Модель, купленная на Huading, может быть подделкой: раскрытие серых цепочек AI-центра трансфера

Вы думаете, что пишете код с Claude Opus 4.6, но в фоне, вероятно, работает отечественная маленькая модель с параметрами порядка 9B. Вы думаете, что сэкономили деньги, но на самом деле каждое ваше сообщение (prompt) кем-то архивируется и идет на обучение моделей конкурентов. Вы думаете, что нашли удачную замену (near equivalent), а в итоге деньги с вашего счета текут в серую цепочку бизнеса, которая начинается с мошеннического списания кредитных карт.

Это не теория заговора. Одна arXiv-публикация с данными доказывает, что настроенная вами за «настоящие деньги» «топовая модель» в 45.83% случаев не проходит проверку идентичности.

И еще страшнее: в отрасли это вообще не считается секретом.

В конце статьи — бонус: 30-секундный быстрый метод проверки, подтвержденный сообществом.

Сначала разберемся по пунктам: что такое AI «пересадочная станция» (中转站)?

9 июля 2024 года OpenAI официально прекратила API-сервисы для материкового Китая и Гонконга. В сентябре 2025 года Anthropic последовала примеру и полностью запретила компаниям с китайским контролем использовать Claude API. Google Gemini тоже вводит строгие ограничения на китайские IP.

Для китайских разработчиков закрывается дверь за дверью на прямое использование глобальных топовых AI-моделей.

Так появились «пересадочные станции».

Если просто, то пересадочная станция — это посредник: она обещает помочь вам обойти региональные ограничения и препятствия с оплатой, вызывая API моделей Claude, ChatGPT, Gemini и т.п. за более низкую цену. Вам нужно лишь заменить один base_url и API Key — и код не придется менять ни на одну строку, чтобы «бесшовно» подключиться к самым сильным AI-моделям в мире.

Звучит прекрасно. Но за этим «прекрасно» скрывается яма, о которой вы даже не догадываетесь.

Как выглядит «нормальная» версия? Сначала посмотрите OpenRouter

Прежде чем обсуждать темную сторону, полезно сначала посмотреть, как устроен бизнес «официальных пересадок», чтобы вы могли сравнить разницу.

OpenRouter — крупнейшая в мире платформа агрегации AI-моделей; она подключает более 300 моделей и свыше 60 поставщиков. Ее бизнес-модель предельно прозрачна: к официальным затратам на инференс добавляется примерно 5% сервисного сбора (для крупных клиентов — настраиваемые пакеты). Куда идут ваши деньги, расписано четко: плата за вызовы модели уходит upstream-поставщику, а разница остается OpenRouter.

Эта компания в 2025 году получила раунд A на 40 миллионов долларов, инвесторами выступили a16z и Menlo Ventures; оценка — 500 миллионов долларов, ARR — 5 миллионов долларов, рост +400%. Ее ключевая фишка — «роутинг»: один API Key подключает все модели, есть интеллектуальное отказоустойчивое переключение и публично прозрачные цены. Вы вызываете Opus 4.6 — и получаете Opus 4.6.

Похожие «официальные» каналы — EdenAI, Azure OpenAI Service и т.д.; у них есть официальные коммерческие сотрудничества с производителями моделей, и они связаны требованиями комплаенса.

Но проблема в том, что OpenRouter с конца 2025 года начала вводить «бан на уровне аккаунта» для пользователей из Китая — ограничив использование моделей трех крупнейших платформ OpenAI, Claude и Google. Официальные каналы для китайских пользователей становятся все более узкими.

Это как раз и стимулирует дикий рост «подпольных пересадочных станций».

Разбор четырехуровневой серой цепочки внутри пересадок

Внутренние AI-пересадочные станции — это далеко не только «прокси-пересылка». Они образуют цепочку серого бизнеса с крайне точной специализацией: то, что вы видите как низкие цены, — лишь верхушка айсберга. Под водой — намного грязнее, чем вы думаете.

Самый нижний уровень: кража кредитных карт

Самый темный фундамент цепочки — кража кредитных карт.

У людей на руках — большие партии зарубежных номеров черных карт; они используют платформы вроде OpenAI, Anthropic и т.п. с регистрационными процедурами без реального подтверждения личности за рубежом, массово создают аккаунты и получают API-лимиты. Реальная стоимость этих аккаунтов стремится к нулю — потому что деньги списываются с украденных кредиток.

Когда вы празднуете «низко до официального 1/3 цены», приходило ли вам в голову — почему вообще такой ценник возможен?

Это не оптимизация эффективности и не эффект масштаба. За вас кто-то «оплачивает счет» — и этот «кто-то» вероятно является жертвой мошеннического списания с чьей-то карты.

Второй уровень: веб-сторона — обратный взлом подписки в бизнес по продаже API

Немного «более респектабельным» является обратный взлом Web2 API — превращение веб-подписки в продаваемые API-интерфейсы.

Такие пересадочные станции не идут по пути официальных API. Вместо этого они проводят обратный анализ протоколов веб-взаимодействия продуктов вроде Claude, ChatGPT, перехватывают и анализируют процесс сессия/аутентификация, а вызовы веб-версии «упаковывают» в псевдо-API в формате, совместимом с OpenAI. Конкретно это выглядит так: массово регистрируются аккаунты Plus/Pro, формируется «пул аккаунтов», а затем через прокси-серверы делается балансировка нагрузки, чтобы запросы пользователей распределялись по разным аккаунтам.

Аккаунт с ChatGPT Plus за 20 долларов в месяц может использоваться 5–20 людьми; каждому нужно заплатить лишь несколько долларов (или даже меньше).

И во всем этом есть зрелая поддержка инструментальных цепочек с открытым кодом.

One API (GitHub 31.2k звезд), — сейчас самый популярный инструмент для агрегации и управления API: он поддерживает единое подключение более чем 30 больших моделей, предоставляет весь набор функций вроде балансировки нагрузки, управления токенами, управления каналами и т.д., предлагает деплой в один клик через Docker, лицензия MIT, open-source.

New API (GitHub 24k звезд) — основан на One API с дополнительной разработкой; добавлены коммерциализированные функции вроде онлайн-оплаты, интеллектуального роутинга каналов, кэшированной тарификации и т.п., используется протокол AGPL-3.0.

А в последнее время особенно популярен Sub2API (GitHub 9.5k звезд). Название проекта при буквальном переводе — «подписка в API»: он специально конвертирует подписочные аккаунты продуктов вроде Claude, ChatGPT, Gemini в API-интерфейсы. Проект поддерживает управление несколькими аккаунтами, интеллектуальное планирование, удержание сессии, контроль конкурентности и даже имеет полноценную административную панель с дашбордом. В README проекта есть одна строчка, написанная удивительно честно: «Использование этого проекта может нарушать условия обслуживания Anthropic. Все риски использования несет пользователь».

Суммарно эти три проекта набрали более 64 тысяч звезд. Они уже образовали полноценную «инфраструктуру базовых пересадочных станций». Любой может за несколько часов собрать функционально полноценный сервис прокси API — туториалов по деплою полно, а рекламные объявления про «без порога, побочный заработок с доходом больше десяти тысяч в месяц» в сообществе разработчиков встречаются повсюду.

Третий уровень: индустриальный сбор бесплатных лимитов

Бесплатные пробные лимиты, которые AI-производители дают новым пользователям, тоже берут в прицел представители черного рынка.

Например, Cursor: на GitHub есть несколько open-source проектов, которые с помощью сброса device fingerprint реализуют «бесконечное» получение бесплатного пробного лимита. Эти проекты получили тысячи звезд и образуют целостный замкнутый цикл: «open-source инструменты привлекают, платные аккаунты конвертируются в деньги».

Система приглашений Manus AI тоже была взломана: скрипты автоматической регистрации, разработанные черным рынком, стоят 1580–3200 юаней; это позволяет снизить себестоимость получения поинтов до «3300 поинтов за 0.5 юаня». На маркетплейсах в какой-то момент появлялось более 125 связанных мошеннических товаров.

Четвертый уровень: «серьезная» пересадка в костюме

Есть еще один тип пересадочных станций, который идет по пути, выглядящему «комплаентным»: они утверждают, что снижают стоимость за счет масштабных закупок, а затем перепродают API-лимиты по цене ниже официальной. Некоторые заявляют «1 юань = 1 доллар»: официальный API-лимит 1 доллар, а пересадочная станция берет за него 1 юань (или 1 «единицу» в пересчете) — то есть примерно 1/7 от официальной цены.

Но откуда берется дисконт? Вариантов немного: либо модель «подменяют», либо используют «дешевое сырье» с трех предыдущих уровней, либо сначала разгоняют с низкой ценой и сжиганием денег ради привлечения, а затем, когда пользователей станет больше, находят способ монетизировать — либо просто внезапно исчезают.

Когда вы видите продукт, который стоит существенно ниже себестоимости, запомните одну фразу: если вы не можете найти того, кто «оплачивает счет», то оплачивателем, скорее всего, являетесь вы.

Научное подтверждение: почти половина моделей — поддельные

Если все выше — только «слухи в индустрии», то следующая часть — уже железное академическое доказательство.

В марте 2026 года на arXiv опубликована работа под названием «Real Money, Fake Models: Deceptive Model Claims in Shadow APIs» (номер статьи 2603.01919). Это была первая систематическая академическая проверка AI-пересадок.

Исследовательская команда выявила 17 Shadow API сервисов, обнаружив, что 187 научных статей использовали эти пересадочные станции. Затем они глубоко протестировали 3 репрезентативных сервиса.

Вывод шокирует:

45.83% модельных endpoints не прошли проверку идентичности по отпечаткам.

Почти половина. То, что вы вызываете, и то, что вы думаете, что вызываете, скорее всего, — не одно и то же.

В статье мошеннические схемы классифицированы на три типа:

«Замена по сути» — заявляют, что предоставляют конкретную версию Gemini, но по факту заменяют на другую версию; результат проверки отпечатка идентичности совершенно не соответствует заявленной модели, при этом берется до 7 раз завышенный премиум по цене.

«Выдавание одного за другое» — самый вопиющий вариант. Пользователь вызывает Claude Opus 4.6 (в кейсах статьи указан GPT-5), цена выглядит как официальная, но фактически возвращаемая модель — GLM-4-9B — открытая маленькая модель с параметрами и возможностями, полностью не в той же лиге. Вы платите десятки долларов (на каждый миллион токенов) за «топовый» результат, а получаете вывод модели, которую почти ничего не стоит запустить.

«Перепродажа с разницей в цене» — при вызовах закупают слабые модели по низкой цене upstream, а затем продают их под видом топовых, зарабатывая посредническую разницу.

Статья приводит набор холодных цифр: пользователи платили 100% от официальной цены, но фактически получали модель, ценность которой составляла только 38%–52%. Если перевести это в «живые» деньги: на каждые 14.84 доллара, которые вы тратите, вы фактически получаете услуги на сумму всего 5.70–7.77 доллара, а остальное уходит в карман пересадочной станции.

Еще опаснее — обрушение качества. В медицинских вопросах (MedQA) производительность предоставленного Gemini-2.5-flash на пересадочной станции падает с официальных 83.82% до 37.00% — минус 46 процентных пунктов. Разрыв в юридическом рассуждении (LegalBench) достигает 40–43 процентных пунктов. В математическом рассуждении (AIME 2025) отклонение до 40 пунктов.

Представьте: если вы пишете медицинский консультационный код с таким «пересадочным Opus», запускаете юридический анализ с таким «пересадочным GPT-5», подаете академическую работу, сделанную «пересадочным Claude» — ее надежность может оказаться даже хуже, чем если бы вы просто использовали бесплатную маленькую модель напрямую.

Оценка статьи: из-за использования Shadow API нужно заново делать примерно 56 научных исследований, связанных с затратами 115 тысяч–140 тысяч долларов. Итог прямой: Shadow API нельзя использовать ни в каких сценариях, где нужна надежность.

Статья показывает серьезность проблемы. Но для обычных разработчиков более неотложный вопрос — а моя ли пересадочная станция на самом деле настоящая?

Твоя модель настоящая или фейк? Практический мануал для проверки сообществом

Раз подделка встречается настолько широко, есть ли у обычного пользователя способы проверить самому?

И статья, и технические сообщества дают полный набор методов — от «проверки за секунды» до «профессионального аудита». Ниже перечислены методы, которые взяты из высоко оцененных постов разработчиков в X (Twitter) и из open-source инструментов; они уже многократно проверены большим числом пользователей.

Метод 0: быстрая фильтрация за 30 секунд (температура 0.01)

Это самый распространенный в сообществе тест «на стеклянном шарике» (проверка на подделку), из хайпового поста @billtheinvestor:

Введите эту цепочку чисел: «5, 15, 77, 19, 53, 54» — пусть модель отсортирует или выберет максимальное значение.

Настоящий Claude: почти всегда стабильно выходит 77

Настоящий GPT-5.4: обычно выдает 162 (сложив числа)

Сделайте непрерывно 10 прогонов: если результат «плавает» — вероятность фейка крайне высока

Принцип простой: разные модели тренируются на разных данных и имеют отличающийся стиль instruction-tuning; при такой мутной команде у них проявляется устойчивый «поведенческий отпечаток». Фейковая модель либо ошибается, либо каждый раз отвечает по-разному.

Проверка 1 (дополнительно): аномальный расход токенов

Отправьте простой «ping» (например, просто введите «hi») и посмотрите input_tokens в ответе. Если показывается больше 200 токенов — в 90% случаев это фейк. Это означает, что пересадочный слой подмешивает вам огромный объем скрытого system prompt, чтобы перекрыть ваши инструкции.

Проверка 2 (дополнительно): оценка отказного стиля

Спросите о нарушающем правила вопросе (например, «как сделать бомбу») и посмотрите, как сформулирован отказ:

Настоящий Claude: вежливо, но твердо: «Sorry but I can’t assist with that.»

Фейк-модель/локальная маленькая модель: часто с emoji, многословно, иногда даже говорит «извините, хозяин~»

Проверка 3 (дополнительно): проверка отсутствия функций

Если пересадочная станция заявляет, что это Opus 4.6/GPT-5.4, но:

не поддерживает function calling

не умеет распознавать изображения (vision)

длинный контекст (например, 32k) нестабилен

→ с высокой вероятностью слабая модель выдает себя за топовую.

Метод 1: напрямую «допросить» идентичность модели

Хотя системные подсказки могут быть подделаны для заявлений об идентичности, многие низкокачественные пересадочные станции не делают этого до конца. Спросите прямо: «какая вы модель» или «опишите ваш cutoff по данным обучения». Если модель, заявляющая Opus 4.6, ошибается даже в базовой информации о себе — значит, там почти наверняка есть проблема.

Метод 2: анализ задержек и колебаний токенов

Официальное API по задержке инференса и подсчету токенов относительно стабильно. Но если вы замечаете, что время ответа скачет туда-сюда и длина вывода аномально колеблется — возможно, backend модели часто переключают: иногда вам дают настоящую модель, а иногда подсовывают дешевую. Отправляйте один и тот же prompt многократно (более 10 раз) и наблюдайте согласованность времени ответа и содержания вывода.

Метод 3: тест границ возможностей

Разница между топовыми моделями и маленькими лучше всего проявляется в сложных задачах рассуждения. Подготовьте несколько сложных математических задач с однозначными ответами, задач на логическое рассуждение или вопросы из профессиональной области (например, задачи конкурса AIME). Отправьте такие же запросы и в официальный канал, и в пересадочную станцию — сравните качество ответов. Если модель, заявляющая Opus 4.6, постоянно «падает» даже на базовых задачах рассуждения — скорее всего, она не настоящая.

Метод 4: распознавание отпечатков LLMmap (уровень профессионалов)

Это ключевой метод статьи: LLMmap — фреймворк активного распознавания отпечатков. Он отправляет модели 3–8 наборов тщательно спроектированных запросов, анализирует статистические характеристики ответов (частоты слов, структуру предложений, специфические привычки выражения) и вычисляет косинусную дистанцию до отпечатков из заранее известной библиотеки моделей. Даже если модели накинули «маску», этот метод способен пробить маскировку.

Итог одной фразой: если пересадочная станция не осмеливается дать вам прогнать любой из тестов выше или результаты не совпадают с официальными — запускайте и проверяйте, не оглядываясь назад. Малые тесты и «использовал — ушел» — самая практичная стратегия самозащиты на текущем этапе.

Каждый ваш Prompt идет на продажу по фиксированной цене

Если подделка моделей — это «недодать вам что-то», то продажа данных — это «забрать у вас больше».

Технически пересадочная станция — это прокси-слой: каждая ваша prompt и каждый ответ (response) целиком проходят через ее серверы. Ваш код, бизнес-планы, данные клиентов, приватные диалоги — оператор пересадочной станции может получить их с минимальными усилиями.

Это не теоретические рассуждения. В сообществе разработчиков уже давно есть множество обсуждений, указывающих: пересадочные станции используют данные запросов пользователей для дистилляции моделей — это не скрыто. Под «модельной дистилляцией» обычно понимают обучение маленькой модели на выходах большой модели — техника «украсть знания и научиться». Все запросы, проходившие через пересадку (полный prompt + response), — это готовый высококачественный датасет для обучения. Особенно ценный — вывод топовых моделей вроде Opus 4.6 и GPT-5.

В начале 2026 года Anthropic выпустила отчет, прямо обвиняющий три китайские AI-лаборатории — DeepSeek, Moonshot AI и MiniMax — в масштабном доступе к Claude API для дистилляции моделей через сети фальшивых аккаунтов. Взаимодействий MiniMax было более 13 миллионов раз, у Moonshot — более 3.4 миллионов. Используемая ими архитектура «гидра-кластера» — сеть из множества фальшивых аккаунтов — один-в-один совпадает с паттерном «пула аккаунтов» пересадочных станций.

С точки зрения технической архитектуры пересадочные станции делятся на «чисто транзитный тип» (реальная пересылка запросов в реальном времени, без сохранения) и «хранящий-затем-переадресующий тип» (сначала сохраняют, затем пересылают). Но даже у «чисто транзитных» сервисов никто не может аудировать, сохраняют ли они данные на бэкенде или нет. Ваше доверие целиком держится на устном обещании анонимного оператора.

Безопасностные эксперты рекомендуют оценивать пересадочные станции по пяти измерениям: делает ли их техническая архитектура полноценный транзит, ведется ли логирование только биллинговых метаданных, используется ли TLS 1.2+ для передачи, полностью ли изолирован API Key, и есть ли механизмы аварийного реагирования на утечки. Но реальность такова, что большинство отечественных пересадочных станций не прозрачно даже по основным сведениям об операторе, не говоря уже об независимом аудите безопасности.

Бегство, «взрыв» платежей, кик с запретом: типичный финал пересадочных станций

У пересадочных станций есть еще одна смертельно опасная системная риска — исчезновение с деньгами (run away).

Почти все пересадочные станции используют модель пополнения баланса заранее: сначала пополняете, потом списывают по мере расхода. Если оператор исчезает — ваш баланс полностью испаряется, спросить не с кого.

HodlAI — учебниковый пример. Команда сначала щедро предлагала дешевые API, привлекая пользователей пополнять баланс. Когда казначейство осталось примерно с 60 тысячами долларов, а ежедневный расход токенов достигал 100 тысяч токенов (около 1万美元), они начали безумно ужесточать ограничения: лимит на один запрос до 50000 токенов, и дальше — многослойные ограничения по частоте. Пользователи в Telegram задавали вопросы; в итоге их прямо кикнули из чата и заблокировали аккаунты.

Оценки сообщества попали в точку: «как в сетевом маркетинге», «замолчать и закрыть рот намного проще, чем решать проблемы», «знакомый рецепт, знакомый вкус».

Инсайдеры в индустрии суммируют такую модель одной фразой: «сначала дешево привлекают, когда пользовательская масса вырастает — upstream банит, и они просто исчезают. Теряет только пользователь».

В дев-сообществах вроде Linux.do, V2EX и т.п. полно подобных постов о принудительных урегулированиях. У одних пересадочных станций контрактные условия — крайне «деспотичные»; у других нет вообще никакой регистрации в工商 (торгово-промышленном) реестре. Вы даже не знаете, на кого подавать в суд.

Цепочка «от черных карт до вашего IDE»

Если собрать все сведения выше вместе, вы увидите четкую цепочку:

Upstream-боеприпасы — платформа подбора номеров предоставляет телефоны, поставщик черных карт дает способы оплаты, «кошачьи пулы» (cat pools) предоставляют ресурсы устройств. Midstream-оружие — инженеры по обратной разработке взламывают протоколы, open-source проекты вроде One API/New API/Sub2API дают готовую инфраструктуру, фермы устройств массово выращивают аккаунты. Downstream-дистрибуция — пересадочные станции упаковывают это как «API-сервис» и продают; Telegram-группы и e-commerce-площадки становятся каналами продаж; а иногда кто-то «упаковывает сборку пересадочной станции» как офлайн/онлайн-курс по побочной занятости (side hustle).

А вы — через IDE-инструменты вроде Cursor, Claude Code или написав код самостоятельно — являетесь конечным потребителем этой цепочки.

Данные мониторинга безопасностных компаний Hunter показывают: среди 50 продуктов AI Agent, которые они выборочно тестировали, у каждой из них есть порожденные черным рынком сервисы. Эта цепочка — от продажи аккаунтов в 2022, до перепродажи API в 2023, до арбитража бесплатных лимитов в 2024, до злоупотребления вычислительными ресурсами Agent в 2025 — и вплоть до 2026 года — уже прошла эволюцию от кустарных мастерских до индустриального производства.

Финальные слова

История AI-пересадочных станций — по сути, это AI-версия древней бизнес-логики: когда вы не знаете, что за продукт вам продают, вы — и есть продукт.

Ваши деньги покупают фейковую модель, ваши данные кормят чей-то тренировочный датасет, ваш предоплаченный баланс в любой момент может обнулиться. Эти три вещи — не «возможны», а «уже происходят».

Несколько практических рекомендаций —

Если можно — идите по официальным путям. Официальное API дороже, но дороже честно и понятно. Если для вашего бизнеса есть любые требования к безопасности данных и надежности модели, пересадочные станции не должны присутствовать в вашем технологическом стеке.

Хотя бы научитесь самопроверке. Если вы сейчас используете пересадочную станцию — прогоните проверки из текста выше. Для одной и той же задачи AIME и для одного и того же сложного кода сравните вывод пересадочной станции и официальный вывод. Если разница заметна — вы знаете, что делать.

Никогда не передавайте чувствительные данные через пересадку. Если уж нельзя иначе — минимум сделайте следующее: деидентификация/маскирование чувствительной информации, регулярная смена API Key, и не храните никаких ключевых данных в аккаунте на пересадочной станции.

Серьезно посмотрите на отечественные модели. DeepSeek, Qwen, GLM и т.п. быстро догоняют по возможностям; цены прозрачны и намного ниже зарубежных моделей; официальное API в Китае можно использовать напрямую с соблюдением требований. Вместо того чтобы рисковать, используя подделанные зарубежные модели в «серой зоне», лучше использовать эти вполне законные отечественные аналоги — хотя бы потому, что вы будете знать, что именно вы настраиваете.

Этот индустриальный мир каждый день меняется. Но одна железная заповедь не меняется: когда вы выбираете самый дешевый вариант, не понимая цену, обычно это самый дорогой выбор.