Пощечина Белому дому: китайские лаборатории дистиллируют ИИ США через тысячи прокси
Учетные записи крадут, верификацию обходят через посредников, а пользовательский трафик превращают в сырье для обучения искусственного интеллекта.
Вокруг Claude в Китае вырос серый рынок дешевого доступа к моделям Anthropic. Разработчикам предлагают подключение через API-прокси всего за десятую часть официальной цены, а за низкими тарифами, как выяснила исследовательница Oxford China Policy Lab Цзылань Цянь, стоят украденные учетные данные, подмена моделей и сбор пользовательских запросов для последующей перепродажи в виде обучающих данных.
В китайских сообществах разработчиков такие сервисы называют «пересадочными станциями». Прокси открыто продвигают на GitHub, Taobao и в Telegram. Снаружи схема выглядит как обычный дешевый шлюз к зарубежным моделям, но внутри работает целая цепочка посредников. Одни массово регистрируют аккаунты Anthropic и выбивают бесплатные API-кредиты, другие используют корпоративные скидки или дробят подписки Claude Max за $200 между десятками клиентов. Часть аккаунтов, по данным Цянь, покупают почти бесплатно через украденные банковские карты.
После ужесточения проверки личности у Anthropic серый рынок не исчез, а просто нашел новый способ обхода. Для прохождения фото ID и проверки по селфи посредники привлекают реальных людей из стран с низкими доходами, которые подтверждают аккаунты лично. Цянь сравнивает такой подход с черным рынком биометрии вокруг Worldcoin, где сканы радужки, собранные в Камбодже и Кении, продавали дешевле $30.
Отдельная проблема связана с тем, что покупатель прокси-доступа не всегда получает модель, за которую платит. Исследователи из немецкого центра CISPA Helmholtz Center for Information Security проверили 17 подобных сервисов и нашли массовую подмену моделей. Например, доступ, который продавали как Gemini 2.5, набрал лишь 37% на медицинском тесте, где официальный API показал почти 84%. Пользователь может запросить Claude Opus, а получить ответ от более дешевого Sonnet, Haiku или китайской модели вроде Qwen, после чего прокси просто подпишет результат нужным названием.
Самая ценная часть бизнеса, по словам китайских разработчиков, не наценка на доступ, а поток данных. Прокси-сервисы видят каждый запрос и каждый ответ, проходящий через серверы. Для агентских инструментов программирования такой трафик особенно полезен, потому что вместе с задачей в модель часто уходит контекст репозитория, цепочки рассуждений, структура API и исправленные человеком результаты. Такие логи можно превращать в датасеты для обучения и дистилляции конкурирующих моделей. Наборы с рассуждениями Claude Opus 4.6 без понятного происхождения уже встречаются на HuggingFace.
Риск для компаний выходит далеко за рамки нечестной конкуренции между разработчиками ИИ. Программист, который подключает кодовый агент через непроверенный прокси, фактически отправляет исходники, внутреннюю архитектуру и логику аутентификации неизвестному посреднику без договоров, гарантий хранения и нормальных правил обработки данных. Похожий урок бизнес уже проходил в 2023 году, когда инженеры Samsung вставили фрагменты закрытого кода в ChatGPT и случайно раскрыли конфиденциальные данные о производстве полупроводников. В случае с серыми прокси риск выше, потому что между компанией и моделью появляется анонимный оператор, который может зарабатывать именно на сборе чужого трафика.
Расследование усиливает недавние предупреждения Белого дома и Anthropic. В конце апреля американские власти обвинили китайские структуры в «промышленной» дистилляции передовых моделей США с помощью десятков тысяч прокси-аккаунтов. Anthropic еще в феврале сообщала о примерно 24 тысячах мошеннических аккаунтов, связанных с китайскими лабораториями, включая DeepSeek, Moonshot AI и MiniMax.
Anthropic закрыла доступ к Claude для организаций под китайским контролем в сентябре и постепенно вводит более строгие проверки. Но вывод Цянь звучит неприятно для всей отрасли: каждый новый барьер не столько перекрывает нелегальный доступ, сколько создает новый рынок обхода, где дешевый API становится приманкой, а настоящим товаром оказываются чужие запросы, код и данные для обучения моделей.