Mercado cinza na China oferece acesso à Claude API com 90% de desconto usando credenciais roubadas e técnicas de coleta de dados dos usuários para revenda como dados para treinamento de IA

A economia paralela de serviços de proxy de API na China está revendendo o acesso aos modelos Claude da Anthropic por preços que podem chegar a apenas 10% do valor oficial. Essa constatação foi resultado de uma pesquisa que analisou dados de fóruns e comunidades online.

Essas redes de proxy, conhecidas nas comunidades de desenvolvedores chineses como “estações de transferência”, funcionam abertamente em plataformas como GitHub, Taobao e Telegram. Elas mantêm preços baixos através de uma combinação de credenciais roubadas, substituição de modelos e coleta de prompts e respostas dos usuários para revenda como dados de treinamento de IA.

As descobertas reforçam os alertas recentes de autoridades como a Casa Branca e a própria Anthropic. Em abril, a Casa Branca acusou entidades chinesas de realizarem campanhas em larga escala para destilar modelos dos EUA, utilizando dezenas de milhares de contas proxy. A Anthropic já havia identificado atividades semelhantes, revelando a existência de cerca de 24 mil contas fraudulentas ligadas a laboratórios chineses.

A pesquisa também uncoverou uma cadeia de suprimentos modular, onde a maioria dos participantes cuida de apenas um ou dois elos no processo. Operadores upstream registram contas na Anthropic em massa, utilizando créditos de API gratuitos, explorando descontos corporativos ou dividindo planos de assinatura de US$ 200 entre muitos usuários. Algumas contas entram na rede sem custo algum, sendo compradas com dados de cartões de crédito roubados.

Para contornar os novos requisitos de verificação de identidade da Anthropic, que agora incluem checagens de foto e selfie ao vivo para alguns usuários, a cadeia de suprimento recrutou pessoas reais em países de baixa renda para completar a verificação pessoalmente. Esse método se inspirou no mercado negro biométrico do Worldcoin, onde escaneamentos de íris coletados em locais como Camboja e Quênia eram vendidos a preços acessíveis.

Pesquisadores alemães realizaram uma auditoria em 17 desses serviços de proxy e encontraram uma substituição de modelo generalizada. Acesso de proxy anunciado como “Gemini-2.5” obteve apenas 37% em um benchmark médico, enquanto o API oficial alcançou quase 84%. Usuários que pedem Claude Opus podem receber respostas de modelos mais baratos, como Sonnet ou Haiku, com as saídas rotuladas de forma fraudulenta.

Os operadores de proxy também coletam todos os prompts e respostas que passam por seus servidores. Para agentes de codificação, isso envolve cadeias de raciocínio completas, contexto de repositórios e saídas verificadas por humanos. Vários desenvolvedores chineses informaram que a margem de acesso é essencialmente uma captação de clientes, e que a coleta desses registros representa o verdadeiro negócio. Conjuntos de dados com saídas de raciocínio do Claude Opus 4.6 já circulam sem procedência clara.

Os dados de raciocínio coletados por proxies são extremamente valiosos para destilações, pois podem ser sistematicamente capturados e usados para treinar modelos concorrentes. Os servidores proxy oferecem essa pipeline com muito menos esforço, já que os clientes pagantes geram os dados de treinamento de forma voluntária.

Entretanto, a exposição à segurança vai além do treinamento de modelos. Agentes de codificação frequentemente compartilham dados contextuais, estruturas de API e lógica de autenticação por meio de proxies não verificados, o que pode resultar no envio de código fonte proprietário para servidores de terceiros sem obrigações de manuseio de dados. Um exemplo dessa situação ocorreu quando engenheiros da Samsung compartilharam acidentalmente dados confidenciais de fabricação de semiconductores.

Apesar da Anthropic ter bloqueado entidades controladas pela China do acesso ao Claude em setembro e de ter implementado verificações cada vez mais rigorosas, a pesquisa sugere que cada novo controle impulsionou um mercado clandestino em vez de reduzir o acesso não autorizado.