒸馏是其中一部分,问题就远超美国政府或 AI 公司可能预期的少数前沿行为者。
历史告诉我们,访问封锁很少能阻止有决心的人。它抬高访问成本,反过来创造出为任何有专业知识降低成本的人提供利润的市场。防火长城让 VPN 服务在中国成为兴旺的家庭工业;KYC 要求催生了身份伪造经济,从国内身份证转售到东南亚或非洲的生物识别采集。中转站经济暴露了访问控制(无论地缘政治边界还是其他)的尴尬真相:一个被地理封锁的开发者绕过控制的方法,结构上与恐怖分子访问前沿 AI 模型制造破坏性生物武器而不被追踪的方法相同。
今天,AI 安全研究将系统级访问控制(尤其是检测、监控和暂停公开可访问闭源模型的账户)视为重要保障。在监控层面,开发者控制推理基础设施,包括实时标记有害输入与输出。KYC 等检测手段假设提供商能将行为归因到可识别主体;账户暂停同样假设封禁账户能实质剥夺访问。但在美国模型提供商不控制中国用户通过中转站的推理时,这些假设失效——代理运营商才是控制方。当有害请求到来时,提供商看到的是代理的 IP 而非真实用户;账户被禁后,上游供应链能在几小时内建立新代理。
对于更复杂的监控工具,问题还会进一步叠加。Anthropic 的 Clio 系统部分设计用于检测在个人对话层面看不见的协同滥用,通过识别跨账户、跨对话的模式来实现——例如,它曾识别出一个使用相似 prompt 结构生成搜索引擎垃圾内容的自动化账户网络并予以封禁。但因请求经代理路由,封禁往往无法实质阻止底层行为。对于刻意策划的攻击——例如将有害问询分散到多个阶段和多个代理账户,使每个请求单独看都无害——跨账户模式远比协同垃圾邮件更难识别,后者的信号按设计就很明显。
此外,中转站并非只体现传统的攻防范式——无论在美国 AI 公司与中国用户之间,还是在 AI 安全机制与恶意行为者之间。黑市有自己的供应链与剥削逻辑,其产生的危害远超最初的访问问题。今天为绕过 Anthropic KYC 而采集的面部数据,明天可能被转售用于开设欺诈金融账户、伪造就业记录或生成深度伪造,全球南方的原始主体承担法律和声誉后果。路由 Claude 请求的相同基础设施可用于通过模型替换欺诈用户、基于泄露 prompt 数据的针对性诈骗或勒索。维持代理池的账户耕作操作(批量 SMS 验证、欺诈注册、卡号账户)也滋养了更广泛的犯罪市场:垃圾电话、钓鱼短信、欺诈贷款申请和信用卡诈骗。许多危害与 AI 或地缘政治无关。
如今,灰色市场的每一种副产品——从恐怖分子利用 AI 合成下一场大流行的潜在危险,到现实中的剥削与犯罪——都无法与访问问题分离。正如防火长城或 AI 地理封锁试图按国家界线分离谁能获得前沿技术,但灰色市场揭示:危害是不可分离的。