あなたはClaude Opus 4.6でコードを書いているつもりかもしれないが、裏側で動いているのは9Bパラメータ級の国産小型モデルかもしれない。お金を節約できたと思っているかもしれないが、実際にはあなたの1本1本のpromptが誰かによってアーカイブされ、競合するモデルの学習に使われている。代替が見つかったと思った結果、請求書に載ったお金の流れは、盗難クレジットカードから始まるようなグレーな産業チェーンに流れ込んでいる。
「看板に偽りあり型」——これが最も度が過ぎている。ユーザーはClaude Opus 4.6を呼ぶ(論文のケースではGPT-5)。価格は公式と同じに見えるが、実際に返ってくるモデルはGLM-4-9B——パラメータ数と能力がまったく別のレンジのオープンソース小型モデル。あなたは「100万tokenあたり十数ドル」の価格を払って、ほぼ無料で走らせられるようなモデルの出力を得ている。
花顶買のモデルは偽物の可能性:AI中継ステーション闇産業チェーンの解明
あなたはClaude Opus 4.6でコードを書いているつもりかもしれないが、裏側で動いているのは9Bパラメータ級の国産小型モデルかもしれない。お金を節約できたと思っているかもしれないが、実際にはあなたの1本1本のpromptが誰かによってアーカイブされ、競合するモデルの学習に使われている。代替が見つかったと思った結果、請求書に載ったお金の流れは、盗難クレジットカードから始まるようなグレーな産業チェーンに流れ込んでいる。
これは陰謀論ではない。arXivの論文がデータで裏付けている——あなたが真金白銀で調整した「トップモデル」のうち、45.83%が本人確認(アイデンティティ認証)を通過できなかった。
そしてもっと恐ろしいのは、これは業界内ではまったく秘密ではないということだ。
この記事の最後に付録:コミュニティ検証の30秒クイック検査法。
まずはっきりさせよう:AIの中継(トランジット)ステーションとは一体何?
2024年7月9日、OpenAIは中国本土および香港地区のAPIサービスを正式に停止した。2025年9月、Anthropicも追随し、中国資本の企業によるClaude APIの利用を全面的に禁止した。GoogleのGeminiも同様に、中国IPに対して厳格な制限を設けている。
中国の開発者にとって、世界の最先端AIモデルを直接使う道のりは、扉が一つずつ閉まっていくようなものだ。
そこで、「中継ステーション」が生まれた。
簡単に言うと、中継ステーションとは中間の仲介業者であり、「地域制限や支払い障壁を迂回してくれる」と称して、より低価格でClaude、ChatGPT、GeminiなどのモデルのAPIを呼び出してくれる。base_urlとAPI Keyを1つ入れ替えるだけで、コードを1行も変えずに、世界最高のAIモデルに「シームレスに接続」できる。
とても魅力的に聞こえる。だが、その「魅力的」の裏には、想像できないほどの深い落とし穴が隠れている。
正規軍はどんなもの? まずはOpenRouterを見てみよう
闇の部分を語る前に、「正規の中継」がどんな商売として成り立っているのかを先に見て、どれほど差があるのかを比較してほしい。
OpenRouterは現在、世界最大のAIモデル統合(アグリゲーション)プラットフォームで、300以上のモデル、60社以上の提供者と接続している。そのビジネスモデルは非常に透明だ。公式の推論料金に対して約5%のサービス料を上乗せ(大口顧客はカスタム可能)。あなたが払う1円(1ドル)ごとに明確な行き先がある——モデル呼び出し費用は上流のメーカーに渡り、差額がOpenRouterになる。
この会社は2025年にa16zとMenlo Venturesが主導する4000万ドルのAラウンド資金調達を獲得し、評価額は5億ドル、ARRは500万ドルで、前年比400%成長。コアのセールスポイントは「ルーティング」——1つのAPI Keyで全モデルに接続し、スマートなフェイルオーバーを行い、価格も公開されている。あなたがOpus 4.6を呼べば、手に入るのはOpus 4.6だ。
正規のルートとしては、EdenAI、Azure OpenAI Serviceなどもあり、それらはモデルメーカーと正式な商業提携関係を持ち、コンプライアンス上の制約も受けている。
だが問題が出てくる。OpenRouterは2025年末から中国ユーザーに対して「アカウント単位」での禁止を開始し、OpenAI、Claude、Googleの3大プラットフォームのモデルの利用を制限し始めた。正規ルートは、中国ユーザーにとってますます狭まっていく。
この状況こそが、「地下の中継ステーション」の野放図な増殖を生む。
中継ステーションの4層に分解されたグレーな産業チェーン
国内のAI中継ステーションは、「代理転送」などという単純な話にとどまらない。彼らは職種分担が非常に精密な1本のグレーな産業チェーンを形成しており、あなたが目にする低価格は氷山の一角——水面下のものは、あなたの想像よりずっと汚い。
最下層:盗難クレジットカード
産業チェーンで最も暗い底辺は、盗難クレジットカードだ。
手元に大量の海外ブラックカード番号を持ち、OpenAI、Anthropicなどのプラットフォームで、海外では本人確認なしで登録できるプロセスを利用して、アカウントを大量に作成し、API枠を取得する。これらのアカウントの実コストはゼロに限りなく近い——お金は盗まれたクレジットカードから引き落とされているからだ。
「低くて公式の3分の1」の価格に歓呼しているとき、なぜその価格が実現できるのか考えたことはあるだろうか?
それは効率化でも規模の経済でもない。誰かがあなたの代わりに「支払っている」——その「誰か」は、おそらくクレジットカード不正利用の被害者だ。
第2層:Web側の逆解析・破解——サブスクをAPIに変える商売
盗難より少し「まとも」に見えるのは、Web2APIの逆解析——Webページ上のサブスクリプションサービスをAPIインターフェースとして売ること。
この種の中継は公式APIを通らず、Claude、ChatGPTなどの製品のWeb側のインタラクションプロトコルを逆解析する。パケットキャプチャでセッション認証の手順を解析し、Web版の呼び出しをOpenAI形式と互換な“疑似API”として包む。具体的には、Plus/Pro会員アカウントを大量に登録し、「アカウントプール」を構築し、その後プロキシサーバーで負荷分散を行って、ユーザー要求を複数アカウントに分散する。
ChatGPT Plusの月額20ドルのアカウントは、5〜20人で共有でき、各人は数ドルしか払わない。
さらに、これらを支える成熟したオープンソースのツールチェーンがある。
One API(GitHub 31.2k星標)は、現時点で最主流のAPI統合・管理ツールで、30種類以上の大規模モデルを統一接続でき、負荷分散、トークン管理、チャネル管理など一式の機能を提供する。Dockerでワンコマンドデプロイでき、MITのオープンソースライセンス。
New API(GitHub 24k星標)は、One APIを二次開発したもので、オンライン決済、チャネルのスマートルーティング、キャッシュ計測などの商用化機能を追加し、AGPL-3.0のプロトコルを採用している。
そして最近さらに流行っているのがSub2API(GitHub 9.5k星標)だ。プロジェクト名は直訳すると「サブスクをAPIに変える」。このプロジェクトは、Claude、ChatGPT、GeminiなどのサブスクリプションアカウントをAPIインターフェースに変換することに特化している。複数アカウント管理、スマートなスケジューリング、セッション維持、並行制御、さらには完全な管理バックエンドのダッシュボードまで対応している。プロジェクトREADMEには、次の一文が小さく、しかし正直に書かれている:「本プロジェクトの利用はAnthropicのサービス条項に違反する可能性があります。すべての利用リスクはユーザー自身が負担してください。」
この3つのプロジェクトの合計は6.4万星標を超え、すでに一式の「中継ステーションの基盤インフラ」を構成している。誰でも数時間で、機能が揃ったAPI中継サービスを構築できる——デプロイ教程はあちこちにあふれ、「ゼロ障壁で月に1万を稼ぐ」系の副業広告は開発者コミュニティのあちこちで見つかる。
第3層:無料枠を工業化して刈り取る
AIベンダーが新規ユーザーに提供する無料トライアル枠も、闇ビジネス側に狙われている。
例えばCursor。GitHub上には、デバイス指紋をリセットすることで無限に無料トライアル枠を取得する複数のオープンソースプロジェクトがある。これらはすでに数千星標を獲得しており、「オープンソースで集客し、有料アカウントで換金する」という完全なクローズドループを形成している。
Manus AIの招待ポイントシステムも同様に破られている——闇ビジネス開発の自動登録スクリプトは1580〜3200元で販売され、ポイント獲得コストを「3300ポイントが0.5元だけ」に圧縮できる。ECプラットフォームでは、一時期125件以上の関連する詐欺商品が出回っていた。
第4層:スーツを着た「きちんとした」中継
もう一つの種類は、見た目上は「コンプライアンス」ルートを走る——規模化した仕入れでコストを下げ、公式より低いディスカウント価格でAPI枠を再販していると主張するものだ。中には「1元=1ドル」と銘打つものもある。公式の1ドルのAPI枠を、中継ステーションは1元(人民元)だけで売る。つまり公式価格の7分の1だ。
だが、その割引はどこから来るのか? あり得るのはせいぜい数パターンだ。モデルがすり替えられている、上の3層の「安価な供給」を使っている、あるいはまず低価格で集客して燃料(資金)を燃やし、ユーザー数が増えた後に何らかの方法で換金する——もしくは単純に逃げる(跑路する)。
原価よりずっと安い価格で売る商品を見つけたら、次の一文を覚えておいてほしい:誰が支払っているのか見つけられないなら、支払っているのはあなただ。
論文の決定打:モデルは“ほぼ半分”が偽物
ここまでが単なる「業界のうわさ」だとしても、次の部分は鉄板で、学術的な証拠そのものだ。
2026年3月、「Real Money, Fake Models: Deceptive Model Claims in Shadow APIs」という論文(論文番号2603.01919)がarXivで発表され、初めてAI中継ステーションを体系的に学術監査した。
研究チームは17のShadow APIサービスを特定し、それらを使っている187本の学術論文を発見。その後、そのうち代表的な3つのサービスについて深掘りの検査を行った。
結論は目を覆うような衝撃:
45.83%のモデルエンドポイントが、本人性フィンガープリントの検証に合格しなかった。
「ほぼ半分」。あなたが呼んでいるモデルと、あなたが思っているモデルは、同じものではない可能性が高い。
論文では詐欺の手口を3種類に分類している:
「すり替え型」——あるGeminiモデルの提供を標榜しているが、実際には別のバージョンに置き換えている。フィンガープリント検証の結果は、主張されたモデルのIDとまったく一致しないのに、最大7倍のプレミアムを正規料金のように請求している。
「看板に偽りあり型」——これが最も度が過ぎている。ユーザーはClaude Opus 4.6を呼ぶ(論文のケースではGPT-5)。価格は公式と同じに見えるが、実際に返ってくるモデルはGLM-4-9B——パラメータ数と能力がまったく別のレンジのオープンソース小型モデル。あなたは「100万tokenあたり十数ドル」の価格を払って、ほぼ無料で走らせられるようなモデルの出力を得ている。
「転売で利ざや型」——上流で低価格に調達した弱いモデルの呼び出しを、トップモデルとして名目上で売り、途中の差額で儲ける。
論文は冷たいデータのセットを提示している。ユーザーは公式価格の100%を支払っているが、実際に得たモデル価値は38%〜52%にしかならない。真金白銀に換算すると、1回14.84ドル使うごとに、あなたが実際に得たサービスの価値は5.70〜7.77ドル分で、残りはすべて中継ステーションの懐に入っている。
さらに危険なのは性能の崩壊だ。医学の質問応答(MedQA)評価では、中継ステーションが提供するGemini-2.5-flashの性能が公式の83.82%から37.00%まで暴落し、46ポイントも下がった。法律推論(LegalBench)では差は40〜43ポイント。数学推論(AIME 2025)では偏差が40ポイントに達している。
想像してほしい。この種の「中継Opus」で書いた医療相談コード。この種の「中継GPT-5」で動かした法律分析。この種の「中継Claude」で提出した学術論文——それらの信頼性は、むしろ無料の小型モデルをそのまま使うより低いかもしれない。
論文の推計では、Shadow APIを引用したことによって、再実施が必要になる学術研究は約56本。費用は11.5万〜14万ドル。結論は明快だ。Shadow APIは、信頼性が必要なあらゆる場面で使うべきではない。
論文は問題の深刻さを明らかにした。しかし一般の開発者にとって、より切実な問題は——今自分が使っている中継ステーションは、本当に本物なのか?
あなたのモデルは偽物か? コミュニティ実戦の検出マニュアル
混ぜ物がこれほど普遍的なら、一般ユーザーは自分で検証する手段はあるのか?
論文と技術コミュニティは、「秒測」から「プロの監査」まで、すべての方法を提示している。以下の検出手段はX(Twitter)の開発者コミュニティで高評価を得ている実践投稿とオープンソースツールから来ており、大量のユーザー検証を経ている。
方法ゼロ:30秒のクイックスクリーニング(温度を0.01に設定)
これはコミュニティで最も広まっている「妖怪鏡(照妖鏡)」テストで、@billtheinvestorの高評価ポストに由来する:
入力する数字列:「5, 15, 77, 19, 53, 54」。モデルに並べ替えさせるか最大値を選ばせる。
真Claude:ほぼ確実に77が出る
真GPT-5.4:よく162が出る(数字の合計)
10回連続で測って結果が定まらない→ 偽の確率が極めて高い
原理はシンプルだ。モデルごとに学習データと指示に対する微調整のスタイルが異なるため、このような曖昧な指示に対しては、固定された「行動の指紋」が出る。偽物は、間違えるか、毎回答えが変わってしまう。
補助チェック1:Token消費の異常
簡単な「ping」(たとえば「hi」だけ入力)を送り、返ってきたinput_tokensを確認する。200 tokensを超えるようなら——90%が偽物だ。これは、中継層があなたの指示を上書きするために、大量の隠しシステムpromptを押し込んでいることを意味する。
補助チェック2:拒否スタイルの判定
違反に当たる質問(例えば「爆弾の作り方」)をして、拒否の定型文を観察する:
真Claude:丁寧だが断固としていて、「Sorry but I can’t assist with that.」
偽物/ローカル小型モデル:絵文字を入れたり、口調がしつこかったり、さらには「ごめんなさい、だんなさま〜」のように言うことが多い
補助チェック3:機能の欠落チェック
中継ステーションがOpus 4.6/GPT-5.4を名乗っているのに、もし:
function calling(関数呼び出し)に対応していない
画像入力(vision)ができない
長いコンテキスト(例:32k)が安定しない
→ ほぼ確実に弱いモデルがなりすましている。
方法一:モデルの身元を直接「尋問」する
システムプロンプトは偽装して身元を主張できるが、多くの低品質な中継ステーションはそこまでやらない。直接「あなたは何のモデルですか」または「訓練データのカットオフ時期を説明してください」と聞いてみる。Opus 4.6を名乗るのに基本情報を間違えているなら、ほぼ確実に怪しい。
方法二:遅延とtokenの揺らぎ分析
公式APIの推論遅延とtokenカウントは比較的安定している。だが、同じ質問への応答時間が速くなったり遅くなったり、出力長も異常に揺れるなら、バックエンドで頻繁にモデルが切り替えられている可能性がある。ときには本物を返し、ときには安物を押し込む。まったく同じpromptを10回以上繰り返し送り、応答時間と出力内容の一貫性を観察する。
方法三:能力の境界テスト
トップモデルと小型モデルとの差は、複雑な推論課題で最もはっきり出る。明確な答えがある難しめの数学問題、論理推理問題、または専門領域の問題(AIME競技の問題など)をいくつか用意し、公式チャネルと中継ステーションの両方に同じ要求を投げて、答えの質を比較する。Opus 4.6を名乗るのに基礎推理の問題で頻繁にコケるなら、ほぼ確実に本物ではない。
方法四:LLMmapフィンガープリント認識(プロ向け)
これは論文が使ったコアの方法だ。LLMmapは能動的なフィンガープリント認識フレームワークで、モデルへ3〜8組の入念に設計されたクエリを送り、応答の統計的特徴(単語頻度、文の構造、特定の表現の癖)を分析し、既知のモデル指紋ライブラリとの余弦距離を計算する。モデルに「皮(被せもの)」がかけられていても、この方法は偽装を突き抜けられる。
一言でまとめる:中継ステーションが上記いずれかのテストをさせるのを嫌がる、またはテスト結果が公式と一致しないなら、走って(=使わずに)やめる。少額テストして、使い切ったら充填しない——現時点で最も実務的な自衛策だ。
あなたのすべてのPromptは、明確に値札が付いている
もしモデルの“混ぜ物”が「本来あなたに渡すべきものを少し減らす」ことだとしたら、データの売買は「もっとあなたから取る」ことだ。
中継ステーションの技術的本質は代理層(プロキシレイヤー)であり、あなたの各promptと各responseはすべてそのサーバーを完全に通過する。あなたが送るコード、ビジネスプラン、顧客データ、プライベートな会話まで、中継ステーションの運営者は手間なく全部取得できる。
これは机上の空論ではない。開発者コミュニティにはすでに多数の議論があり、中継ステーションがユーザーリクエストデータでモデル蒸留(distillation)を行っているのは周知の秘密だ。いわゆるモデル蒸留とは、単純に大規模モデルの出力で小型モデルを学習すること——「盗み方を学ぶ(スキルを盗む)」ための技術手段だ。中継を通過したすべてのリクエスト——完全なpromptとresponse——は、そのままの形で“既成の高品質トレーニングデータセット”になっている。とりわけOpus 4.6やGPT-5といったトップモデルの出力は、それ自体が極めて価値のある蒸留用コーパスだ。
2026年初め、Anthropicはレポートを公開し、中国の3つのAIラボが虚偽のアカウントネットワークによって大規模にClaude APIへアクセスし、モデル蒸留を行ったと直接告発した。そのうちMiniMaxのインタラクション回数は1300万回を超え、Moonshotは340万回を超える。彼らが使った「ヘビ(九頭蛇)クラスタ」——大量の虚偽アカウントで構成されるネットワーク——という構成と、中継ステーションの「アカウントプール」方式は、まったく同じだ。
技術アーキテクチャの観点では、中継ステーションは「純粋転送型」(リクエストをリアルタイムに転送し、保存しない)と「保存転送型」(先に保存してから転送する)に分かれる。しかし「純粋転送」を名乗っているサービスでさえ、誰もそのバックエンドが本当にデータを保存しているのか監査することはできない。あなたの信頼は、匿名の運営者による口頭の約束に完全に依存している。
セキュリティ専門家は、中継ステーションを5つの次元から評価することを推奨している。技術アーキテクチャが透過(トランスペアレント)かどうか、ログ戦略が課金用メタデータのみか、転送がTLS 1.2+を使っているか、API Keyが完全に隔離されているか、漏えい時の緊急対応メカニズムがあるか。しかし現実には、国内の大多数の中継ステーションは主体情報ですら不透明で、独立したセキュリティ監査を受け入れるどころではない。
逃げる、爆弾を仕掛ける(炎上して終了する)、ユーザーを蹴って口を封じる:中継ステーションの典型的な終着点
中継ステーションにはもう一つ、致命的なシステムリスクがある——逃亡(跑路)。
ほとんどの中継ステーションは前払いのプリチャージ方式を採用し、先にお金を入れてから従量課金で引かれる。一旦運営が消えれば、あなたの残高は完全に蒸発し、責任追及の道は閉ざされる。
HodlAIは教科書級のケースだ。プロジェクト側は当初、低価格APIを大胆に提供してユーザーのチャージを集める。だが、国庫の資金が残り約6万ドルにまで減り、日次のtoken消費が1万ドルにまで達したところで、制限を狂ったように締め始めた——1回のリクエスト上限を5万tokenにし、さらに頻度制限も段階的に強化。ユーザーがTelegramグループで疑問を投げると、結果として直接グループから追い出され、アカウントは封鎖された。
コミュニティの評価は針の穴を通すように的確だ:「マルチ商法と同じ」「問題を解決するより封じる方がずっと簡単」「おなじ配合、おなじ味」。
業界内では、この方式を次の一文でまとめている:「まずは低価格で集客し、ユーザー層が大きくなったら上流がアカウント停止(封号)し、すぐに跑路する。損をするのはユーザーだけだ。」
Linux.do、V2EXなどの開発者コミュニティでは、同様の訴訟・抗議投稿が山ほどある。中継ステーションによっては契約条項が非常に一方的で、あるものはそもそも工商登録情報が存在しない。誰を相手に訴えればいいのかも分からない。
一本の完全な産業チェーン:ブラックカードからあなたのIDEまで
上記の情報をすべてつなげると、一本の明確な流れが見えてくる:
上流の弾薬——番号転送(SMS/電話番号受け取り)プラットフォームが携帯番号を提供し、ブラックカード供給業者が決済手段を提供し、猫池(猫プール)がデバイス資源を提供する。中流の武器——逆解析エンジニアがプロトコルを破解し、One API/New API/Sub2APIなどのオープンソースプロジェクトが既成のインフラを提供し、デバイスファームが大量にアカウントを育成する。下流の流通——中継ステーションの運営者が「APIサービス」として包装して販売し、TelegramグループやECプラットフォームが販売チャネルになる。さらには「中継ステーションの構築」を副業の研修コースとして包装している人すらいる。
そしてあなたは——Cursor、Claude CodeなどのIDEツール、あるいは自分で書いたコードによって、このチェーンの末端消費者になる。
セキュリティ会社の脅威ハンターの監視データによると、彼らがサンプルとして抽出した50のAI Agent製品のそれぞれに、闇産業に派生したサービスが存在していた。この産業チェーンは、2022年のアカウント取引から、2023年のAPI転売、2024年の無料枠裁定(アービトラージ)、2025年のAgent計算資源の濫用、そして2026年——手作りの工房から工業的生産への全面的な進化を完了している。
最後に
AI中継ステーションの物語の本質は、古い商売ロジックのAI時代の焼き直しだ——あなたが製品が何か分からないとき、あなたは製品になる。
あなたのお金は偽物のモデルを買い、あなたのデータは他人の学習セットに流れ込み、あなたのチャージ残高はいつでもゼロになり得る。この3つは「起こり得る」ではなく、「すでに起きている」。
いくつかの実践的アドバイス——
能動的に公式を使えるなら使うべきだ。公式APIは高いが、明確に高い。あなたの業務にデータの安全性やモデルの信頼性に関わる要件があるなら、中継ステーションは絶対に避けるべきだ。
少なくとも自己検査を習慣に。もし中継ステーションを使っているなら、上記の方法で一度検査してみてほしい。同じAIMEの数学問題や複雑なコードを、公式と中継の出力で比較する。差が明らかなら——あなたはどうすべきか、もうわかるはずだ。
敏感なデータは絶対に中継に入れない。どうしても使う必要があるなら、最低限:敏感情報のマスキング、API Keyの定期的なローテーション、中継アカウントにコアデータを保存しないこと。
国産モデルを真剣に検討せよ。DeepSeek、Qwen、GLMなどの国産モデルは急速に能力を追い上げており、価格も透明で海外モデルよりはるかに安い。公式APIは国内で合法的に直接使える。偽装された海外モデルをグレーな領域で使うよりも、これらの正規の国産代替を使った方が安全だ——少なくとも、自分が何を呼び出しているのか理解できる。
この業界は日々変化している。しかし、変わらない鉄則が一つある:代償を理解しないまま最安を選ぶと、最も高くつく決断になることが多い。