Модель, придбана на Huading, можливо, підробка: розкриття темної мережі AI-центрів посередників

Ви думаєте, що пишете код, використовуючи Claude Opus 4.6, але в бекенді, можливо, працює китайська маломодель із параметрами 9B. Ви думаєте, що заощадили гроші, але насправді кожен ваш prompt хтось архівує, щоб використати для навчання конкуруючих моделей. Ви думаєте, що знайшли заміну — а в результаті гроші з вашого рахунку йдуть у сіру індустрію, що починається з крадіжки даних кредитних карт.

Це не теорія змови. Одна arXiv-робота з даними доводить: “топову модель”, за яку ви заплатили справжніми грошима, 45,83% не вдається пройти автентифікацію.

І що ще страшніше — у галузі це взагалі не є секретом.

Наприкінці статті — додаток: 30-секундна швидка перевірка, яку підтвердила спільнота.

Спершу скажемо чітко: що саме таке “AI-транзит”?

9 липня 2024 року OpenAI офіційно припинила надавати API-послуги для материкового Китаю та Гонконгу. У вересні 2025 року Anthropic зробила крок далі й повністю заборонила китайським компаніям, які контролюються з Китаю, використовувати Claude API. Google’s Gemini також встановив суворі обмеження для китайських IP.

Для китайських розробників двері для прямого доступу до глобально топових AI-моделей одна за одною зачиняються.

Саме тому з’явився “транзит”.

Якщо коротко, “транзит” — це посередник: він обіцяє допомогти вам обходити регіональні обмеження та платіжні бар’єри, викликаючи API Claude, ChatGPT, Gemini тощо за нижчою ціною. Вам потрібно лише замінити base_url та API Key — і код не треба міняти жодним рядком, щоб “безшовно підключитися” до найсильнішої AI-моделі у світі.

Звучить дуже добре. Але за цим “дуже добре” ховається глибока яма, яку ви не уявляєте.

Як виглядає “офіційна армія”? Спершу подивімося OpenRouter

Перш ніж говорити про темну сторону, варто подивитися, як “офіційний транзит” заробляє гроші, щоб ви могли порівняти розрив.

OpenRouter — нині найбільша у світі платформа-агрегатор AI-моделей, що підключає понад 300 моделей та більш ніж 60 постачальників. Її бізнес-модель надзвичайно прозора: до офіційних витрат на інференс додається приблизно 5% сервісного збору (для великих клієнтів можливі кастомні рішення). Куди йдуть гроші, які ви платите, — визначено чітко: оплата викликів моделей — вгору постачальникам, різниця — OpenRouter.

Ця компанія у 2025 році отримала раунд A на 40 мільйонів доларів від a16z та Menlo Ventures з лідерством, оцінка становить 500 мільйонів доларів, ARR — 5 мільйонів доларів, зростання на 400%. Її ключовий меседж — “routing” — один API Key дає доступ до всіх моделей, розумний failover, а ціни відкрито прозорі. Ви викликаєте Opus 4.6 — і отримуєте саме Opus 4.6.

Схожі “офіційні” канали також є, наприклад EdenAI, Azure OpenAI Service тощо: вони мають офіційні комерційні партнерства з вендорами моделей і підпадають під комплаєнс-обмеження.

Але проблема в тому, що наприкінці 2025 року OpenRouter почала “забороняти рівень облікового запису” для китайських користувачів, обмежуючи використання моделей трьох ключових платформ — OpenAI, Claude та Google. Для китайських користувачів офіційні канали стають все вужчими.

Це якраз і спричинило “дикі” темпи розвитку “підпільних транзитів”.

Розбір “транзитів” на чотири рівні сірої індустрії

Китайські AI-транзити — це далеко не лише “проксі-пересилання”. Вони формують сіру ланцюжкову індустрію з дуже тонким поділом праці: те, що ви бачите як низьку ціну, — лише верхівка айсберга; під водою все брудніше, ніж ви думаєте.

Найнижчий рівень: крадіжка кредитних карт

Найтемніша база ланцюга тримається на крадіжках кредитних карт.

У когось на руках є велика кількість закордонних “черних” карт — чорних карток/номерів — і він використовує процеси реєстрації на платформах OpenAI, Anthropic тощо, які за кордоном не потребують ідентифікації, щоб масово створювати акаунти та отримувати API-квоти. Реальна вартість цих акаунтів прямує до нуля — бо гроші списуються з украдених кредитних карт.

Коли ви аплодуєте ціні “втричі дешевше за офіційну”, чи думали ви: чому вона може бути такою?

Це не оптимізація ефективності і не ефект масштабу. Це хтось “платить за вас” — той “хтось” може бути жертвою, у якої вкрали й списали кошти з картки.

Другий рівень: злам вебверсій — бізнес із підписки, що перетворюють на API

Трохи “пристойнішим” (відносно крадіжок) є Web2API зворотна розробка — коли підпискові вебсервіси ламають і продають як API-інтерфейси.

Такі транзити не використовують офіційні API. Натомість вони роблять зворотний аналіз протоколів веб-взаємодії Claude, ChatGPT тощо: перехоплюють пакети, розбирають схеми автентифікації сесій, і пакують веб-виклики в “псевдо-API”, сумісні з форматом OpenAI. Конкретно це виглядає так: масово реєструють акаунти Plus/Pro, будують “пул акаунтів”, а потім через проксі-сервери роблять балансування навантаження, розподіляючи запити користувачів між різними акаунтами.

Один акаунт із місячною підпискою ChatGPT Plus за 20 доларів США може бути спільним для 5–20 людей — кожен платить лише кілька доларів.

Причому все це підкріплено зрілим набором відкритих інструментів.

One API (GitHub 31.2k зірок) — нині найпопулярніший інструмент для агрегування й керування API: він підтримує уніфікований доступ до понад 30 великих моделей, надає повний набір функцій, включно з балансуванням навантаження, керуванням токенами, керуванням каналами тощо, має однокроковий деплой через Docker і розповсюджується за MIT-ліцензією з відкритим кодом.

New API (GitHub 24k зірок) — зроблений на основі двоетапного розвитку One API: додає комерційні функції, такі як онлайн-платежі, інтелектуальне routing каналів, кешоване ціноутворення, тощо; використовує протокол AGPL-3.0.

А нещодавно ще популярнішим став Sub2API (GitHub 9.5k зірок). Назва цього проєкту — прямий переклад “підписка → API”. Він спеціально перетворює підпискові акаунти Claude, ChatGPT, Gemini тощо на API-інтерфейси. Проєкт підтримує керування багатьма акаунтами, інтелектуальне планування, утримання сесій, контроль паралельності, а також навіть має повноцінну панель адміністрування. У README проєкту є одна маленька фраза, написана дуже чесно: “Використання цього проєкту може порушувати умови сервісу Anthropic. Усі ризики використання користувач бере на себе”.

Усі ці три проєкти разом мають понад 64 тисячі зірок — і вже формують набір повноцінної “інфраструктури транзитів”. Будь-хто може за кілька годин підняти функціональний API-транзитний сервіс: деплой-підказок і гайдiв розкидано по мережі, а рекламні оголошення про “побічний заробіток з нульовим порогом — понад 10 тисяч на місяць” у дев-спільнотах трапляються повсюдно.

Третій рівень: індустріальне збирання врожаю безкоштовних лімітів

Безкоштовні пробні квоти, які AI-вендори дають новим користувачам, теж беруть під приціл кримінальні групи.

Наприклад, Cursor: на GitHub є декілька open-source проєктів, які реалізують безмежне отримання безкоштовних пробних лімітів через скидання відбитків пристрою (device fingerprint). Ці проєкти вже набрали тисячі зірок і сформували повний замкнений цикл “притягування через open-source інструменти — монетизація через платні акаунти”.

Система запрошувальних балів Manus AI також була зламана: скрипти для автоматичної реєстрації, розроблені чорною індустрією, продаються за 1580–3200 юанів і можуть знизити вартість отримання балів до “3300 балів — лише 0,5 юаня”. На e-commerce платформах певний час з’являлося понад 125 відповідних шахрайських товарів.

Четвертий рівень: “чесний транзит” у костюмі

Є також різновид транзитів, що йде шляхом, який виглядає “комплаєнсним”: вони заявляють, що знижують витрати через масштабну закупівлю, а потім перепродають API-ліміти за цінами нижчими за офіційні дисконти. Дехто навіть обіцяє “1 юань = 1 долар” — офіційний API-ліміт за 1 долар, а транзит бере лише 1 юань, тобто приблизно одну сьому від офіційної ціни.

Але звідки береться цей дисконт? Та ймовірні варіанти лише кілька: або моделі підміняють, або використовують “дешеве постачання” з трьох попередніх рівнів, або це “зайти дешевше, спалити гроші для залучення”, а коли кількість користувачів зросте — тоді почнуть монетизацію; або ж просто втечуть.

Коли ви бачите продукт із ціноутворенням значно нижчим за собівартість, запам’ятайте одну фразу: якщо ви не можете знайти, хто платить за це, то платите за це ви.

Наукове підтвердження: майже половина моделей — фейк

Якщо вищезгадане — лише “галузеві чутки”, тоді наступна частина — це вже залізне наукове підтвердження.

У березні 2026 року на arXiv опубліковано роботу під назвою《Real Money, Fake Models: Deceptive Model Claims in Shadow APIs》(номер 2603.01919). Це перша системна академічна перевірка AI-транзитів.

Дослідницька команда ідентифікувала 17 сервісів Shadow API, з’ясувала, що 187 академічних робіт використовують ці транзити, а потім для 3 репрезентативних сервісів провела глибоку перевірку.

Висновок вражає:

45,83% ендпоінтів моделей не пройшли перевірку ідентифікаційного відбитка (identity fingerprint).

Майже половина. Викликаючи “вашу” модель, ви, ймовірно, отримуєте зовсім інше.

Робота класифікує шахрайські методи на три типи:

“Підміна при заміні того, що обіцяють” — декларують, що надають певну версію Gemini-моделі, але фактично підміняють на іншу версію; результати fingerprint-верифікації повністю не відповідають заявленій ідентичності моделі, але при цьому беруть оплату за ціною оригіналу аж у 7 разів більше.

“Продають не те, що обіцяють” — це найгірше. Користувач викликає Claude Opus 4.6 (у прикладі в статті це GPT-5), ціна виглядає так само, як в офіційного постачальника, але фактична модель-відповідь — GLM-4-9B, тобто відкрита маломодель із параметрами та можливостями зовсім іншого рівня. Ви платите десятки доларів за мільйон token — і отримуєте вихідні дані моделі, яку майже безкоштовно можна запускати.

“Перепродаж із здиранням різниці” — беруть дешеві виклики слабких моделей на верхньому рівні, пакують це в обгортку “топова модель” і продають, заробляючи різницю посередника.

Робота наводить холодні дані: користувачі платили 100% офіційної ціни, але фактично отримували цінність моделі лише 38%–52%. Якщо перевести у гроші: на кожні 14,84 долара США ви фактично отримували послугу лише на 5,70–7,77 долара США, решта — осідала в кишенях транзитів.

Ще небезпечніше — провал у продуктивності. У медичних QA (MedQA) тестах продуктивність Gemini-2.5-flash від транзиту падає з офіційних 83,82% до 37,00% — мінус 46 відсоткових пунктів. Різниця в LegalBench (правова логіка) сягає 40–43 відсоткових пунктів. У математичних міркуваннях (AIME 2025) відхилення також близько 40 пунктів.

Уявіть: ви пишете медичний консультаційний код через “транзит Opus”, запускаєте правовий аналіз через “транзит GPT-5”, подаєте академічні статті через “транзит Claude” — їхня надійність може бути гіршою, ніж якщо б ви просто напряму використовували безкоштовну маломодель.

Оцінка в роботі: через використання Shadow API потрібно переробити близько 56 наукових досліджень, що пов’язано з витратами 115 000–140 000 доларів. Висновок прямий: Shadow API не слід використовувати в будь-яких сценаріях, де потрібна надійність.

Робота показує, наскільки серйозна проблема. Але для звичайних розробників ще нагальніше інше питання: а мій транзит зараз — справжній чи ні?

Твоя модель — фейк чи ні? Інструкція з перевірки в реальній практиці

Оскільки підробка стала настільки поширеною, чи є спосіб звичайному користувачу перевірити це самому?

І стаття, і технічна спільнота дають набір методів — від “секундної перевірки” до “професійного аудиту”. Нижче — способи, що походять із топових практичних постів від розробників у X (Twitter) та open-source інструментів; їх уже підтвердили тисячі користувачів.

Метод 0: швидка перевірка за 30 секунд (температура 0,01)

Це найпоширеніший у спільноті тест “лічильник правди” (щоб побачити “фальш”): від @billtheinvestor, топовий пост з підтримкою.

Введіть цей ряд чисел: “5, 15, 77, 19, 53, 54” — попросіть модель відсортувати або вибрати максимальне.

Справжній Claude: майже напевно видасть 77

Справжній GPT-5.4: часто видасть 162 (підсумує числа)

Проведіть 10 безперервних тестів: якщо результат “гуляє” → ймовірність фейку дуже висока

Принцип простий: різні моделі відрізняються тренувальними даними та стилями інструкційного fine-tuning. В умовах такої розмитої команди у “фіктивних” моделей буде стабільний “поведінковий відбиток”. Фейк-моделі або помиляються, або щоразу відповідають по-різному.

Додаткова перевірка 1: аномалія споживання токенів

Надішліть простий “ping” (наприклад, лише “hi”) і подивіться input_tokens у відповіді. Якщо показує понад 200 токенів — у 90% випадків це фейк. Це означає, що транзитний шар “вшиває” вам величезну кількість прихованого системного prompt’а, щоб перекрити ваші інструкції.

Додаткова перевірка 2: оцінка відмовного стилю

Постав заборонене питання (наприклад, “як зробити бомбу”) і подивіться, які відмовні формулювання використовуються:

Справжній Claude: ввічливо, але твердо — “Sorry but I can’t assist with that.”

Фейк-модель/локальна маломодель: часто з emoji, багатослівно в тоні, аж до “抱歉主人~”

Додаткова перевірка 3: перевірка відсутності функцій

Якщо транзит заявляє, що це Opus 4.6/GPT-5.4, але:

не підтримує function calling

не вміє обробляти зображення (vision)

довгий контекст (наприклад, 32k) нестабільний

→ імовірно, це слабка модель, що видає себе за топову.

Метод 1: “перехресний допит” ідентичності моделі

Хоча системні prompt-и можна підробити, багато низькоякісних транзитів цього не роблять. Задайте напряму питання “що це за модель ти є” або “опиши свій trained data cutoff”. Якщо модель, яка заявляє, що це Opus 4.6, помиляється навіть у базових даних про себе — значить, там майже напевно є “хтось нечесний”.

Метод 2: аналіз затримки та коливань токенів

Офіційний API має більш-менш стабільну затримку інференсу та підрахунок токенів. Але якщо ви бачите, що час відповіді на одне й те саме “стрибає”, а довжина відповіді аномально коливається, це може означати, що бекенд постійно перемикає моделі: інколи дають справжню, інколи підсовують дешевий варіант. Надсилайте один і той самий prompt 10 разів і більше, а потім оцініть сталість часу відповіді та узгодженість вмісту.

Метод 3: тест меж можливостей

Різниця між топовими моделями й малими проявляється найсильніше в складних задачах міркування. Підготуйте кілька важких задач з однозначними відповідями (складна математика, логічні задачі або задачі з професійної сфери, наприклад задачі AIME). Надсилайте однакові запити і в офіційний канал, і в транзит. Порівняйте якість відповідей. Якщо модель, яка заявляє, що це Opus 4.6, часто провалюється на базових задачах міркування — вона, швидше за все, не справжня.

Метод 4: LLMmap ідентифікація відбитків (професійний рівень)

Це основний метод, використаний у статті. LLMmap — це фреймворк активного визначення fingerprint’ів: він надсилає моделі 3–8 груп ретельно спроєктованих запитів, аналізує статистичні характеристики відповідей (частотність слів, структури речень, специфічні патерни формулювань), і рахує косинусну відстань між результатами та відомою бібліотекою fingerprint’ів конкретних моделей. Навіть якщо модель “одягне шкіру” — цей метод здатний пробити маскування.

Коротко: якщо транзит не дозволяє вам прогнати будь-який із методів вище, або якщо результати не збігаються з офіційними — працюйте без вагань і не повертайтеся. Маленькі тести, використали — і пішли: це найпрактичніша стратегія само-захисту на даний момент.

Ваші кожні prompt-и, продаються за прейскурантом

Якщо підробка моделей — це “менше того, що ви думали отримати”, то продаж даних — це “більше того, що з вас заберуть”.

Технічна суть транзитів — проксі-шар: кожна ваша prompt і кожна ваша response повністю проходить через їхні сервери. Ваш код, бізнес-план, дані клієнтів, приватні діалоги — оператор транзиту може отримати без особливих зусиль.

Це не теоретичні міркування. У дев-спільноті вже давно є маса обговорень, які вказують: транзити збирають дані користувачів для model distillation — це публічно відомий секрет. “Model distillation” простими словами — коли великі моделі використовують для навчання малих: “вкрали уроки” як технічний прийом. Усі запити, які проходили через транзит, — повний prompt плюс response — це готовий високоякісний датасет для тренування. Особливо вихідні дані топових моделей, як Opus 4.6 і GPT-5, — це надзвичайно цінний distillation-корпус.

На початку 2026 року Anthropic опублікувала звіт, у якому напряму звинуватила три китайські AI-лабораторії — DeepSeek, Moonshot AI та MiniMax — у масовому доступі до Claude API через мережі фейкових акаунтів для distillation. Зокрема, кількість інтеракцій MiniMax перевищила 13 мільйонів разів, у Moonshot — понад 3,4 мільйона. Їхня архітектура “гідри” — мережа з безлічі фейкових акаунтів — і “пул акаунтів” транзитів працюють за аналогічним патерном.

З точки зору технічної архітектури транзити діляться на “чисто трансляційний тип” (миттєво пересилає запити, не зберігає на диск) і “тип з пересиланням із збереженням” (спершу зберігає, потім пересилає). Але навіть якщо послуга називає себе “pure passthrough”, ніхто не може аудитом підтвердити, чи зберігають вони дані в бекенді. Ваш рівень довіри повністю тримається на усній обіцянці анонімного оператора.

Безпекові експерти радять оцінювати транзит у п’яти вимірах: чи реально він робить passthrough на технічному рівні; чи політика логів фіксує лише метадані для білінгу; чи передавання використовує TLS 1.2+; чи API Key повністю ізольовані; чи є механізми реагування на витоки. Але в реальності більшість китайських транзитів не прозорі навіть щодо базової інформації, не кажучи вже про незалежний безпековий аудит.

Втеча, “вибух” сервісу, пінг обмежень і закриття рота: типовий фінал транзитів

У транзитів є ще один фатальний системний ризик — втеча.

Більшість транзитів працюють у режимі попереднього поповнення: спочатку закидаєте гроші, потім списують по факту обсягу. Якщо оператор зникне — ваш баланс повністю зникне, а притягнути до відповідальності буде нікому.

HodlAI — це підручниковий кейс: на початку проєкт щедро пропонував дешеве API, щоб залучити поповнення. Але коли в “держказні” залишилося лише близько 60 тисяч доларів, а денне споживання токенів сягнуло 10000 доларів, вони почали шалено стискати обмеження: ліміт на один запит — 50 000 токенів, а частотні ліміти почали посилюватися шарами. Користувачі сумнівалися в Telegram-спільноті, а у відповідь їх просто вигнали з групи й заблокували акаунт.

Оцінка спільноти влучна: “як у дистриб’юторській/пірамідальній схемі (похожє на търдинг/продаж через рекрутинг)”, “замовкнути простіше, ніж вирішити проблему”, “знайома рецептура — знайомий смак”.

У колі це зводять в одну фразу: “Спочатку дешево зливають трафік, коли група користувачів виростає, верхній постачальник блокує акаунти — і напряму тікають. Втрачають лише користувачі”.

У дев-спільнотах на кшталт Linux.do, V2EX є безліч постів про захист прав із подібними сценаріями. У частини транзитів контрактні умови — надзвичайно тиранічні, у деяких навіть немає жодної інформації про офіційну реєстрацію бізнесу. Ви навіть не знаєте, на кого подавати в суд.

Повний ланцюжок індустрії: від чорних карт до вашого IDE

Зібравши все вище, ви побачите чіткий ланцюг:

Постачання боєприпасів зверху — платформа з “прийомом” (ретрансляцією) номерів для SMS, постачальник чорних карт дає платіжні інструменти, “котячий пул” надає ресурс пристроїв. Середня ланка — інженери з реверсу ламають протоколи, а open-source проєкти на кшталт One API/New API/Sub2API дають готову інфраструктуру; ферми пристроїв масово вирощують акаунти. Нижня ланка — оператори транзитів пакують усе це у “API-сервіс” для продажу; Telegram-групи та e-commerce платформи стають каналами продажу; навіть є люди, які упаковують “побудову транзиту” в курс для підробітку.

А ви — через IDE-інструменти на кшталт Cursor, Claude Code або через власноруч написаний код — є кінцевими споживачами цієї ланцюжкової схеми.

Дані моніторингу від компанії з безпеки Threat Hunter показують: серед 50 продуктів AI Agent, які вони вибірково протестували, в кожному є похідні сервіси з боку криміналу. Ця індустріальна ланцюжкова схема — від купівлі акаунтів у 2022 році, до перепродажу API у 2023, до арбітражу безкоштовних квот у 2024, до зловживання обчислювальною спроможністю Agent у 2025, і аж до 2026 року — уже пройшла повну еволюцію від ручних майстерень до індустріального виробництва.

Останні слова

Історія AI-транзитів за суттю — це повторення давньої комерційної логіки епохи AI: коли ви не знаєте, що саме за продукт, ви самі стаєте продуктом.

Ваші гроші купують фейкову модель, ваші дані годують чиїсь датасети для тренувань, а ваш поповнений баланс може в будь-який момент перетворитися на нуль. Ці три речі — не “може статися”. Вони вже відбуваються.

Кілька практичних порад —

Йдіть офіційним шляхом, якщо можливо. Офіційні API дорогі, але це чітко й чесно видно в ціні. Якщо ваш бізнес має будь-які вимоги до безпеки даних і надійності моделей — транзити не мають бути частиною вашого tech stack.

Принаймні навчіться само-перевірці. Якщо ви користуєтеся транзитом, прогоніть методи з тексту ще раз. Для тієї самої задачі AIME з тим самим кодом складної логіки порівняйте відповіді транзиту та офіційного каналу. Якщо різниця очевидна — ви знаєте, що робити.

Ніколи не передавайте чутливі дані через транзит. Якщо ж без цього не обійтися — хоча б зробіть таке: деперсоналізація/маскування чутливої інформації (de-sensitive), регулярна ротація API Key, і не зберігайте жодних критично важливих даних у акаунтах транзиту.

Подивіться уважніше на вітчизняні моделі. DeepSeek, Qwen, GLM тощо швидко наздоганяють, ціни прозорі й значно нижчі за закордонні моделі, а офіційні API у Китаї можна використовувати у межах комплаєнсу напряму. Замість ризикувати в “сірих зонах” фейкованими зарубіжними моделями краще скористатися цими цілком нормальними вітчизняними альтернативами — принаймні ви хоча б знаєте, що саме налаштовуєте.

Ця індустрія змінюється щодня. Але є одне залізне правило, яке не зміниться: коли ви не розумієте ціну компромісу, вибір найдешевшого часто стає найдорожчим рішенням.