В Китае предлагали доступ к Claude со скидкой 90 % — собранные данные шли на дистилляцию ИИ-моделей

Серый рынок прокси-сервисов в Китае перепродаёт доступ к ИИ-моделям Claude компании Anthropic за десятую часть от официальной цены, зарабатывая на краденых учётных записях, подмене моделей и перепродаже пользовательских запросов и ответов. Об этом говорится в исследовании сотрудницы Oxford China Policy Lab Цзылань Цянь (Zilan Qian).

Такие прокси-сети, которые китайские разработчики называют «перевалочными станциями», открыто работают через GitHub, Taobao и в Telegram. Выводы Цянь подтверждают недавние предупреждения Белого дома и Anthropic. Администрация президента США в конце апреля обвинила китайские структуры в дистилляции «промышленного масштаба» — обучении собственных ИИ-моделей на ответах Claude — через десятки тысяч прокси-аккаунтов, а Anthropic ещё в феврале выявила около 24 000 аккаунтов, связанных с ИИ-стартапами DeepSeek, Moonshot AI и MiniMax.

Цянь описала схему, где каждый участник отвечает за одно-два звена. Поставщики аккаунтов на верхнем уровне массово регистрируют аккаунты ради бесплатных кредитов Anthropic по $5, перепродают неиспользованные лимиты с чужих аккаунтов, пользуются корпоративными и образовательными скидками или дробят подписки Claude Max за $200 на десятки пользователей через лимиты токенов в час. Часть аккаунтов, оплаченных украденными банковскими картами, попадает в пул фактически бесплатно. Для обхода верификации личности посредники выезжают в страны Африки и Латинской Америки и нанимают людей для прохождения проверки лично. Задокументированным прецедентом послужил биометрический чёрный рынок Worldcoin, где сканы радужной оболочки глаза, собранные у жителей Камбоджи и Кении, продавались дешевле $30.

Отдельный риск связан с подменой ИИ-моделей. Немецкие исследователи из CISPA Helmholtz Center for Information Security проверили 17 таких прокси-сервисов и обнаружили, что заявленная ИИ-модель часто не соответствует фактической. Доступ, продававшийся как «Gemini-2.5», набрал 37 % в медицинском тесте, тогда как официальный API показал почти 84 %. По данным Цянь, вместо заказанного Claude Opus пользователь мог получить ответ от более дешёвых Sonnet, Haiku или китайских ИИ.

Прокси-операторы также записывают все запросы и ответы, проходящие через их серверы. Несколько китайских разработчиков сказали Цянь, что наценка на доступ фактически нужна для привлечения клиентов, а настоящая бизнес-модель строится на сборе данных. На HuggingFace уже выложены наборы данных с рассуждениями Claude Opus 4.6 неизвестного происхождения. Такие данные особенно ценны для дистилляции, потому что ответы с рассуждениями можно системно собирать и использовать для обучения конкурирующих моделей. Прокси-серверы дают тот же поток данных с меньшими усилиями: платящие пользователи сами создают обучающий материал.

Однако угроза не ограничивается обучением моделей. Разработчики часто передают ИИ-агентам фрагменты закрытого кода, структуру API и логику аутентификации. Если этот трафик идёт через непроверенный прокси, компания фактически отправляет внутренние данные стороннему серверу без обязательств по их обработке. Похожий риск проявился в 2023 году у Samsung, когда инженеры компании отправили исходный код в ChatGPT и тем самым раскрыли конфиденциальные данные о производстве полупроводниковых компонентов серверам OpenAI.

Anthropic заблокировала доступ к Claude для структур, контролируемых из Китая, в сентябре и затем последовательно ужесточала проверку пользователей. Однако исследование Цянь показывает, что каждая новая мера породила отдельный рынок её обхода, а не остановила несанкционированный доступ.