Um serviço proxy do mercado cinza na China revende o acesso aos modelos de IA da Claude para a Anthropic por um décimo do preço oficial, lucrando com credenciais roubadas, substituição de modelos e revenda de solicitações e respostas de usuários, de acordo com um estudo da pesquisadora Zilan Qian, do Oxford China Policy Lab.
Fonte da imagem: anthropic.com
Essas redes de proxy, que os desenvolvedores chineses chamam de “estações intermediárias”, operam abertamente por meio do GitHub, Taobao e Telegram. As descobertas de Qian confirmam alertas recentes da Casa Branca e da Anthropic. No final de abril, o governo dos EUA acusou entidades chinesas de destilação em “escala industrial” — treinando seus próprios modelos de IA com base nas respostas do Claude Max — por meio de dezenas de milhares de contas de proxy, enquanto a Anthropic identificou aproximadamente 24.000 contas vinculadas às startups de IA DeepSeek, Moonshot AI e MiniMax em fevereiro.
Qian descreveu um sistema no qual cada participante é responsável por uma ou duas conexões. Provedores de contas de alto nível criam contas em massa para obter créditos gratuitos de US$ 5 na Anthropic, revendem créditos não utilizados de outras contas, aproveitam descontos corporativos e educacionais ou dividem assinaturas de US$ 200 do Claude Max entre dezenas de usuários por meio de limites de tokens por hora. Algumas contas pagas com cartões bancários roubados acabam no pool praticamente de graça. Para contornar a verificação de identidade, intermediários viajam para países africanos e latino-americanos e contratam pessoas para se submeterem à verificação presencial. Um precedente documentado foi o mercado negro biométrico Worldcoin, onde escaneamentos de íris coletados de residentes do Camboja e do Quênia eram vendidos por menos de US$ 30.
Um risco à parte está associado à substituição de modelos de IA. Pesquisadores alemães do Centro Helmholtz para Segurança da Informação da CISPA examinaram 17 desses serviços de proxy e descobriram que o modelo de IA declarado frequentemente não corresponde ao modelo real. Access, comercializado como “Gemini-2.O modelo de 5 polegadas obteve 37% no teste médico, enquanto o API oficial indicou quase 84%.Segundo Qian, em vez do serviço Claude Opus que haviam contratado, os usuários poderiam receber respostas de sistemas de IA mais baratos, como Sonnet, Haiku ou sistemas chineses.
Os operadores de proxy também registram todas as solicitações e respostas que passam por seus servidores. Vários desenvolvedores chineses disseram a Qian que o preço premium do acesso é essencialmente um meio de atrair clientes, enquanto o verdadeiro modelo de negócios se baseia na coleta de dados. A Hugging Face já publicou conjuntos de dados contendo raciocínio Claude Opus 4.6 de origem desconhecida. Esses dados são especialmente valiosos para a destilação de dados, pois as respostas de raciocínio podem ser coletadas sistematicamente e usadas para treinar modelos concorrentes. Os servidores proxy fornecem o mesmo fluxo de dados com menos esforço: os usuários pagantes criam o material de treinamento por conta própria.
No entanto, a ameaça não se limita ao treinamento de modelos. Os desenvolvedores frequentemente compartilham fragmentos de código proprietário, estrutura de API e lógica de autenticação com agentes de IA. Se esse tráfego passar por um proxy não confiável, a empresa estará efetivamente enviando dados internos para um servidor de terceiros sem a obrigação de processá-los. Um risco semelhante surgiu na Samsung em 2023, quando seus engenheiros enviaram o código-fonte para o ChatGPT, expondo assim dados sensíveis de fabricação de semicondutores aos servidores da OpenAI.
A Anthropic bloqueou o acesso ao Claude para entidades controladas pela China em setembro e, posteriormente, reforçou a verificação de usuários. No entanto, a pesquisa de Qian mostra que cada nova medida criou um mercado separado para burlar o sistema, em vez de impedir o acesso não autorizado.