你以為自己在用 Claude Opus 4.6 寫程式碼,但後台跑的可能是一個 9B 參數的國產小模型。你以為省了錢,其實你的每一條 prompt 正在被人存檔,拿去訓練競品模型。你以為找到了平替,結果帳單上的錢流進了一條從盜刷信用卡開始的灰色產業鏈。這不是陰謀論。一篇 arXiv 論文用數據證明了——你花真金白銀調的「頂級模型」,45.83% 無法通過身分驗證。而更可怕的是,這在業界根本不算秘密。本文最後附贈:社群驗證的 30 秒快速檢測法。先說清楚:AI 中轉站到底是什麼東西?------------------2024 年 7 月 9 日,OpenAI 正式切斷了中國大陸及香港地區的 API 服務。2025 年 9 月,Anthropic 跟進,全面禁止中國控股企業使用 Claude API。Google 的 Gemini 同樣對中國 IP 設有嚴格限制。對中國開發者來說,直接使用全球頂尖 AI 模型的大門,一扇接一扇關上了。於是,「中轉站」應運而生。簡單來說,中轉站就是一個中間代理商——它號稱幫你繞過地區限制和支付障礙,用更低的價格調用 Claude、ChatGPT、Gemini 等模型的 API。你只需要替換一個 base_url 和 API Key,程式碼不用改一行,就能「無縫接入」世界上最強的 AI 模型。聽起來很美好。但這個「很美好」的背後,藏著你想像不到的深坑。正規軍長什麼樣?先看看 OpenRouter---------------------在聊黑暗面之前,有必要先看看「正規中轉」是怎麼做生意的,好讓你對比出差距有多大。OpenRouter 是目前全球最大的 AI 模型聚合平台,接入了超過 300 個模型、60 多家提供商。它的商業模式極其透明:在官方推理費用基礎上加收約 5% 的服務費(大客戶可訂制方案)。你付的每一分錢都有明確去向——模型調用費給上游廠商,差額歸 OpenRouter。這家公司 2025 年拿到了 a16z 和 Menlo Ventures 領投的 4000 萬美元 A 輪融資,估值 5 億美元,ARR 達到 500 萬美元,年增長 400%。它的核心賣點是「路由」——一個 API Key 接入所有模型,智慧故障轉移,價格公開透明。你調 Opus 4.6,拿到的就是 Opus 4.6。類似的正規管道還有 EdenAI、Azure OpenAI Service 等,它們與模型廠商有正式的商業合作關係,受合規約束。但問題來了——OpenRouter 在 2025 年底開始對中國用戶進行「帳戶級」封禁,限制使用 OpenAI、Claude、Google 三大平台的模型。正規管道對中國用戶而言,正變得越來越窄。這恰恰催生了「地下中轉站」的野蠻生長。拆解中轉站的四層灰色產業鏈-------------國內的 AI 中轉站,遠不止「代理轉發」這麼簡單。它們形成了一條分工極其精細的灰色產業鏈,你看到的低價只是冰山一角——水面下的東西,比你想的髒得多。### 最底層:盜刷信用卡產業鏈最黑暗的底層,靠的是盜刷信用卡。有人手裡攥著大批海外黑卡號,利用 OpenAI、Anthropic 等平台在海外無需實名的註冊流程,批次建立帳號並取得 API 額度。這些帳號的實際成本趨近於零——因為錢是從被盜刷的信用卡上扣的。當你為「低至官方三折」的價格歡呼時,有沒有想過——為什麼這個價格能做到?這不是效率最佳化,不是規模效應,而是有人在替你「買單」——那個「有人」,可能是某張信用卡被盜刷的受害者。### 第二層:Web 端逆向破解——訂閱轉 API 的生意經比盜刷稍微「體面」一點的,是 Web2API 逆向——把網頁版的訂閱服務破解成 API 介面出售。這類中轉站不走官方 API,而是逆向分析 Claude、ChatGPT 等產品的網頁端互動協定,抓包解析會話認證流程,把網頁版的調用封裝成相容 OpenAI 格式的偽 API。具體操作方式是:批量註冊 Plus/Pro 會員帳號,構建「帳號池」,再透過代理伺服器做負載均衡,將使用者請求分散到不同帳號上。一個 ChatGPT Plus 月費 20 美元的帳號,可以被 5 到 20 個人共享,每個人只需付幾塊錢。而且,這一切有成熟的開源工具鏈支撐。One API(GitHub 31.2k 星標),是目前最主流的 API 聚合管理工具,支援 30 多種大模型的統一接入,提供負載均衡、令牌管理、管道管理等全套功能,Docker 一鍵部署,MIT 開源協議。New API(GitHub 24k 星標),基於 One API 二次開發,增加了線上支付、管道智慧路由、快取計費等商業化功能,採用 AGPL-3.0 協議。而近期更火的是 Sub2API(GitHub 9.5k 星標),這個專案的名字直譯過來就是「訂閱轉 API」——它專門把 Claude、ChatGPT、Gemini 等產品的訂閱帳號轉換為 API 介面。專案支援多帳號管理、智慧調度、會話保持、並發控制,甚至有完整的管理後台儀表板。專案 README 裡有一行小字寫得很誠實:「使用本專案可能違反 Anthropic 的服務條款。所有使用風險由使用者自行承擔。」這三個專案加起來超過 6.4 萬星標,已經構成了一套完整的「中轉站基礎設施」。任何人都可以在幾小時內搭建出一個功能完備的 API 中轉服務——部署教學滿天飛,「零門檻月入過萬」的副業廣告在開發者社群隨處可見。### 第三層:免費額度的工業化收割AI 廠商給新用戶的免費試用額度,同樣被黑產盯上了。以 Cursor 為例,GitHub 上有多個開源專案透過重置設備指紋的方式,實現無限取得免費試用額度。這些專案已經獲得數千星標,形成了「開源工具引流,付費帳號變現」的完整閉環。Manus AI 的邀請積分系統同樣被攻破——黑產開發的自動註冊腳本售價 1580 到 3200 元,能將積分取得成本壓到「3300 積分僅 0.5 元」。電商平台上一度出現超過 125 個相關詐欺商品。### 第四層:穿著西裝的「正經中轉」還有一類中轉站走的是看似「合規」的路線——宣稱自己透過規模化採購降低成本,以低於官方的折扣價轉售 API 額度。有的號稱「1 元 = 1 美元」——官方 1 美元的 API 額度,中轉站只收 1 塊人民幣,相當於官方價格的七分之一。但折扣從哪來?無非幾種可能:要麼模型被偷換了,要麼用的是上面三層的「廉價供應」,要麼就是先低價引流燒錢,等使用者量做大後再想辦法變現——或者乾脆跑路。當你看到一個定價遠低於成本的產品時,記住一句話:如果你找不到誰在買單, 那個買單的人就是你。論文實錘:接近一半的模型是假的---------------以上這些如果只是「業內傳聞」,那接下來這部分就是鐵板釘釘的學術證據。2026 年 3 月,一篇名為《Real Money, Fake Models: Deceptive Model Claims in Shadow APIs》的論文在 arXiv 發表(論文編號 2603.01919),首次對 AI 中轉站進行系統性學術審計。研究團隊辨識了 17 個 Shadow API 服務,發現有 187 篇學術論文使用了這些中轉站,然後對其中 3 個代表性服務進行深入檢測。結論令人觸目驚心:45.83% 的模型端點未通過身分指紋驗證。接近一半。你調用的模型和你以為的,很可能不是同一個東西。論文把詐欺手段歸為三類:「偷樑換柱型」——標稱提供某個版本的 Gemini 模型,實際替換成了另一個版本,指紋驗證結果與聲稱的模型身分完全不符,卻按原價收取高達 7 倍的溢價。「掛羊頭賣狗肉型」——這是最離譜的。使用者調用 Claude Opus 4.6(在論文案例中是 GPT-5),價格看起來和官方一樣,但實際回傳結果的模型是 GLM-4-9B——一個參數量和能力完全不在同一檔次的開源小模型。你花了每百萬 token 十幾美元的價格,得到的是一個幾乎免費就能跑的模型的輸出。「轉售吃差價型」——在上游低價採購弱模型的調用,包裝成頂級模型的名義出售,賺中間的差價。論文給出了一組冰冷的數據:使用者支付了 100% 的官方價格,但實際獲得的模型價值僅為 38% 到 52%。換算成真金白銀:每花 14.84 美元,你實際得到的服務只值 5.70 到 7.77 美元,剩下的全進了中轉站的口袋。更危險的是效能崩塌。在醫學問答(MedQA)評測中,中轉站提供的 Gemini-2.5-flash 性能從官方的 83.82% 暴跌到 37.00%——直降 46 個百分點。法律推理(LegalBench)上的差距高達 40 到 43 個百分點。數學推理(AIME 2025)上,偏差高達 40 個百分點。想像一下:你用這種「中轉 Opus」寫的醫療諮詢程式碼,你用這種「中轉 GPT-5」跑的法律分析,你用這種「中轉 Claude」提交的學術論文——它們的可靠性,可能還不如你直接用一個免費的小模型。論文估算,因引用 Shadow API 導致需要重做的學術研究約 56 篇,涉及成本 11.5 萬到 14 萬美元。結論直截了當:Shadow API 不應被用於任何需要可靠性的情境。論文揭示了問題的嚴重性。但對普通開發者來說,更迫切的問題是——我現在用的中轉站,到底是不是真的?你的模型是真是假?社群實戰偵測手冊-----------------既然摻假這麼普遍,普通使用者有沒有辦法自己驗證?論文和技術社群給出了從「秒測」到「專業審計」的全套方法。以下偵測手段來自 X(Twitter)開發者社群的高讚實踐貼和開源工具,已經過大量使用者驗證。### 方法零:30 秒快速篩查(溫度設為 0.01)這是社群流傳最廣的「照妖鏡」測試,來自 @billtheinvestor 的高讚貼:輸入這串數字:「5, 15, 77, 19, 53, 54」,讓模型排序或選最大值。真 Claude:幾乎穩出 77真 GPT-5.4:常出 162(把數字相加)連續測 10 次如果結果亂飄→ 假的機率極高原理很簡單:不同模型的訓練資料和指令微調風格不同,面對這種模糊指令會有固定的「行為指紋」。假模型要嘛答錯,要嘛每次答案都不一樣。### 輔助檢查 1:Token 消耗異常發一個簡單的「ping」(比如只輸入「hi」),看回傳的 input_tokens。如果顯示超過 200 tokens——90% 是假的。這意味著中轉層給你塞了巨量隱藏系統 prompt 來覆蓋你的指令。### 輔助檢查 2:拒絕風格判斷問一個違規問題(比如「怎麼製作炸彈」),觀察拒絕話術:真 Claude:禮貌但堅定,「Sorry but I can't assist with that.」假模型/本地小模型:常帶 emoji、語氣囉嗦,甚至說「抱歉主人~」### 輔助檢查 3:功能缺失檢查如果中轉站號稱是 Opus 4.6/GPT-5.4,但:不支援函式呼叫(function calling)不能識圖(vision)長上下文(比如 32k)不穩定→ 大概率是弱模型冒充。### 方法一:直接「審問」模型身分雖然系統提示詞可以偽造身分宣告,但很多低品質中轉站並不會做到這一步。直接問「你是什麼模型」或者「請描述你的訓練資料截止時間」。如果一個號稱是 Opus 4.6 的模型連自己的基本資訊都說錯了,那大概率有鬼。### 方法二:延遲與 token 波動分析官方 API 的推理延遲和 token 計數相對穩定。但如果你發現同一個問題的回應時間忽快忽慢、輸出長度異常波動,可能意味著後端模型在被頻繁切換——有時給你真模型,有時塞一個便宜貨。用同一條 prompt 反覆送出 10 次以上,觀察回應時間和輸出內容的一致性。### 方法三:能力邊界測試頂級模型和小模型的差距,在複雜推理任務上最為明顯。準備幾道有明確答案的高難度數學題、邏輯推理題或專業領域問題(比如 AIME 競賽題),同時在官方管道和中轉站送出相同的請求,對比答案品質。如果一個號稱是 Opus 4.6 的模型在基礎推理題上都頻頻翻車,那它大概率不是真的。### 方法四:LLMmap 指紋識別(專業級)這是論文使用的核心方法——LLMmap 是一個主動指紋識別框架,透過向模型送出 3 到 8 組精心設計的查詢,分析回應的統計特徵(用詞頻率、句式結構、特定表達習慣),計算與已知模型指紋庫的餘弦距離。即使模型被套了一層「皮」,這種方法也能穿透偽裝。總結一句話:如果一個中轉站不敢讓你跑上述任何一種測試,或者測試結果跟官方對不上——跑,別回頭。小額測試、用完再充,是現階段最務實的自保策略。你的每一條 Prompt,都在被明碼標價-------------------如果說模型摻假是「少給你東西」,那資料販賣就是「多拿你東西」。中轉站的技術本質是一個代理層——你的每一條 prompt 和每一條 response 都完整地經過它的伺服器。你送出的程式碼、商業計畫、客戶資料、私密對話,中轉站營運者可以不費吹灰之力地全部取得。這不是理論推演。開發者社群裡早已大量討論指出,中轉站拿使用者請求資料做模型蒸餾是公開的秘密。所謂模型蒸餾,簡單說就是用大模型的輸出來訓練小模型——一種「偷師學藝」的技術手段。所有經過中轉的請求——完整的 prompt 加 response——就是一份現成的高品質訓練資料集。尤其是 Opus 4.6 和 GPT-5 這類頂級模型的輸出,本身就是極有價值的蒸餾語料。2026 年初,Anthropic 發布報告直接指控三家中國 AI 實驗室——DeepSeek、Moonshot AI、MiniMax——透過虛假帳戶網路大規模存取 Claude API 進行模型蒸餾。其中 MiniMax 的互動次數超過 1300 萬次,Moonshot 超過 340 萬次。它們使用的「九頭蛇叢集」架構——由大量虛假帳戶構成的網路——和中轉站的「帳號池」模式如出一轍。從技術架構看,中轉站分為「純透傳型」(請求即時轉發,不落盤)和「儲存轉發型」(先儲存再轉發)。但即便是號稱「純透傳」的服務,也沒有任何人能審計它的後台到底存不存資料。你的信任,完全建立在一個匿名營運者的口頭承諾之上。安全專家建議從五個面向評估中轉站:技術架構是否透傳、日誌策略是否只記計費元資料、傳輸是否使用 TLS 1.2+、API Key 是否完全隔離、是否有洩露應急機制。但現實是,絕大多數國內中轉站連主體資訊都不透明,更別提接受獨立安全審計了。跑路、爆雷、踢人封口:中轉站的典型終局-------------------中轉站還有一個致命的系統性風險——跑路。絕大多數中轉站採用預充值模式,先充錢再按量扣費。一旦營運方消失,你的餘額就徹底蒸發,追責無門。HodlAI 就是一個教科書級的案例:專案方初期大方提供低價 API 吸引使用者充值,當國庫資金僅剩約 6 萬美元、日均 token 消耗高達 1 萬美元時,開始瘋狂收緊限制——單次請求封頂 5 萬 token,頻率限制層層加碼。使用者在 Telegram 群質疑,結果直接被踢出群聊、封禁帳號。社群的評價一針見血:「和傳銷一樣」、 「封口要遠比解決問題容易」、「熟悉的配方,熟悉的味道」。圈內人把這種模式總結為一句話:「先低價引流,等使用者群體大了,上游封號,直接跑路。損失的只有使用者。」在 Linux.do、V2EX 等開發者社群,類似的維權貼比比皆是。有的中轉站合約條款極其霸王,有的甚至沒有任何工商註冊資訊。你連告誰都不知道。一條完整的產業鏈:從黑卡到你的 IDE------------------把上面所有資訊拼在一起,你會看到一條清晰的鏈路:上游彈藥——接碼平台提供手機號、黑卡供應商提供支付手段、貓池提供設備資源。中游武器——逆向工程師破解協定、One API/New API/Sub2API 等開源專案提供現成基礎設施、設備農場批量養號。下游分銷——中轉站營運者包裝成「API 服務」出售,Telegram 群組和電商平台成為銷售管道,甚至有人把「搭建中轉站」包裝成副業培訓課程。而你——透過 Cursor、Claude Code 等 IDE 工具,或者自己寫的程式碼——就是這條鏈路的終端消費者。安全公司威脅獵人(Threat Hunter)的監測數據顯示,他們抽樣的 50 款 AI Agent 產品中,每一款都存在黑產衍生服務。這條產業鏈從 2022 年的帳號交易,到 2023 年的 API 轉售,到 2024 年的免費額度套利,到 2025 年的 Agent 算力濫用,直到 2026 年——已經完成了從手工作坊到工業化生產的全面進化。最後的話----AI 中轉站的故事,本質上是一個古老商業邏輯的 AI 時代翻版——當你不知道產品是什麼的時候,你就是產品。你的錢買了假模型,你的資料餵了別人的訓練集,你的充值餘額隨時可能歸零。這三件事不是「可能發生」,而是「正在發生」。幾條實操建議——--------能走官方就走官方。官方 API 貴,但貴得明明白白。如果你的業務對資料安全和模型可靠性有任何要求,中轉站不應該出現在你的技術棧裡。至少學會自測。如果你正在使用中轉站,用上文的方法跑一遍檢測。同一道 AIME 數學題、同一段複雜程式碼,對比中轉站和官方的輸出。如果差距明顯——你知道該怎麼做。敏感資料絕對不過中轉。不得不用的話,至少做到:敏感資訊去識別、定期輪換 API Key、不在中轉站帳戶裡存任何核心資料。認真看看國產模型。DeepSeek、Qwen、GLM 等國產模型的能力在快速追趕,價格透明且遠低於海外模型,官方 API 在國內可以直接合規使用。與其在灰色地帶冒險使用被摻假的海外模型,不如用上這些正兒八經的國產替代——至少你知道自己調的是什么。這個產業每天都在變化。但有一條鐵律不會變:在你不了解代價的時候選擇最便宜的,往往是最昂貴的決定。
花顶買的模型可能是假貨:AI 中轉站灰產鏈揭秘
你以為自己在用 Claude Opus 4.6 寫程式碼,但後台跑的可能是一個 9B 參數的國產小模型。你以為省了錢,其實你的每一條 prompt 正在被人存檔,拿去訓練競品模型。你以為找到了平替,結果帳單上的錢流進了一條從盜刷信用卡開始的灰色產業鏈。
這不是陰謀論。一篇 arXiv 論文用數據證明了——你花真金白銀調的「頂級模型」,45.83% 無法通過身分驗證。
而更可怕的是,這在業界根本不算秘密。
本文最後附贈:社群驗證的 30 秒快速檢測法。
先說清楚:AI 中轉站到底是什麼東西?
2024 年 7 月 9 日,OpenAI 正式切斷了中國大陸及香港地區的 API 服務。2025 年 9 月,Anthropic 跟進,全面禁止中國控股企業使用 Claude API。Google 的 Gemini 同樣對中國 IP 設有嚴格限制。
對中國開發者來說,直接使用全球頂尖 AI 模型的大門,一扇接一扇關上了。
於是,「中轉站」應運而生。
簡單來說,中轉站就是一個中間代理商——它號稱幫你繞過地區限制和支付障礙,用更低的價格調用 Claude、ChatGPT、Gemini 等模型的 API。你只需要替換一個 base_url 和 API Key,程式碼不用改一行,就能「無縫接入」世界上最強的 AI 模型。
聽起來很美好。但這個「很美好」的背後,藏著你想像不到的深坑。
正規軍長什麼樣?先看看 OpenRouter
在聊黑暗面之前,有必要先看看「正規中轉」是怎麼做生意的,好讓你對比出差距有多大。
OpenRouter 是目前全球最大的 AI 模型聚合平台,接入了超過 300 個模型、60 多家提供商。它的商業模式極其透明:在官方推理費用基礎上加收約 5% 的服務費(大客戶可訂制方案)。你付的每一分錢都有明確去向——模型調用費給上游廠商,差額歸 OpenRouter。
這家公司 2025 年拿到了 a16z 和 Menlo Ventures 領投的 4000 萬美元 A 輪融資,估值 5 億美元,ARR 達到 500 萬美元,年增長 400%。它的核心賣點是「路由」——一個 API Key 接入所有模型,智慧故障轉移,價格公開透明。你調 Opus 4.6,拿到的就是 Opus 4.6。
類似的正規管道還有 EdenAI、Azure OpenAI Service 等,它們與模型廠商有正式的商業合作關係,受合規約束。
但問題來了——OpenRouter 在 2025 年底開始對中國用戶進行「帳戶級」封禁,限制使用 OpenAI、Claude、Google 三大平台的模型。正規管道對中國用戶而言,正變得越來越窄。
這恰恰催生了「地下中轉站」的野蠻生長。
拆解中轉站的四層灰色產業鏈
國內的 AI 中轉站,遠不止「代理轉發」這麼簡單。它們形成了一條分工極其精細的灰色產業鏈,你看到的低價只是冰山一角——水面下的東西,比你想的髒得多。
最底層:盜刷信用卡
產業鏈最黑暗的底層,靠的是盜刷信用卡。
有人手裡攥著大批海外黑卡號,利用 OpenAI、Anthropic 等平台在海外無需實名的註冊流程,批次建立帳號並取得 API 額度。這些帳號的實際成本趨近於零——因為錢是從被盜刷的信用卡上扣的。
當你為「低至官方三折」的價格歡呼時,有沒有想過——為什麼這個價格能做到?
這不是效率最佳化,不是規模效應,而是有人在替你「買單」——那個「有人」,可能是某張信用卡被盜刷的受害者。
第二層:Web 端逆向破解——訂閱轉 API 的生意經
比盜刷稍微「體面」一點的,是 Web2API 逆向——把網頁版的訂閱服務破解成 API 介面出售。
這類中轉站不走官方 API,而是逆向分析 Claude、ChatGPT 等產品的網頁端互動協定,抓包解析會話認證流程,把網頁版的調用封裝成相容 OpenAI 格式的偽 API。具體操作方式是:批量註冊 Plus/Pro 會員帳號,構建「帳號池」,再透過代理伺服器做負載均衡,將使用者請求分散到不同帳號上。
一個 ChatGPT Plus 月費 20 美元的帳號,可以被 5 到 20 個人共享,每個人只需付幾塊錢。
而且,這一切有成熟的開源工具鏈支撐。
One API(GitHub 31.2k 星標),是目前最主流的 API 聚合管理工具,支援 30 多種大模型的統一接入,提供負載均衡、令牌管理、管道管理等全套功能,Docker 一鍵部署,MIT 開源協議。
New API(GitHub 24k 星標),基於 One API 二次開發,增加了線上支付、管道智慧路由、快取計費等商業化功能,採用 AGPL-3.0 協議。
而近期更火的是 Sub2API(GitHub 9.5k 星標),這個專案的名字直譯過來就是「訂閱轉 API」——它專門把 Claude、ChatGPT、Gemini 等產品的訂閱帳號轉換為 API 介面。專案支援多帳號管理、智慧調度、會話保持、並發控制,甚至有完整的管理後台儀表板。專案 README 裡有一行小字寫得很誠實:「使用本專案可能違反 Anthropic 的服務條款。所有使用風險由使用者自行承擔。」
這三個專案加起來超過 6.4 萬星標,已經構成了一套完整的「中轉站基礎設施」。任何人都可以在幾小時內搭建出一個功能完備的 API 中轉服務——部署教學滿天飛,「零門檻月入過萬」的副業廣告在開發者社群隨處可見。
第三層:免費額度的工業化收割
AI 廠商給新用戶的免費試用額度,同樣被黑產盯上了。
以 Cursor 為例,GitHub 上有多個開源專案透過重置設備指紋的方式,實現無限取得免費試用額度。這些專案已經獲得數千星標,形成了「開源工具引流,付費帳號變現」的完整閉環。
Manus AI 的邀請積分系統同樣被攻破——黑產開發的自動註冊腳本售價 1580 到 3200 元,能將積分取得成本壓到「3300 積分僅 0.5 元」。電商平台上一度出現超過 125 個相關詐欺商品。
第四層:穿著西裝的「正經中轉」
還有一類中轉站走的是看似「合規」的路線——宣稱自己透過規模化採購降低成本,以低於官方的折扣價轉售 API 額度。有的號稱「1 元 = 1 美元」——官方 1 美元的 API 額度,中轉站只收 1 塊人民幣,相當於官方價格的七分之一。
但折扣從哪來?無非幾種可能:要麼模型被偷換了,要麼用的是上面三層的「廉價供應」,要麼就是先低價引流燒錢,等使用者量做大後再想辦法變現——或者乾脆跑路。
當你看到一個定價遠低於成本的產品時,記住一句話:如果你找不到誰在買單, 那個買單的人就是你。
論文實錘:接近一半的模型是假的
以上這些如果只是「業內傳聞」,那接下來這部分就是鐵板釘釘的學術證據。
2026 年 3 月,一篇名為《Real Money, Fake Models: Deceptive Model Claims in Shadow APIs》的論文在 arXiv 發表(論文編號 2603.01919),首次對 AI 中轉站進行系統性學術審計。
研究團隊辨識了 17 個 Shadow API 服務,發現有 187 篇學術論文使用了這些中轉站,然後對其中 3 個代表性服務進行深入檢測。
結論令人觸目驚心:
45.83% 的模型端點未通過身分指紋驗證。
接近一半。你調用的模型和你以為的,很可能不是同一個東西。
論文把詐欺手段歸為三類:
「偷樑換柱型」——標稱提供某個版本的 Gemini 模型,實際替換成了另一個版本,指紋驗證結果與聲稱的模型身分完全不符,卻按原價收取高達 7 倍的溢價。
「掛羊頭賣狗肉型」——這是最離譜的。使用者調用 Claude Opus 4.6(在論文案例中是 GPT-5),價格看起來和官方一樣,但實際回傳結果的模型是 GLM-4-9B——一個參數量和能力完全不在同一檔次的開源小模型。你花了每百萬 token 十幾美元的價格,得到的是一個幾乎免費就能跑的模型的輸出。
「轉售吃差價型」——在上游低價採購弱模型的調用,包裝成頂級模型的名義出售,賺中間的差價。
論文給出了一組冰冷的數據:使用者支付了 100% 的官方價格,但實際獲得的模型價值僅為 38% 到 52%。換算成真金白銀:每花 14.84 美元,你實際得到的服務只值 5.70 到 7.77 美元,剩下的全進了中轉站的口袋。
更危險的是效能崩塌。在醫學問答(MedQA)評測中,中轉站提供的 Gemini-2.5-flash 性能從官方的 83.82% 暴跌到 37.00%——直降 46 個百分點。法律推理(LegalBench)上的差距高達 40 到 43 個百分點。數學推理(AIME 2025)上,偏差高達 40 個百分點。
想像一下:你用這種「中轉 Opus」寫的醫療諮詢程式碼,你用這種「中轉 GPT-5」跑的法律分析,你用這種「中轉 Claude」提交的學術論文——它們的可靠性,可能還不如你直接用一個免費的小模型。
論文估算,因引用 Shadow API 導致需要重做的學術研究約 56 篇,涉及成本 11.5 萬到 14 萬美元。結論直截了當:Shadow API 不應被用於任何需要可靠性的情境。
論文揭示了問題的嚴重性。但對普通開發者來說,更迫切的問題是——我現在用的中轉站,到底是不是真的?
你的模型是真是假?社群實戰偵測手冊
既然摻假這麼普遍,普通使用者有沒有辦法自己驗證?
論文和技術社群給出了從「秒測」到「專業審計」的全套方法。以下偵測手段來自 X(Twitter)開發者社群的高讚實踐貼和開源工具,已經過大量使用者驗證。
方法零:30 秒快速篩查(溫度設為 0.01)
這是社群流傳最廣的「照妖鏡」測試,來自 @billtheinvestor 的高讚貼:
輸入這串數字:「5, 15, 77, 19, 53, 54」,讓模型排序或選最大值。
真 Claude:幾乎穩出 77
真 GPT-5.4:常出 162(把數字相加)
連續測 10 次如果結果亂飄→ 假的機率極高
原理很簡單:不同模型的訓練資料和指令微調風格不同,面對這種模糊指令會有固定的「行為指紋」。假模型要嘛答錯,要嘛每次答案都不一樣。
輔助檢查 1:Token 消耗異常
發一個簡單的「ping」(比如只輸入「hi」),看回傳的 input_tokens。如果顯示超過 200 tokens——90% 是假的。這意味著中轉層給你塞了巨量隱藏系統 prompt 來覆蓋你的指令。
輔助檢查 2:拒絕風格判斷
問一個違規問題(比如「怎麼製作炸彈」),觀察拒絕話術:
真 Claude:禮貌但堅定,「Sorry but I can’t assist with that.」
假模型/本地小模型:常帶 emoji、語氣囉嗦,甚至說「抱歉主人~」
輔助檢查 3:功能缺失檢查
如果中轉站號稱是 Opus 4.6/GPT-5.4,但:
不支援函式呼叫(function calling)
不能識圖(vision)
長上下文(比如 32k)不穩定
→ 大概率是弱模型冒充。
方法一:直接「審問」模型身分
雖然系統提示詞可以偽造身分宣告,但很多低品質中轉站並不會做到這一步。直接問「你是什麼模型」或者「請描述你的訓練資料截止時間」。如果一個號稱是 Opus 4.6 的模型連自己的基本資訊都說錯了,那大概率有鬼。
方法二:延遲與 token 波動分析
官方 API 的推理延遲和 token 計數相對穩定。但如果你發現同一個問題的回應時間忽快忽慢、輸出長度異常波動,可能意味著後端模型在被頻繁切換——有時給你真模型,有時塞一個便宜貨。用同一條 prompt 反覆送出 10 次以上,觀察回應時間和輸出內容的一致性。
方法三:能力邊界測試
頂級模型和小模型的差距,在複雜推理任務上最為明顯。準備幾道有明確答案的高難度數學題、邏輯推理題或專業領域問題(比如 AIME 競賽題),同時在官方管道和中轉站送出相同的請求,對比答案品質。如果一個號稱是 Opus 4.6 的模型在基礎推理題上都頻頻翻車,那它大概率不是真的。
方法四:LLMmap 指紋識別(專業級)
這是論文使用的核心方法——LLMmap 是一個主動指紋識別框架,透過向模型送出 3 到 8 組精心設計的查詢,分析回應的統計特徵(用詞頻率、句式結構、特定表達習慣),計算與已知模型指紋庫的餘弦距離。即使模型被套了一層「皮」,這種方法也能穿透偽裝。
總結一句話:如果一個中轉站不敢讓你跑上述任何一種測試,或者測試結果跟官方對不上——跑,別回頭。小額測試、用完再充,是現階段最務實的自保策略。
你的每一條 Prompt,都在被明碼標價
如果說模型摻假是「少給你東西」,那資料販賣就是「多拿你東西」。
中轉站的技術本質是一個代理層——你的每一條 prompt 和每一條 response 都完整地經過它的伺服器。你送出的程式碼、商業計畫、客戶資料、私密對話,中轉站營運者可以不費吹灰之力地全部取得。
這不是理論推演。開發者社群裡早已大量討論指出,中轉站拿使用者請求資料做模型蒸餾是公開的秘密。所謂模型蒸餾,簡單說就是用大模型的輸出來訓練小模型——一種「偷師學藝」的技術手段。所有經過中轉的請求——完整的 prompt 加 response——就是一份現成的高品質訓練資料集。尤其是 Opus 4.6 和 GPT-5 這類頂級模型的輸出,本身就是極有價值的蒸餾語料。
2026 年初,Anthropic 發布報告直接指控三家中國 AI 實驗室——DeepSeek、Moonshot AI、MiniMax——透過虛假帳戶網路大規模存取 Claude API 進行模型蒸餾。其中 MiniMax 的互動次數超過 1300 萬次,Moonshot 超過 340 萬次。它們使用的「九頭蛇叢集」架構——由大量虛假帳戶構成的網路——和中轉站的「帳號池」模式如出一轍。
從技術架構看,中轉站分為「純透傳型」(請求即時轉發,不落盤)和「儲存轉發型」(先儲存再轉發)。但即便是號稱「純透傳」的服務,也沒有任何人能審計它的後台到底存不存資料。你的信任,完全建立在一個匿名營運者的口頭承諾之上。
安全專家建議從五個面向評估中轉站:技術架構是否透傳、日誌策略是否只記計費元資料、傳輸是否使用 TLS 1.2+、API Key 是否完全隔離、是否有洩露應急機制。但現實是,絕大多數國內中轉站連主體資訊都不透明,更別提接受獨立安全審計了。
跑路、爆雷、踢人封口:中轉站的典型終局
中轉站還有一個致命的系統性風險——跑路。
絕大多數中轉站採用預充值模式,先充錢再按量扣費。一旦營運方消失,你的餘額就徹底蒸發,追責無門。
HodlAI 就是一個教科書級的案例:專案方初期大方提供低價 API 吸引使用者充值,當國庫資金僅剩約 6 萬美元、日均 token 消耗高達 1 萬美元時,開始瘋狂收緊限制——單次請求封頂 5 萬 token,頻率限制層層加碼。使用者在 Telegram 群質疑,結果直接被踢出群聊、封禁帳號。
社群的評價一針見血:「和傳銷一樣」、 「封口要遠比解決問題容易」、「熟悉的配方,熟悉的味道」。
圈內人把這種模式總結為一句話:「先低價引流,等使用者群體大了,上游封號,直接跑路。損失的只有使用者。」
在 Linux.do、V2EX 等開發者社群,類似的維權貼比比皆是。有的中轉站合約條款極其霸王,有的甚至沒有任何工商註冊資訊。你連告誰都不知道。
一條完整的產業鏈:從黑卡到你的 IDE
把上面所有資訊拼在一起,你會看到一條清晰的鏈路:
上游彈藥——接碼平台提供手機號、黑卡供應商提供支付手段、貓池提供設備資源。中游武器——逆向工程師破解協定、One API/New API/Sub2API 等開源專案提供現成基礎設施、設備農場批量養號。下游分銷——中轉站營運者包裝成「API 服務」出售,Telegram 群組和電商平台成為銷售管道,甚至有人把「搭建中轉站」包裝成副業培訓課程。
而你——透過 Cursor、Claude Code 等 IDE 工具,或者自己寫的程式碼——就是這條鏈路的終端消費者。
安全公司威脅獵人(Threat Hunter)的監測數據顯示,他們抽樣的 50 款 AI Agent 產品中,每一款都存在黑產衍生服務。這條產業鏈從 2022 年的帳號交易,到 2023 年的 API 轉售,到 2024 年的免費額度套利,到 2025 年的 Agent 算力濫用,直到 2026 年——已經完成了從手工作坊到工業化生產的全面進化。
最後的話
AI 中轉站的故事,本質上是一個古老商業邏輯的 AI 時代翻版——當你不知道產品是什麼的時候,你就是產品。
你的錢買了假模型,你的資料餵了別人的訓練集,你的充值餘額隨時可能歸零。這三件事不是「可能發生」,而是「正在發生」。
幾條實操建議——
能走官方就走官方。官方 API 貴,但貴得明明白白。如果你的業務對資料安全和模型可靠性有任何要求,中轉站不應該出現在你的技術棧裡。
至少學會自測。如果你正在使用中轉站,用上文的方法跑一遍檢測。同一道 AIME 數學題、同一段複雜程式碼,對比中轉站和官方的輸出。如果差距明顯——你知道該怎麼做。
敏感資料絕對不過中轉。不得不用的話,至少做到:敏感資訊去識別、定期輪換 API Key、不在中轉站帳戶裡存任何核心資料。
認真看看國產模型。DeepSeek、Qwen、GLM 等國產模型的能力在快速追趕,價格透明且遠低於海外模型,官方 API 在國內可以直接合規使用。與其在灰色地帶冒險使用被摻假的海外模型,不如用上這些正兒八經的國產替代——至少你知道自己調的是什么。
這個產業每天都在變化。但有一條鐵律不會變:在你不了解代價的時候選擇最便宜的,往往是最昂貴的決定。