Zilan Qianはオックスフォード・チャイナ・ポリシー・ラボのリサーチ・アソシエイト（研究）で、オックスフォード大学でインターネットの社会科学に関する修士号を取得しています。

2026年4月23日、ホワイトハウスは 中国の団体が、アメリカのフロンティアAIモデルに対して「産業規模」の蒸留（ディスティレーション）キャンペーンを実行しており、「数万件のプロキシ（代理）アカウント」を活用して検知を回避していると警告する覚書を 公表しました。2026年2月、Anthropicも同様に、中国の研究所が「単一のプロキシ・ネットワークが2万件以上の不正なアカウントを管理していた」ことを用いた、協調的な蒸留攻撃について 報告 しています。いずれのケースでも、「プロキシ」—モデルの利用者とモデル提供者の間に立つ仲介者—は、米国のAIモデルを体系的に抽出するための、特定の中国のフロンティア・ラボによる意図的な設計だと見なされています。

中国の研究所が 追いつくために 蒸留を「頼りにしているかどうか」にかかわらず、これら2つの文書は、そこに描写されているプロキシ経済を読み誤っています。その背後には、少数の研究所ではなく、はるかに大きな市場が存在し、それはGitHub、Taobao、Twitter、Telegram上で公然と稼働してきました。APIプロキシのグレーな経済圏（一般に「転送ステーション（中转站）」と呼ばれます）により、中国の開発者は公式価格のせいぜい10%という低さでAnthropicのモデルにアクセスできます。参加者は、限られた経験豊富なAI研究者だけにとどまらず、「追いつくためのフロンティア・モデルを作る」こと以上に、動機はずっと広範です。大学の教授や学生、テックの現場で働く人、個人開発者、趣味の人など、より高度なAIモデルやツールを使いたいと考える人は誰でも、APIプロキシを利用します。1 彼らが生成するログは、モデル学習から特定の詐欺まで、目的の幅広さのために取引される“商品”になっているかもしれません。

一方で、フロンティアの米国AI企業が追加してきたあらゆる統制の層（ジオブロッキング、電話による本人確認、クレジットカードの要件、そして現在ではライブの生体認証KYCチェック）は、それに対応する回避インフラの層を生み出してきました。こうした新しいSMSファームや生体情報の収集作業は、地政学の範囲を超えて、フロンティアAIの安全性フレームワークがどのように設計されるかにまで影響を及ぼします。

中国で禁止された米国のモデルにアクセスすることについての私の2025 ChinaTalk記事を土台にしつつ、この更新では特に「中継拠点（トランスファーステーション）」の経済圏に焦点を当てます。すなわち、その仕組み、収益化の方法、そしてAIガバナンスのツールとしてのアクセス遮断やアカウント監視の限界が何を示しているのか、という点です。とはいえ、2026年の物語は、2025年のグレーマーケットのように、中国のユーザーと米国のAIモデル提供者の国境の向こう側で終わりません。中継拠点の経済圏は、米中の対立の範囲を超えて広がる害を防ぐために設計されたAI安全性の枠組みにおける死角を露呈します。悪意ある行為者による悪用から、提供者のトレーサビリティ（追跡可能性）の侵食まで、その盲点がある一方で、犯罪市場に資金と機会を供給し、サプライチェーンに巻き込まれる—すでに不利を被りがちな—一般の人々を搾取します。

中継拠点がどのように機能するのかを説明するために、最も厳格な地理ブロック（ジオ・ブロッキング）機構を備えた企業であり、また中国の開発者の間で非常に人気があるAnthropicを例に取りましょう。

地理ブロック（Geo-blocking）と本人確認（KYC）

Anthropicが対応している国の地図では、中国が目立つほど欠けており、また中国のインターネット上でも、（技術的には）Anthropicが見当たりません。しかし現実には、Anthropicのブロックも「巨大なファイアウォール（グレート・ファイアウォール）」も、中国のユーザーがClaudeやClaude Codeにアクセスすることを止められていません。Claudeモデルは、2025年以降の、プラットフォームや政府によるとされる検閲にもかかわらず、TaobaoのようなECアプリ上で繁栄してきました。また、ニューヨーク市の人口よりも少ないシンガポールでさえ、「驚くべきことに」2026年4月時点で、AnthropicのClaudeの1人当たりの世界的な利用がシンガポールがリードしています。

中国政府は今日において、先進的な米国のモデルに対する中国人開発者のアクセスを取り締まることに、特に意欲的ではありません。一方、Anthropicはそれに真剣に取り組んでおり、中国本土のユーザーをブロックするための複数の仕組みを用意しています。最も基本的なところでは、アカウント登録には電話番号、海外のクレジットカード、そして一致する請求先住所が必要です。2025年9月5日、Anthropicはさらに 支持されていない地域（中国のような国）を拠点とする企業が、直接または間接に50%以上所有しているあらゆる事業体からのアクセスを禁止しました。これは、その事業体がどこで運営しているかにかかわらず適用されます。これにより、海外の国にある中国系の企業がAPIアクセスを維持できていた、子会社の抜け道が塞がれました。

最新の措置は2026年4月に入ってきました。Anthropicは 対象となるユーザーに対し、政府発行の写真付き身分証とライブの自撮り（セルフィー）を使って本人確認を行うことを求め始めました。これにより、Claudeは本人確認のこのレベルのチェックを実装した最初の主要な消費者向けAIプラットフォームとなりました。導入は選択的で、特定のユースケースやプラットフォームの信頼性（インテグリティ）に関するフラグに応じてトリガーされます。VPNやその他の仲介経由でClaudeにアクセスする中国ユーザーにとっては、新しいKYCポリシーによりClaudeへのアクセスがかなり難しくなるはずです。たとえ中国のユーザーが電話番号や住所を偽装できたとしても、理論上は、物理的な政府の書類に照合されるライブの自撮りを偽装するのが難しくなるからです。

しかし現実には、中国の人々はClaudeや関連ツールにアクセスできるだけでなく、ほとんどの場合、元の価格の10%でトークンを購入できています。そのカラクリは「転送（中継）ステーション（transfer stations）」にあります。

「転送ステーション（中転站）」とは何ですか？

中转站（転送所）とは、中国の開発者エコシステムが「APIプロキシ」と呼ぶものです。開発者とAnthropicのインフラの間に入る、海外サーバーを指します。APIリクエストを受け付け、転送所の所在地から発信されたかのように転送し、そのレスポンスを返します。2ユーザーはソフトウェアをAnthropicではなく、プロキシのサーバーに向け直し、APIプロキシに対してWeChatまたはAlipayで人民元を支払います。3これにより、VPNと、直接アクセスに必要な海外クレジットカードの両方を回避できます。有名な転送所は コミュニティのリポジトリに一覧化され、 リアルタイムの価格と稼働率によってランク付けされています。その下には、小規模で個別のプロジェクトによる長い裾野があり、来ては消えていきます。

この仕組みは、OpenRouterのような正規の欧米APIアグリゲーターと機能的には同一に見えますが、転送所は合法性と信頼に関するまったく別世界で運用されています。正規のアグリゲーターは、開発者のワークフローを簡素化するために存在し、透明な企業間合意に基づく標準的な料金を請求します。一方で転送所は、回避のために明確に作られており、データを説明責任のない仲介者を経由させます。

VPNサービスを提供するのと同じように、あるいはTaobaoでClaudeを売るのと同じように、転送所は技術的には中国では許可されていません。 AIサービスレジストリに関する中国の規制によれば、届け出とセキュリティ評価なしに提供されるAIサービスは違法です。しかし、小さな事業者の中には、処罰なしにAI登録を飛ばせる場合があるのと同様に、転送所の多くも同様です。ただし、事業が大きくなるほど、運営はより危険になります。

転送所のサプライチェーン

転送所は単独の存在ではありません。層状になったサプライチェーンの中間に位置しており、参加者のほとんどは互いに直接やり取りすることはありません。

上流にはリソース提供者がいます。大量に登録する、あるいはスケールを効かせてAnthropicアカウントを取得するアカウント・マーチャント。登録審査を通過するために必要な海外の電話番号を提供するSMS認証プラットフォーム。そして技術面では、Anthropicのクライアントコードを解析して、認証の近道を見つけたり、検知ロジックが変更されたときを検出したりするリバースエンジニアです。カード・マーチャントやプロキシ・ネットワークを含む決済インフラもまた、中国国内から海外請求を可能にしています。

上流は、さらに洗練されたKYC（本人確認）体制にも対応します。AIまたは人間のいずれかによってです。AIサービス は、主要なプラットフォームで本人確認を突破できるほど非常に現実的な偽IDを生成する能力を示しており、ディープフェイクのツールは今や 犯罪者が、生体認証を遠隔で突破できるデジタルクローンを作り出すことを可能にしています。 防御側がAIによる人間の偽装をうまく検知できたとしても、より労働集約的な手法が別にあります。エージェントは、アフリカまたは中南米の低所得国に出向き、対面での本人確認を完了する意志のある実在の個人を募集します。4ワールドコインの闇市場 は、カンボジアとケニアのKYCマーチャントから収穫された虹彩スキャンが、30ドル未満で売られていたという、文書化された先例を提示しています。

中央に位置するのが、転送ステーションそのものです。ユーザーのリクエストを受け取り、それらが正当なアカウントから発信されたかのようにAnthropicへ転送するソフトウェアのインターフェース、支払い連携（通常はAlipayまたはWeChat）、そして、地味ながら稼働を支える運用層――フラグが立つ前にアカウントを入れ替え、プール内で負荷を分散し、Anthropicの不正検知アップデートに継続的に適応すること――で構成されています。

その下流には顧客がいます。CodexまたはClaude Codeを使う個人の開発者、内部のワークフローをプロキシ経由でルーティングする企業、APIを自社製品に埋め込むアプリビルダー、そして、卸売でアクセスを購入してTaobao上で個々の顧客向けに再パッケージする二次リセラー――これについては昨年記録したとおりです。

完全なチェーンを運営している人はほとんどいません。ほとんどの参加者は1つか2つのリンクを所有し、それらをうまく収益化するため、結果としてレジリエント（頑健）でモジュール化されたシステムになります。AIモデル提供者は個々のオペレーターを停止させられますが、上流のアカウント・プールと下流の顧客基盤はそのまま残ります。Claudeへのアクセスを求める開発者がいて、さらに資格情報を供給することを厭わない（身元のブラックマーケットが存在する限り）――これらはいずれも持続可能な特徴なので――代替は迅速に立ち上げられます。

一魚三吃（One Fish, Three Meals）：トークンを安くする方法

しかし最も興味深いのは、中国でClaudeやClaude Codeにアクセスする方法ではなく、とてつもなく安い価格で入手する方法です。通常は「トークン$1あたり1元（RMB）」程度の値付けで、公式価格の70〜90%も下回っています。 公開 議論によれば、これを可能にしている少なくとも3つの方法があり、しばしば「一魚三吃（1匹の魚を3度おいしく食べる）」と表現されます。

食事1：アクセスに対する上乗せ（マークアップ）。これは、上流のリソース提供者が、少なくとも5つの比較的「無害」な手口を用いてプロキシを積み重ねられるために可能になります。

• 大量にAPIアカウントを登録して、アンソロピックの$5無料クレジットをせっせと獲得する

• 他人のアカウントから余った割当（クォータ）を転売する

• 企業/教育向け割引の裁定取引

• 「APImaxxing」— 1つの$200のMaxプランを、トークン/時間のクォータを使って複数ユーザーに切り分ける。アンソロピックのサブスクの固定価格と、同等の従量課金APIアクセスのはるかに高いコストのギャップを突く。

これらに加えて、より暗い上流インプットがあります。 盗まれた、または不正なクレジットカードで購入されたアカウントで、事実上オペレーター側のコストがゼロに近い状態でプロキシプールに投入され得ます。上記の4つの「無害」な手口に比べて、この割合がどれほどのものかは検証しづらいものの、2つの市場は何らかのインフラや人員を共有している可能性があります。

食事2：モデルの入れ替えとトークンの水増し。ユーザーの入力とモデル出力はプロキシ経由で仲介されるため、ユーザーは自分のリクエストが実際にどのモデルにルーティングされたか検証できません。ユーザーはOpus 4.7を選択したつもりでも、プロキシはこっそりSonnetやHaikuにルーティングしたり、最悪の場合はGLMやQwenに振り替えたりして、出力を不正に付け替えます。 最近の論文（ドイツのCISPA Helmholtz Center for Information Securityによる。昨年私が グレー市場について書いた記事を引用しています！）では、研究者らが17のAPIプロキシを監査したところ、広範なモデルの入れ替えが見つかったと報告されています。「Gemini-2.5」へのAPIプロキシアクセスは医療ベンチマークでわずか37.00%しか達成できず、公式APIの83.82%という性能から見て驚くべき大幅な低下でした。ユーザー側では、複雑なタスクでのみその兆候が分かります。出力が何かおかしい（しばしば「降智」、つまり“頭の働きを鈍らせた/馬鹿にしたような”と呼ばれます）と感じることがある一方で、それをきれいに証明する方法はありません。 多数の 公開 記録は、特定のAPIプロキシがモデル性能を明らかに損なっている可能性について懸念を示しています。これらのプロキシは、劣るランクのモデルに高性能のフロンティアモデルを差し替えることでサービスを「掺水（薄める）」しているのではないかと疑われています。

モデルの入れ替えに加えて、トークンの過剰消費もトークン単価を安くしますが、その代わり総コストを押し上げることになります。その一部は 構造的です。アカウントを頻繁にローテーションするプロキシは、副作用としてキャッシュの継続性を壊し、ユーザーにとって本来ほぼ無料になり得る文脈（コンテキスト）に対しても、フル価格のトークンを燃やさせることになります。一部は意図的かもしれません。プロキシ提供者がより多くの利用を搾り取ろうとするためです。この2つの違いは外から見分けにくいのです。

食事3：ログが商品である。これはおそらく最も重要な部分で、データのプライバシーと蒸留（distillation）に交差するからです。プロキシを通過するあらゆるリクエスト—完全なプロンプト、完全なレスポンス、ツール呼び出し、反復—はすべてプロキシ運営者のサーバ上に存在します。AIコーディングエージェントの場合、これらのログには長い推論チェーン、実際のエンジニアリング上の判断、リポジトリ文脈、そして人によって検証された正しい出力が含まれます。つまり、事後学習（post-training）にとって理想的なデータセットになります。実際のエンジニアリングタスクに対する教師あり微調整（supervised fine-tuning）に使えるだけでなく、完全な推論の痕跡が記録されている場合は、Claudeの推論パターンをより小さなモデルに蒸留（distill）するためにも使えます。中国の開発者コミュニティでは、これが 少なくとも 一部の ケースで起きていると主張していますが、プロキシ運営者が体系的にそれらのログを収集・販売しているのか、誰に対してなのかは未検証です。しかし、下流の蒸留データはオープンなWeb上にも存在します。 いくつかの データセットでは、Claude Opus 4.6の推論出力がHuggingFace上で流通していますが、出力の明確な出所は示されていません。理論上は、中国の他のモデル開発者に向けて、同様にクリーンアップして蒸留したデータセットを販売することも可能です。

最初の2つの食事は、アンソロピックが公式に請求する価格よりも安いトークンを提供するのに役立ちますが、価格をさらに常識外れに—元の価格の10%や、場合によっては5%まで—本当に極端に下げるには、3つ目の食事を食べる必要があります。中国のことわざにあるように、世界に無料の昼食はありません（天下没有免费的午餐）。 いくつかの 中国の 開発者は、マークアップのビジネスは単なる顧客獲得にすぎず、ログの収集が実際の利益率だと明らかにしています。ユーザーは同時に顧客であり、無償のデータ生産者でもあります。つまり、低価格の代わりに自分たちのプライベートデータをプロキシ運営者へ売っているのです。さらに一部では、 警告として、プロキシ経由で漏えいしたユーザーデータに基づく宣伝（プロモーション）、詐欺、さらには恐喝の可能性も指摘されています。プライバシーのリスクを避けるために、中国の一部の開発者は自分たちでClaude CodeのAPIプロキシを構築し、さらに オープンソース化してガイドラインを公開しました。

顧客のことを知る（Know-Your-Customer）では知り得ないこと

AIの利用は、チャットボットから「ツールとして使う」方向へ徐々に移行しています。エージェントとトークン経済の台頭により、米国モデルを使うかどうかは、単にアクセスできるかという問題ではなく、費用対効果の観点へと広がってきました。理由は単純で、中国のAIエコシステムは、最先端の研究所であろうと大学の研究グループであろうと個人の開発者であろうと趣味の開発者であろうと、とにかく資本が乏しいからです。一方で、転送ステーションを通じてユーザーが生成したデータは、下流の市場に確実に流れ込みます。モデルの学習、データブローカー、あるいは詐欺に多様に用いられるのです。その経済の一部として蒸留があるとすれば、この問題は、米国の政府やAI企業が想定しがちな、ほんの一握りの最先端のプレイヤーを超えてはるかに広がります。

歴史が教えるところによれば、アクセスが遮断されても、決意ある利用者を止めることはめったにありません。アクセスのコストが上がるだけで、結果としてそれを下げられる専門知識を持つ誰にとっても儲かる市場が生まれます。中国では「グレート・ファイアウォール」によってVPNサービスが繁盛する下請け産業になりました。KYC（本人確認）要件は、国内の身分証カードの転売業者から、東南アジアやアフリカでの生体情報の収奪（バイオメトリクス・ハーベスティング）まで、身元を偽るための経済圏を生み出しました。最先端のAI企業による層状の統制――ジオブロッキング、電話の本人確認、クレジットカード要件、そして今はライブの生体認証チェック――は、同じ効果を生んでいます。

しかし物語は、「アンソピック／米国対中国」という枠組みを超えています。これは、地政学的な境界にとどまらず、アクセス制御に関する居心地の悪い真実を指し示しています。ジオブロックされた開発者が制御を回避する方法は、構造的に、テロリストが最先端のAIモデルにアクセスして追跡されないまま破壊的な生物兵器を作るために用いるであろう手法と同じです。アクセス問題は、固有の地政学的な配慮であると同時に、共有される安全保障上の懸念でもあります。

今日、AI 安全性 研究では、システム全体のアクセス制御――特に、一般に公開されたクローズド・ウェイト（閉じた重み）のモデルに対する、検知・監視・アカウント停止――を重要なセーフガードとして扱っています。監視の場面では、開発者が推論（推論＝inference）のインフラを管理し、有害な入力や出力をリアルタイムでフラグ付けできるようにします。たとえばKYC要件の「検知」は、提供者が行動を特定可能な当事者に帰属できることを前提とし、アカウント停止も同様に、アカウントを停止すれば意味のある形でアクセスを拒否できることを前提としています。しかし、米国のモデル提供者は、中国のユーザーが転送ステーション経由でルーティングするための推論を制御していません――その代理者（プロキシ）側が制御しています。有害なリクエストが届いたとき、米国モデルの提供者が見るのは実ユーザーのIPではなく、プロキシのIPです。そして、アカウントが禁止された場合も、上流のサプライチェーンは数時間で新しいプロキシを簡単に用意できます。

さらに問題は、より高度な監視ツールでも増幅します。 AnthropicのClioシステムは、個々の会話レベルでは見えない、協調的な悪用の検知を部分的に目的として設計されていますが、アカウントや会話にまたがるパターンを特定することで動作します。たとえば、検索エンジンスパムを生成するために似たプロンプト構造を使っている一連の自動化アカウントを見つけ、その後それらをBANしました。ですが、リクエストがプロキシを経由しているため、BANは根本の行動を実質的には止めません。また、意図的に段階を分けた攻撃――有害な問い合わせを複数の段階とプロキシ・アカウントに分散し、それぞれのリクエスト単体では一見無害――では、アカウント間のパターンは、デザイン上、信号がはっきりしている協調スパムほど目立たないのです。

最後に、転送ステーションは単に、伝統的な「攻撃／防御」のパラダイムを体現しているだけではありません――それが米国のAI企業と中国のユーザーの間であれ、AIの安全対策と悪意ある主体の間であれ同様です。闇市場には、それ自身の搾取的な論理を持つサプライチェーンがあり、そこから生まれる害は、元の「アクセスの問題」をはるかに超えて広がります。今日、プロキシのKYC検証を回避するために収奪された顔（フェイス）は、明日にはオープンな形で不正な金融口座に転売されたり、雇用記録を捏造されたり、ディープフェイクを生成したりできます。しかも元の当事者は、グローバル・サウスにいるため、法的・評判上の結果を負わされます。Claudeのリクエストを振り向けるのに使われるのと同じインフラは、モデルのすげ替えによるユーザー詐欺、漏えいしたプロンプトデータに基づく標的型詐欺、あるいは脅迫にも利用できます。プロキシ・プールを潤沢に保つアカウント養殖（アカウントファーミング）――大量SMSによる検証、虚偽の登録、カード決済付きの口座――は、スパムコール、フィッシングの文面、不正なローン申請、クレジットカード詐欺といった、より広範な犯罪市場を育てます。多くの害は、AIや地政学とは無関係です。

しかし今や、グレー市場のあらゆる副産物が問題をさらに拡大しています。たとえば、次のパンデミックを合成するためにAIを利用するテロリストの潜在的危険から、現実に即した搾取や犯罪まで。グレート・ファイアウォールやAIのジオブロッキングが、国境の線に沿って最先端技術へのアクセス権を誰に与えるかを切り分けたいとしても、グレー市場が示すように、害は切り分けられません。

謝辞：

Zilanは、役立つフィードバックを提供してくれたAlan Chan、Gabriel Wagner、Karuna Nandkumar、そしてKayla Blomquistに感謝します。

著者は、予備的なデスクリサーチ、技術的概念の明確化、そしてコピー編集のためにLLMを使用したことを認めており、実際のところ、KYCプロセスを発動させることなく、シンガポール・ノード経由で中国本土からVPNを使ってClaudeにアクセスし続けられることにとても感謝しています。