AI中转站已被官方定性 全面取缔

寂静回声

如果你正在用GPT API代理、Claude转发服务、或者本地搭的One-API，那这条新闻和你直接相关。
国家安全部最近发布了一条安全提示，直接点名了AI中转站。
用中转站的人大多知道它便宜、方便、一个Key能调几十个模型。但你可能没想过，你每天发给AI的prompt、写的代码、聊的业务，全都先经过了中转站的服务器。
中转站做的事情本质上就是API转发，把你发的请求转给上游模型厂商，再把回答转回来。
能绕过限制，不用翻墙，不用外币信用卡，国内支付直接充，这是很多中转站最核心的卖点。
方便，一个Key就能调GPT、Claude、Gemini、Llama等几十个模型，不用分别注册、分别付费，对开发者来说确实省事。
便宜，中转站的定价通常是官方的5-7折，有的甚至更低。它们的盈利模式是"批发差价"，用企业额度、批量账号、或者更灰色的渠道拿到大量低价token，然后零售卖给个人用户。

2026年4月，一篇发表在arXiv上的学术论文，给这个行业的安全性泼了一盆冷水。
论文标题是《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》，研究者从淘宝、闲鱼、Shopify等平台购买了28个付费AI中转站的服务，又找到了400个免费路由，做了一次系统性安全审计。
9个中转站被发现主动注入了恶意代码，428个中转站里，有9个在AI回答中嵌入了恶意指令，试图攻击用户的本地环境。不是数据泄露那么简单，而是直接往你的AI对话里"下毒"。
1个中转站直接偷走了以太坊私钥，研究者故意在prompt中放了一个带有ETH余额的测试钱包地址，中转站不仅截获了这个地址，还真的把钱转走了。
17个中转站触碰了研究者部署在AWS的"金丝雀凭证"。，金丝雀凭证是安全研究中的"诱饵"——故意放在代码仓库或对话中的假密钥。一旦有人访问，就说明有人在偷你的数据。17个中转站"咬钩"了，意味着如果你在和AI对话时提到过云服务的Access Key、API密钥，中转站完全有能力截获并利用。
一个泄露的OpenAI密钥被中转站"薅"出了1亿token， 研究者故意泄露一个带有余额的测试Key，中转站发现了之后疯狂调用，生成了1亿个GPT-5.4 token，还开启了7个以上的Codex会话。另一个配置较弱的诱饵Key更夸张，被生成了20亿计费token、99个凭证、440个Codex会话，其中401个已经在自主模式下运行。
更可怕的是，研究者还发现部分中转站部署了自适应触发机制——只有当检测到特定条件时才注入恶意行为，平时表现完全正常，常规安全检测根本抓不到。
把论文数据和国安部的警告结合起来，AI中转站的核心风险可以归纳为四类：
中转站作为中间层，理论上能看到你发给AI的全部内容——代码、文档、商业计划、聊天记录、个人隐私。这些数据经过中转站的服务器，而大多数中转站没有正规的数据加密和管控机制。
更糟的是，有媒体调查显示，部分中转站会把用户数据倒卖给其他AI厂商用于训练。你辛辛苦苦写的prompt，可能变成了别人模型的养料。

你付的是GPT-5的价格，用的可能是GPT-4o-mini。中转站通过"降智"来压缩成本，关闭校验功能，用低配模型冒充高端模型。因为AI的输出本身就有随机性，普通用户很难发现差异，只有在对准确度要求极高的场景（如医疗、法律、金融）才会暴露。

部分中转站在转发请求时，会在prompt中注入额外指令。这些指令可能诱导AI泄露你之前提供的敏感信息，或者引导你访问恶意链接、执行危险操作。论文中发现的自适应触发机制意味着，中转站可以"看人下菜碟"——对普通用户正常服务，对高价值目标（企业用户、开发者）才启动恶意行为。

很多中转站并没有取得数据出境相关的合规资质。你的数据在中转站服务器上过一遍，再转发到海外的OpenAI/Anthropic服务器，中间这道"关卡"没有任何安全评估。根据《数据安全法》和《个人信息保护法》，这条数据流转链路本身就是违规的。

国安部的警告已经很明确，配合4月底启动的"清朗·整治AI应用乱象"专项行动，监管正在收紧。确保你的运营有合法资质、数据有安全保障、上游模型已备案。灰色地带的窗口期不多了。

2026年5月，一个网名叫“西瓜的皮”的开发者在社区发了一篇帖子。
他说自己运营的AI中转站被查了，人被行政拘留了37天，设备全被没收，现在取保候审等着判刑。37天瘦了20多斤，自称生无可恋。
过去三个月，多家民间AI中转站陆续关闭支付渠道、停止国内服务。少数还在运营的，首页最显眼的位置挂着同一行字：不面向中国大陆用户。

乐死，能去外网，再去中转站图什么呢。