川普、孙宇晨都来当 AI 黄牛了，这门暴利生意的水有多深？

十六世纪，欧洲商船在大西洋上画出了一个三角形的航线。

欧洲的布匹和枪炮流向非洲，换来人口；人口被运往美洲的种植园，换来棉花和糖；棉花和糖再运回欧洲，完成一次稳赚不赔的循环。

这套臭名昭著的交换体系，后来被历史教科书称「三角贸易」。谁能想到，五个世纪后，一条结构惊人相似的贸易链，正在互联网上悄然成形。

在这条新航线上，全球南方的普通人提供身份信息，美国的 AI 实验室提供顶尖模型，中国开发者和企业提供需求，而其中一些连接这三者、从中赚取差价的中间层，被称为「AI 中转站」。

这门生意的起点，源于两大难以跨越的限制。

OpenAI 自 2024 年 6 月起明确封禁中国大陆 IP，Anthropic 的服务条款同样禁止向不支持地区销售。支付是另一道门槛，主流海外模型厂商要求绑定 Visa 或 Mastercard，并通过严格的账单地址核验，多数开发者被直接拒之门外。

「AI 中转站」正是在这两大限制的夹缝中生长出来的。他们用海外服务器充当跳板，用人民币支付替代外币信用卡，把顶尖算力以「代购」的方式转交给受限地区的用户。

这门原本藏在灰色地带里的生意，如今却吸引了一批名人高调入场。

猎豹移动 CEO 傅盛推出了 Easy Router，打出权限模型八五折、DeepSeek-V4 定价低至官方四分之一的招牌。币圈大佬创始人孙宇晨、懂王的家族企业也纷纷下场，可见这里面的水有多深、油水有多大。

今天，咱们就来聊聊，这门含泪血赚的暴利生意，背后到底有哪些套路？

只要胆子大，AI 中转站也有自己的华强北

从技术上说，AI 中转站就是一个架在用户和大模型服务商之间的反向代理服务器。

用户把请求发给中转站，中转站再转发给 OpenAI 或 Anthropic 等模型厂商，取回结果后再交给用户。按形态和受众区分，当前市场上的中转站大致分三种类型：

第一种是面向普通用户的「网页镜像站」，直接套一个网页界面，用户登录即用。门槛最低，但也最不透明，你完全不知道请求最终流向了哪里。

第二种是面向开发者的「API 聚合分发平台」，核心是把多家模型的异构接口统一转换为标准格式，按 Token（词元）计费向下游转售。

第三种是面向大型机构的「企业级 AI 网关」，提供智能路由、全链路审计、数据脱敏和权限管控，代表产品有 Portkey，算是这个生态里相对规范的一层。

三种形态的技术底层有着共同的逻辑。以开源项目 One API 为例，它的 GitHub 星标超过 3 万，被大量商业平台直接拿来二次开发，是许多中转站市场事实上的底层基础设施。

🔗 https://github.com/songquanpeng/one-api

它的运作分三个核心模块：

协议标准化：各家大模型的 API 格式大相径庭，中转站会在网络应用层深度解包用户请求，提取核心元素，重新打包成目标模型要求的格式发送，并实时透传流式输出的数据块，保证「打字机」效果不中断。

Token 计费拦截：中转站在转发过程中截取返回数据包，统计实际消耗，再乘以自定义的「模型倍率」向用户收费。这套系统允许站长对不同模型设定差异化溢价，是商业变现的核心。

多账号轮询池：单个官方账号有严格的频率限制，中转站通过维护大量底层 API Key，用轮询算法分发流量。某个账号被封或耗尽时，系统自动无缝切换到下一个。

技术门槛的持续下降，直接导致了市场上涌现了海量玩家。而中转站能提供低价，背后也有着一套成本更低的算力获取方式。

上游资源方通过利用云厂商新用户免费额度、滥用教育邮箱获取折扣、在电商平台批量倒卖企业账号权益来压低成本。更灰色的手段则包括批量注册虚假账号、盗刷跨国信用卡甚至窃取他人的 API Key。

最近随着 Anthropic 引入 KYC 强制实名认证，这条供给链又延伸出了新的分支。

中间商前往尼日利亚、肯尼亚、柬埔寨等地，以几美元的报酬招募当地人配合拍照，批量采集人脸和证件信息，再以数十倍的价格转售给国内开发者。

这与此前在非洲采集虹膜数据的黑市逻辑如出一辙，将生物特征数据商品化的链条直接平移到了 AI 时代。不少业内研究者都曾警告，今天被收割的面部信息，明天就可能被用于开设欺诈性金融账户，危害深远。

花买玛莎拉蒂的钱，骑赛博共享单车

如果真能做到「一手交钱，一手交货」，这门代购生意倒也算得上公道。但现实是，AI 中转站提供的服务往往货不对版，甚至可以简单理解为「掺水」的货。

2026 年 3 月，CISPA 信息安全研究中心发表了学界首次针对中转站系统性安全审计的论文《Real Money, Fake Models: Deceptive Model Claims in Shadow APIs》。

🔗 https://arxiv.org/abs/2603.01919

研究者追踪了 17 个曾被 187 篇正式学术论文引用的中转站服务，进行了全面测试。结论触目惊心：45.83% 的节点通不过模型身份验证，说明其后台运行的并非宣称的模型。

在医学问答测试中，Gemini-2.5-flash 通过官方 API 的正确率为 83.82%，而通过影子 API（Shadow API）则跌至约 37%。在法律推理测试中，所有被测中转站都比官方 API 落后 40 个百分点以上。

AIME 2025

具体来说，这种「狸猫换太子」的方式分两种：

一是按官方原价收费，后台实际运行低成本开源模型（例如打着 GPT-5 的幌子，实则偷偷替换为掺水的 Llama）；二是

趁模型迭代换代，悄悄把后台切到更便宜的版本，价格却不降反升。

图片出自论文，由 AI 生成

价格和质量在 AI 中转站的黑市里完全是随机分布的盲盒。论文的结论也显示，价格比率对准确率下降完全没有预测力，选贵的中转站并不能保护你免受模型替换的损失。

除了模型造假，账单同样存在猫腻。

2026 年 ACM 互联网测量大会上的论文《Behavioral Consistency and Transparency Analysis on Large Language Model API Gateways》对真实商业网关进行测评，发现有网关实际收费比预期计算高出 62.8%，但其上报的用量数据与其他平台并无异常，用户根本感知不到多出的钱去了哪里。

LLM API 网关架构概览，以及主要的透明度与一致性挑战。

此外，部分网关还会进行隐蔽的「上下文截断」。为了节省成本，它们在历史消息超过隐性阈值后，悄悄丢掉早期内容。

测试人员设计了一段 25 轮对话，模型在某些网关上到第 24 轮时已经无法复述第 10 轮设定的信息。这意味着依赖长文档分析或多轮对话的应用，可能长期运行在降级状态。

简而言之，你用的 AI 中转站，很有可能就是花着最贵的钱，用着最蠢的模型，忍受它随时变成拥有七秒记忆的金鱼，最后用来干着最复杂的工作。

你拿 AI 写代码，AI 给你种木马

讲真，花冤枉钱买个「智障」模型顶多算是破财免灾，更需要注意的是，这些 AI 中转站很有可能会盯上你的隐私数据。

用户以为交给中转站的只是一段请求，实际上交出去的是完整的双向通信记录。

AI 中转站作为中间人，对每一条提示词和每一段模型返回都拥有读写权限。灰色平台可能把这些数据打包卖给 AI 训练公司或数据经纪商，赚取不菲的利润。这就导致你既是客户，也是产品本身。

更危险的是，数据经过的中间节点往往不止一个。

中转站的路由常常多层嵌套：你从电商平台买的 API 访问权限，背后的卖家可能从另一个聚合平台采购，整个链路可能经过四个以上的独立节点。木桶短板理论诚不我欺，链条的安全性取决于最弱的那一环，一旦任何节点被攻破，上游的数据截留或篡改就已完成。

在《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》这篇论文中，研究者在沙盒中测试 428 个中转站后发现：9 个正在向用户注入恶意代码，17 个触发了 AWS 测试密钥的盗用，甚至有 1 个直接抽走了研究者部署的私钥钱包资金。

多跳路由的链条越长，中间任何一个节点出问题，污染就会沿链传播，而终端的 Agent 很难判断响应是否经过篡改。论文🔗 https://arxiv.org/abs/2604.08407

一个被故意泄露的 OpenAI 密钥迅速被中转站复用，产生了逾 1 亿 Token 流量。

今年 3 月发生的 LiteLLM 事件更是暴露了攻击规模。黑客通过依赖包漏洞潜入这个主流开源框架，波及超过 4.6 万个开发环境。此外，更有高级黑客将木马控制指令（C2）伪装成正常的 AI 对话提示词发给中转站，借助合法通道绕过传统防火墙。

一个恶意 Router 坐在 Agent 和模型之间，既偷看请求与响应里的敏感信息，又在返回给 Agent 之前往响应里注入恶意内容。

当 AI 从聊天工具进化为能自主执行代码的智能体（Agent），风险又多了一个维度。

恶意中转站能在 shell 命令抵达执行层前，把安装包替换成同名恶意包。甚至还有「条件投递」变种：前 50 次请求正常，第 51 次才激活注入。对于自动执行模式的 Agent 来说，最基础的载荷注入就已足够致命。

值得一提的是，中转站的破坏范围不止于直接用户。《Real Money, Fake Models》论文统计显示，187 篇引用影子 API 的论文中，62% 发表在 ACL、CVPR 等顶级学术会议上。

这些使用假模型进行的评测或漏洞分析，导致了严重的学术信任危机。若其中 30% 需要重新执行，总损失就在 11.5 万到 14 万美元之间，近 6000 篇后续研究的有效性也随之存疑。

这门靠「信息差套利」维持的生意，终将走向不可持续的终点。

一方面，境外未备案模型向境内提供服务触碰了《生成式人工智能服务管理暂行办法》，给站长带来了极大的非法经营风险；企业用户一旦因此发生敏感数据泄露，也将面临严厉的法律制裁与行政处罚。

另一方面，随着国产大模型的能力呈现井喷式爆发，不仅在各项榜单上开始追平甚至反超海外巨头，更是在价格上掀起了腥风血雨——API 接口的价格被硬生生打到了海外厂商的几十分之一，甚至直接开启了「免费时代」。

当拧开水龙头就能喝到干净便宜的水，那些在暗巷里倒卖高价水还要掺假下毒的营生，自然也就迎来了他们的谢幕。存活下来的黑心平台，未来也只会进入「大逃杀」模式：要么更加疯狂地掺水、偷数据来维持暴利；要么趁着资金链还没断裂，拔网线关服提桶跑路。

十六世纪的三角贸易靠的是信息不对称和地理隔绝，最终因贸易透明化和监管而终结。AI 中转站赖以生存的同样是地区封锁和不对称信息。不同的是，这一次，被贩卖的不只是模型算力，还有身份、隐私、信任，以及无法预估的后果。

文章来自于微信公众号 "APPSO"，作者 "APPSO"