Китайский «серый» рынок продаёт доступ к Claude API с 90% скидкой, используя украденные данные и подмену моделей

Исследование, опубликованное в понедельник аналитиком Оксфордского центра политики Китая Цзылань Цянь, раскрыло масштабную «серую» экономику в Китае, связанную с перепродажей доступа к API моделей Anthropic Claude. Посредники, известные в китайских сообществах разработчиков как «передаточные станции», предлагают доступ к API всего за 10% от официальной цены.

Эти сети работают открыто на таких платформах, как GitHub, Taobao и Telegram. Низкие цены обеспечиваются за счёт комбинации украденных учётных данных, подмены моделей и сбора пользовательских запросов и ответов для последующей перепродажи в качестве данных для обучения ИИ.

Исследование подтверждает недавние предупреждения Белого дома и компании Anthropic. В конце апреля Белый дом обвинил китайские структуры в проведении «промышленных» кампаний по дистилляции против передовых американских моделей с использованием десятков тысяч прокси-аккаунтов. В феврале Anthropic сообщила о выявлении примерно 24 000 мошеннических аккаунтов, связанных с китайскими лабораториями, включая DeepSeek, Moonshot AI и MiniMax.

Цянь описывает модульную цепочку поставок, где большинство участников отвечают только за одно или два звена. Операторы верхнего уровня массово регистрируют аккаунты Anthropic, используя бесплатные кредиты API, корпоративные скидки или разделяя платные подписки Max за $200 между десятками пользователей. Некоторые аккаунты, по словам Цяня, попадают в пул бесплатно, будучи оплаченными украденными данными кредитных карт.

Чтобы обойти новые требования верификации личности Anthropic, включающие проверку фото ID и селфи, цепочка поставок привлекает реальных людей из стран с низким доходом для прохождения проверки лично. Образцом для этого подхода послужил «черный» рынок биометрических данных Worldcoin, где сканы радужной оболочки глаза, полученные в Камбодже и Кении, продавались менее чем за $30 (около 2400 рублей).

Немецкие исследователи из Центра информационной безопасности CISPA имени Гельмгольца проверили 17 таких прокси-сервисов и обнаружили широко распространённую подмену моделей. Доступ, продаваемый как «Gemini-2.5», показал лишь 37% в медицинском тесте, где официальный API набрал почти 84%. Пользователи, запрашивающие Claude Opus, могут получать ответы от более дешёвых моделей, таких как Sonnet, Haiku, или даже китайских аналогов вроде Qwen, при этом ответы мошеннически перемаркируются.

Операторы прокси также собирают все запросы и ответы, проходящие через их серверы. Для агентов-программистов это означает полные цепочки рассуждений, контекст репозитория и проверенные человеком результаты. Как отмечают разработчики, наценка на доступ — это, по сути, привлечение клиентов, а сбор логов является настоящим бизнесом. Наборы данных с результатами рассуждений Claude Opus 4.6 сомнительного происхождения уже циркулируют на HuggingFace.

Собранные через прокси данные рассуждений чрезвычайно ценны для дистилляции, поскольку их можно систематически захватывать и использовать для обучения конкурирующих моделей. Прокси-серверы предлагают тот же конвейер с меньшими усилиями, так как платящие клиенты добровольно генерируют обучающие данные.

Потенциальная угроза безопасности выходит за рамки обучения моделей. Агенты-программисты регулярно передают модели контекстные данные репозитория, структуры API и логику аутентификации. Разработчики, направляющие трафик через непроверенный прокси, фактически отправляют проприетарный исходный код на сторонний сервер без каких-либо обязательств по обработке данных. В 2023 году Samsung столкнулась с аналогичной проблемой, когда её инженеры вставили проприетарный исходный код в ChatGPT, непреднамеренно раскрыв конфиденциальные данные о производстве полупроводников. Прокси-сервисы создают такой же риск, но без даже базовых условий предоставления услуг, которые есть у крупных поставщиков ИИ.

Anthropic заблокировала доступ к Claude для подконтрольных Китаю структур в сентябре и с тех пор ввела более строгую верификацию, но исследование Цяня показывает, что каждый новый контроль порождает соответствующий рынок обхода, а не снижает общий несанкционированный доступ.

Источник: Tomshardware.com