中国用户如何突破Claude封锁:四大屏障与灰色中转站的隐秘生意
每年 Anthropic 都会把地理围栏修得密不透风,结果第二年就有人把绕过它的那一整套流程做成产品,挂在淘宝上卖。
4 月 23 日,白宫发布了一份备忘录,警告中国实体正对美国前沿 AI 模型进行“工业级蒸馏攻击”,动用了“数以万计的代理账号”。两个月后,Anthropic 在官方安全报告里补了一句更具体的话:一个代理网络就能管理超过 20,000 个欺诈账号。这两段话读起来像是对同一个剧本的不同机位,一个讲需求侧,一个讲供给侧。真正的原因,是市场底层更顽固的结构。
那是一个公开运转的灰色经济体,活跃在 GitHub、淘宝、Telegram,甚至 X 的公开帖子上。被卷入其中的远不止备忘录点名的那几家实验室,而是把 Claude 当成日常工具的人:大学教授、研究生、跑自动化流程的工程师,还有在淘宝帮人代下单的外贸卖家。门槛早已不是“能不能用”,而是“能不能便宜地用”。
01
Anthropic 设下了四道门
在所有主流 AI 服务商里,这家公司对中国用户的防范可能是最用力的。
第一道门是账号注册。要拿到一个 Claude 账号,海外手机号、海外信用卡、账单地址三件套缺一不可。9 月 5 日,Anthropic 又补了一刀:只要是由总部在受限地区(包括中国大陆)直接或间接持股超过 50% 的实体,其 API 账号无论在何处注册,一律作废。这一条直接堵死了“离岸壳公司”的出口。
更狠的一刀在 4 月落地:限量触发身份核验。用户必须上传政府签发的带照片证件,同时完成一次实时自拍比对。这是 Claude 第一个把活体人脸比对拉到这个级别的消费级 AI 服务。对普通中国人来说,这几乎等同于“你再用下去,就得把自己实名制搭进去”。
四道门,每一道都在抬高真实成本。但真实成本本身,就是一门生意。
02
中转站:把这门生意做成闭环
中转站,也常被叫做 API proxy,是开发者为 Claude 辗转找到的一条新路径。它的结构并不复杂,却足够有效:你把自己原本要发给 Anthropic 的请求,改发到第三方服务器上,那台服务器替你完成与 Anthropic 的所有对接,再把结果原路返回。你不需要翻墙、不需要海外信用卡、不需要提供任何真实身份,只需要用微信或支付宝把钱打给中转站的运营者。
这不是一个浪漫的叙事。GitHub 上有人把它做成开源工具,并煞有介事地强调合规和审计;更多的人把它做成淘宝店铺、Telegram 机器人或者微信群里的接龙。还有人把中转站平台本身再包一层,变成二级分销。
低价背后的真实驱动力,是一张多层供应链:上游批量注册账号、兜售虚拟手机号、测试最新 KYC 绕过方案的人,从没见过来自中国的下游用户;中游的中转站运营者负责维持服务可用,并轮换账号池;最下面则是买 token 跑任务的工程师、跑在笔记本里的创业 demo。几乎没有人同时握通链条上的三段,而这恰恰是它的韧性所在。
03
模型正在被静悄悄地替换
一篇来自德国 CISPA 的论文,让“便宜 Claude”第一次有了可被核查的证据。研究者审计了 17 个 API 代理,结果触目惊心:你付的或许是 Opus 4.7 的价格,拿到的却可能是质量低得多的小模型;你自认为跑的是“Gemini-2.5”,在一个医疗基准测试中,官方接口的正确率是 83.82%,在代理侧只剩下 37%。
这就是“一鱼三吃”里最隐蔽的第二口:用更便宜、更小的模型替换掉你选的模型,再把输出名字伪装成你要的那一个。复杂任务上的降级是最难被立刻察觉的——只有跑到 deep research、长链路推理、大代码生成时,你才会隐约觉得“今天的 Claude 变笨了”。你无法投诉。你无法证明。服务器的 IP 在东南亚或美洲的某个角落,而你的请求看起来和任何正常请求没有差别。
另一件事更隐蔽。为了让 token 显得更便宜,某些代理会故意注入冗余上下文,让每一次请求消耗更多 token。这不是 bug,是价目表上的策略。你看得见每美元 token 数的折扣,不等于你能花同样的钱拿到同样的输出。
图:接近真实使用场景的抽象表达,图源 Unsplash 可商用授权。
04
这不是一个国家的故事
今年 4 月,人口还不如纽约市区的新加坡,事实上扛下了 Anthropic 全球人均 token 消费量最高的位置。开发者在 X 上开着玩笑:“我们都是新加坡人”“每天给自己换一次国籍”。玩笑底下是再真实不过的路线图。
中国本土的研究者和创业者对这层“边境鸡毛蒜皮”有着自己的理解:一个国家明明不阻止你用 AI,它只是不阻止你用廉价的渠道。而这条渠道把中国 IP、美元订阅、新加坡节点和泰国池房连成了一根线。这套系统让中国开发者以官方 10% 的价格拿到服务,同时也把每一次输入的提示词、每一段输出的文本、每一次工具调用都留给了不知名的第三方数据池。
这层代价不是钱,而是你的工程上下文、你的产品调试日志、你在代码里写的提示词和 reasoning chain——它们全部变成了别人的蒸馏数据集。
历史反复告诉我们,访问封锁很少能阻止坚定的用户。 真正在变化的,是谁站在中间、赚什么钱,以及最后这套系统会向哪个方向演化。
