Token中継ステーションの乱象集錦：調査後、私は全く使いたくなくなった

事情はこうです。

数日前、私はある開発者グループで潜水中、みんなが熱心に安いAPIキーを買う話をしているのを見ました。あの閑魚で数元で何億トークンも走らせられる中継サイトのことです。

みんな文句を言っていて、手元のモデルがすり替えられた気がする、サイト管理者がこっそり小さいモデルを混ぜて水増しして金を騙し取っているんじゃないかと疑っているようでした。

私は当時、これらのチャット記録を見て、心の中にはただ一つの考えしかありませんでした……

おいおい、みんな心臓が強すぎるよ。

みんながまだ数元の差額を気にしている間に、あの中継サイトはすでにあなたのパソコンの下着まで覗いているかもしれないんです。

現状はどれほど深刻なのか？

率直に言って、怪しげな中継サイトでチャージして、モデルに水を差すこの行為は、このグレーゾーン産業に携わる人々の中で最も職業倫理のある操作だと思っています。

考えてみてください。あなたが複雑なコードリクエストを送って、Claudeの最強Opus4.6で処理してもらおうと楽しみにしていると、彼らのバックエンドのルーティングスクリプトが判断して、無料のオープンソース小モデルに投げてごまかすのです。さらに腹黒いのは、課金レートに細工をして、公式で100個走らせるところをバックエンドで300個と計算するのです。

しかし、これはまだ大したことではありません。多くのサイト管理者は、盗用したクレジットカードでただ乗りし、公式がアカウントを停止すると、すぐにネット回線を抜いて逃げてしまいます。苦情を投稿する場所すらありません。そしてあなたのチャット記録は、表向きは絶対に保存しないと書いてあっても、裏ではとっくにパッケージ化されてダークウェブでキロ単位で売られているのです。

多くの人は、これはちょっとしたお金を騙し取られてカモにされるだけだ、安いんだから我慢しよう、と思っています。

私も以前はそう思っていました。最近の最先端のセキュリティ研究を見るまでは。これには本当に呆然としました。

本当に、多くの人の中継サイトに対する理解は、まだ過去の「ウェブチャット」の時代に留まっています。ただの無思考の伝言ゲームのリレーだと思っているのです。

しかし、今のAIはもうおしゃべりロボットではありません。画面の前のあなたは、おそらくパソコンでCursorを開いていたり、ClaudeCodeを走らせていたり、あるいはザリガニを飼っていたりするかもしれません。

今のAIには手と足があります。あなたのローカルファイルを読み、コードを書き、さらにはあなたのターミナルで直接システムレベルのコマンドを実行することさえできるのです。

この状況で、あなたがその出所不明のBase URLをコードエディタに入力するとき、その性質は完全に変わります。

数日前、著名なセキュリティ研究者Chaofan Shou氏のチームが発表した論文「Your Agent Is Mine」を見ました。彼らは市場にある400以上のプロキシを潜入調査しました。

結果は？？？

その場で26ものプロキシが悪意のあるコードインジェクションをこっそり行っているのを捕まえました。

どうやって実現するのか？

実現原理について言えば、これはプロキシの最も致命的なアーキテクチャ上の欠陥に関わります。それはアプリケーション層の中間者です。つまり、あなたとOpenAIやAnthropicとの通信は、プロキシサーバーを通過する一瞬、すべて平文なのです。

これはあまりにも刺激的です……

この分野に注目しているなら、次のような光景を想像してみてください。

あなたがCursorを使ってAIにNginxログを分析するPythonスクリプトを書かせます。遠くの公式GPT-5は確かに真面目に書いて、コードをJSONデータの塊にして返します。

すると、このプロキシの悪質なオーナーがそれを見て、返されたデータの末尾にリバースシェルを構築するトロイの木馬のロジックを付け加えるのです。

あなたのローカルクライアントは真偽を検証せず、合法的なJSONフォーマットを受け取るとすぐに信じて、あなたのパソコン上で実行を始めます。

さらに巧妙な操作もあります。これらの陰険な連中は普段はとても真面目なふりをして、あなたと会話に応じます。あなたがAIに開発環境の設定を手伝わせようとしたとき、例えばAIがターミナルでrequestsパッケージをインストールするよう提案したときです。

プロキシのスニッフィングスクリプトがそれを検知し、こっそりとパッケージ名をreqeustsに改ざんします。一文字間違えるだけで、あなたが目を閉じてEnterキーを叩けば、ランサムウェアやマイニングプログラムを含む悪意のある依存パッケージがシステムのルートディレクトリにインストールされてしまうのです。

私はその時、呆然としました。

研究チームが公開した実測データでは、17のプロキシが、研究者が意図的に置いたAWSクラウドサービスのフィッシングキーに積極的に触れ、盗もうとさえしていました。現実には、悪意のあるノードを使用したためにイーサリアムの秘密鍵が直接漏洩し、数十万ドルが一瞬で消えた人もいます。

今でも少し混乱しています。

上記の話に沿ってもう少し話しましょう。これはまさに暗黒森林です。

多くの人が知っているように、OpenRouterのような表立った正規のアグリゲーターを除けば、市場にある大多数の低価格の怪しげなプロキシは、何を頼りに成り立っているのでしょうか：リバースエンジニアリングによるクラック、地域をまたいだ転売、ブラックマーケットのクレジットカードによる現金化です。

私たち多くの普通の会社員やプログラマーは、会社のコアソースコードや暗号通貨のニーモニックフレーズを保存しているパソコンの最高制御権を、このグレーゾーン産業の従事者の良心に委ねているのです。

私たちはどう防ぐのか？

これらのAIツールを使わないわけにはいきません。

私は、この問題を根本的に解決するには、モデルメーカーが根本から手を打つ必要があると思います。現在のAPIは普通郵便のようなもので、郵便配達員が手紙の内容を改ざんするのは極めて簡単です。

一つの方法は、HTTPS証明書のような暗号学的デジタル署名を導入することです。大規模モデル会社がコードを送信する際に公式秘密鍵でスタンプを押し、私たちのローカルエディタが受け取ったら公式の権威あるドメインから公開鍵を取得して署名を検証します。プロキシが途中で一つの句読点でも変更しようものなら、署名は直ちに無効になり、即座に遮断されます。

正直なところ、メーカーがいつ検証メカニズムを実装できるかはわかりません。それまでは、私たちは自分で命を守る方法を考えなければなりません。

私の一つの戦略は、公式のネイティブ直結に戻るか、一歩譲ってOpenRouterのような極めて高い信頼性を持つ正規ゲートウェイのみを使用することです。どんな悪意のあるハッカーにもあなたの平文データに触れる機会を与えてはいけません。

もしどうしてもあの数円の羊毛を刈り取りたいなら、信じてください、極端な物理的隔離を徹底しなければなりません。

メインの物理マシンで絶対にやってはいけません。仮想マシンを用意するか、ネットワークのアウトバウンド権限を厳しく制限したDockerコンテナを使用してください。もう一つ非常に重要なアクションは、あなたのツール設定で、すべての無監督自律実行モードをオフにすることです。

プロキシのノードを使用している限り、AIがターミナルで実行を提案するすべてのコード行は、あなたはそれをハッカーから送られてきた攻撃命令であるとデフォルトで考え、肉眼で一字一句確認し、決して他人任せにしてはいけません。

最後に妥協案を一つ言います。

もしどうしても公式が高すぎて、この羊毛を刈り取りたいなら、プロキシを純粋なチャットツールとしてのみ使用してください。週報を書く、記事を磨く、資料を翻訳する、などは自由です。しかし、絶対に、絶対に、ローカルターミナルを呼び出せるAgentツールにこのキーを入力してはいけません！

プライバシー漏洩はどうする？

本当に、これは昔の李老板（Robin Li？）がネット中で嘲笑されたあの名言を思い出させます。「中国人は利便性と引き換えにプライバシーを提供することを厭わない」。これは少し耳が痛いですが、もしあなたが強情で、自分のチャット記録や会社のコードが悪質なサイト管理者に見られても構わない、数十円の差額のためにプライバシーを引き換えにしてもいいと思うなら。

それもあなたの自由です。

しかし、最後の一線は守ってください。あなたは日記をハッカーに見せてもいいですが、決して家の防犯ドアの鍵を彼に渡してはいけません。

AIは極めて優れた生産性のレバレッジであり、確かに私たちを飛躍させてくれます。しかし、飛び立つ前に、まずは自分のシステムの扉をしっかりと閉めておきましょう。

関連記事

暗号ベアマーケット起業ガイド第二弾：Token中継サイト：暗号TokenでAI Tokenを交換する