AI“黄牛”生意：名人入局，暴利背后藏何玄机？

本文来自微信公众号：APPSO，作者：发现明日产品的，题图来自：AI生成

在16世纪，欧洲商船在地中海构建了一条特殊的贸易路线。

欧洲的纺织品和武器被运往非洲，用来交换劳动力；这些劳动力被运往美美的洲种植园，用于生产棉花和糖；最后，棉花和糖被运回欧洲，完成一个利润丰厚的闭环。

这套备受争议的交易模式，后来被历史学家称为“三角贸易”。令人意想不到的是，时隔五个世纪，一种结构上惊人相似的贸易链，正在互联网上悄然兴起。

在这条新兴的贸易链上，全球南方的普通人提供身份信息，美国的AI研究机构提供尖端模型，中国的开发者和企业提出使用需求，而一些连接这三者并从中赚取差价的中间环节，则被称为“AI中转站”。

这门生意的出现，源于两大难以逾越的障碍。

自2024年6月起，OpenAI明确禁止中国大陆IP访问，Anthropic的服务条款也禁止向未获支持的地区销售。支付环节也是一道难题，大多数海外模型供应商要求绑定Visa或Mastercard信用卡，并通过严格的账单地址验证，这使得大部分开发者被拒之门外。

“AI中转站”恰恰是在这两大限制的夹缝中应运而生。它们利用海外服务器作为跳板，用人民币支付取代外币信用卡，以“代购”的形式将顶尖算力提供给受限地区的用户。

这门原本游走在灰色地带的生意，如今却吸引了众多名人高调入场。

猎豹移动CEO傅盛推出了Easy Router，以模型权限八五折、DeepSeek-V4定价仅为官方四分之一的优惠吸引用户。加密货币巨头创始人孙宇晨以及前美国总统特朗普的家族企业也纷纷涉足，可见其中的利润空间巨大。

今天，我们就来深入探讨一下，这门看似“含泪血赚”的暴利生意，背后究竟隐藏着哪些猫腻？

只要胆子够大，AI中转站也能打造自己的“华强北”

从技术角度看，AI中转站本质上是一个位于用户与大模型服务商之间的反向代理服务器。

用户将请求发送给中转站，中转站再将其转发给OpenAI或Anthropic等模型提供商，获取响应结果后，再返还给用户。根据形态和目标用户，目前市场上的中转站大致可分为三种类型：

第一种是面向普通用户的“网页镜像站”，直接提供一个网页界面，用户登录即可使用。这种模式的门槛最低，但透明度也最差，用户完全无法得知请求的最终流向。

第二种是面向开发者的“API聚合分发平台”，其核心在于将多家模型的不同API接口统一转换为标准格式，并按Token（词元）计费向下游转售。

第三种是面向大型机构的“企业级AI网关”，提供智能路由、全程审计、数据脱敏和权限管理等功能，Portkey是该生态中相对规范的代表产品。

这三种形态的技术底层都遵循着共同的逻辑。以开源项目One API为例，其在GitHub上拥有超过3万颗星标，被大量商业平台直接用于二次开发，成为许多中转站事实上的底层基础设施。

https://github.com/songquanpeng/one-api

其运作包含三个核心模块：

协议标准化：由于各家大模型的API格式差异巨大，中转站会在网络应用层深度解析用户请求，提取关键信息，重新打包成目标模型所需的格式进行发送，并实时传输流式输出的数据块，确保“打字机”般的不间断输出效果。

Token计费拦截：在中转过程中，中转站会截取返回的数据包，统计实际消耗量，然后乘以自定义的“模型倍率”向用户收费。这套系统允许站长为不同模型设定差异化的溢价，是其商业变现的关键。

多账号轮询池：单个官方账号有严格的频率限制，中转站通过维护大量的底层API Key，利用轮询算法来分发流量。当某个账号被禁用或用尽时，系统会自动无缝切换到下一个。

技术的门槛不断降低，直接导致了市场上涌现出海量的参与者。而中转站之所以能提供低价，背后也有一套成本更低的算力获取方式。

上游资源方通过利用云厂商的新用户免费额度、滥用教育邮箱获取折扣、在电商平台批量转售企业账号权益等方式来降低成本。更隐蔽的手段则包括批量注册虚假账号、盗刷跨境信用卡，甚至窃取他人的API Key。

近期，随着Anthropic引入KYC强制实名认证，这一供给链又衍生出了新的分支。

中间商前往尼日利亚、肯尼亚、柬埔寨等地，以几美元的报酬招募当地人配合拍照，批量采集人脸和证件信息，然后以数十倍的价格转售给国内开发者。

这与此前在非洲采集虹膜数据的黑市模式如出一辙，将生物特征数据商品化的链条直接迁移到了AI时代。许多业内研究者曾发出警告，今天被收集的面部信息，未来可能被用于开设欺诈性金融账户，其危害深远。

花费购买玛莎拉蒂的钱，却只换来“赛博共享单车”

如果真的能做到“一手交钱，一手交货”，这门代购生意尚可算得上公平。但现实情况是，AI中转站提供的服务往往名不副实，甚至可以说是一种“掺水”的服务。

2026年3月，CISPA信息安全研究中心发表了学术界首次针对中转站系统性安全审计的论文《Real Money, Fake Models: Deceptive Model Claims in Shadow APIs》。

https://arxiv.org/abs/2603.01919

研究人员追踪了17个曾被187篇正式学术论文引用的中转站服务，并进行了全面测试。测试结果令人震惊：45.83%的节点无法通过模型身份验证，这意味着其后台运行的并非其声称的模型。

在医学问答测试中，Gemini-2.5-flash通过官方API的正确率为83.82%，而通过影子API（Shadow API）的正确率则骤降至约37%。在法律推理测试中，所有被测中转站的性能均比官方API低40个百分点以上。

AIME 2025

具体而言，“狸猫换太子”的操作主要有两种方式：

一是按照官方原价收费，但后台实际运行的是成本较低的开源模型（例如，打着GPT-5的旗号，实际上却偷偷替换为经过稀释的Llama模型）；二是趁模型更新换代之际，悄悄将后台切换为更便宜的版本，但价格却不降反升。

图片出自论文，由AI生成

在AI中转站的黑市中，价格和质量的分布完全是随机的。论文的研究结果也表明，价格比例与准确率下降之间没有任何预测关系，选择更昂贵的中转站并不能保证用户免受模型替换带来的损失。

除了模型造假，账单也可能存在问题。

2026年ACM互联网测量大会上发表的论文《Behavioral Consistency and Transparency Analysis on Large Language Model API Gateways》对真实的商业网关进行了评估，发现有网关的实际收费比预期的计算结果高出62.8%，但其上报的使用量数据与其他平台并无异常，用户根本无法察觉到多出的费用去向。

LLM API网关架构概览，以及主要的透明度和一致性挑战。

此外，部分网关还会进行隐蔽的“上下文截断”。为了节省成本，当历史消息超过某个隐藏的阈值后，它们会悄悄地丢弃早期内容。

测试人员设计了一个包含25轮对话的场景，发现在某些网关上，模型在第24轮时已经无法回忆起第10轮设定的信息。这意味着依赖长文档分析或多轮对话的应用，可能长期处于性能下降的状态。

简而言之，你所使用的AI中转站，很可能是在花费最高昂的费用，使用着最愚钝的模型，忍受着它随时可能变成只有七秒记忆的金鱼，最终却要用它来完成最复杂的工作。

你用AI写代码，AI却可能给你植入木马

说实话，花冤枉钱买个“智障”模型最多算是破财，更值得警惕的是，这些AI中转站很有可能会觊觎你的隐私数据。

用户以为只是将一段请求发送给中转站，实际上却交出了完整的双向通信记录。

AI中转站作为中间环节，对每一条提示词和模型返回的每一段内容都拥有读写权限。不法平台可能将这些数据打包出售给AI训练公司或数据经纪商，从中赚取巨额利润。这就导致用户既是客户，也沦为了产品本身。

更危险的是，数据经过的中间节点往往不止一个。

中转站的路由常常是多层嵌套的：你从电商平台购买的API访问权限，其卖家可能从另一个聚合平台采购，整个链路可能经过四个以上的独立节点。正如“木桶短板”理论所言，链条的安全性取决于最薄弱的一环，一旦任何一个节点被攻破，上游的数据截留或篡改就已经完成。

在《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》这篇论文中，研究者在沙盒环境中测试了428个中转站后发现：9个中转站正在向用户注入恶意代码，17个触发了AWS测试密钥的盗用，甚至有1个直接盗取了研究者部署的私钥钱包中的资金。

多跳路由的链条越长，中间任何一个节点出现问题，污染就会沿着链条传播，而终端的Agent很难判断响应是否被篡改。论文地址：https://arxiv.org/abs/2604.08407

一个被故意泄露的OpenAI密钥迅速被中转站滥用，产生了超过1亿Token的流量。

今年3月发生的LiteLLM事件更是暴露了攻击的规模。黑客通过依赖包漏洞入侵了这个主流开源框架，波及超过4.6万个开发环境。此外，更有高级黑客将木马控制指令（C2）伪装成正常的AI对话提示词发送给中转站，借助合法通道绕过传统防火墙。

一个恶意的Router（路由）位于Agent和模型之间，既能窥探请求和响应中的敏感信息，又能在响应返回给Agent之前注入恶意内容。

当AI从聊天工具进化为能够自主执行代码的智能体（Agent）时，风险又增加了一个维度。

恶意的中转站可以在shell命令到达执行层之前，将其安装包替换为同名的恶意安装包。甚至还有“条件投递”的变种：前50次请求正常，第51次才激活注入。对于自动执行模式的Agent来说，最基础的载荷注入就足以致命。

值得注意的是，中转站的破坏范围并不仅限于直接用户。《Real Money, Fake Models》论文统计显示，在187篇引用影子API的论文中，有62%发表在ACL、CVPR等顶级学术会议上。

这些使用虚假模型进行的评测或漏洞分析，导致了严重的学术信任危机。如果其中30%的研究需要重新执行，总损失将在11.5万至14万美元之间，近6000篇后续研究的有效性也因此受到质疑。

这门依赖“信息差套利”维持的生意，最终必将走向不可持续的终点。

一方面，境外未备案模型向境内提供服务触碰了《生成式人工智能服务管理暂行办法》，给站长带来了巨大的非法经营风险；企业用户一旦因此发生敏感数据泄露，也将面临严厉的法律制裁与行政处罚。

另一方面，随着国产大模型的能力呈现爆发式增长，不仅在各项榜单上开始追平甚至超越海外巨头，更是在价格上掀起了激烈的竞争——API接口的价格被大幅压低至海外厂商的几十分之一，甚至直接进入了“免费时代”。

当拧开水龙头就能获得干净廉价的水源，那些在暗巷里倒卖高价水还要掺假下毒的营生，自然也就迎来了它们的落幕。未来，那些侥幸存活下来的黑心平台，也只会进入“大逃杀”模式：要么更加疯狂地掺水、窃取数据来维持高额利润；要么趁着资金链尚未断裂，迅速卷款跑路。

16世纪的三角贸易依靠信息不对称和地理隔绝，最终因贸易透明化和监管而终结。AI中转站赖以生存的同样是地区封锁和信息不对称。不同的是，这一次，被贩卖的不仅仅是模型算力，还有身份、隐私、信任，以及无法预估的后果。

本内容