Gigazineの中転站の記事を読んで、かなりぞっとした。
Anthropicが中国のアクセスをブロックしているのは知ってた。でも公式価格の約10%でトークンが買えるAPIプロキシが普通に流通してて、GitHubのコミュニティリポジトリに価格や稼働率の比較一覧まで載ってるとは思わなかった。
「一魚三吃」の3つ目が本当にやばい
記事の中で「一魚三吃」という表現が出てくる。1つのアクセス資源から3つの収益を得る構造のことだ。
第1はアービトラージ。無料クレジット付きアカウントを量産して差額で稼ぐやつ。まあ想像できた。
第2はモデルのすり替え。claude-opus-4指定で叩いても、中継側が安いモデルに差し替えて返してくる可能性がある。しかも会話コンテキストが頻繁にリセットされるせいで、ユーザーが過去情報を再送して消費トークンが増える仕掛けだ。これはわりと巧妙だと思った。
第3が本丸で、利用ログの転売だ。プロンプトの中身、モデルの応答、ツール呼び出しの流れ、そしてユーザーが「これ正解」と確認した出力まで全部残る。AIコーディング支援なら、ソースコードの文脈や設計上の判断がまるごとログに乗る。それが後学習や蒸留用のデータとして売られる。記事の中でも「3つの収益源の中で最も重要視されている」と書かれていた。
自分はAnthropicのAPIを直接叩いていて中転站は使っていない。でもこれを読んで、チームメンバーが使っているツールやSDKの裏側について意識が甘かったな、と思った。
自分のコードのどこに「中継リスク」が入り込むか
うちのチームはサービスの一部にLLMを組み込んでいて、モデルのエンドポイントをベタ書きせずに環境変数で切り替えられるようにしている。ざっくり言うとこんな感じ。
# .env
ANTHROPIC_BASE_URL=https://api.anthropic.com
ANTHROPIC_API_KEY=sk-ant-xxxxx一見クリーンな構成だ。でも ANTHROPIC_BASE_URL をそのまま外部から注入できる設計になっていると、誰かが中転站のエンドポイントに差し替えて動かす余地が生まれる。ローカル開発環境なら特に検知しにくい。
それより怖いのは、OSSのLLMラッパーライブラリを使うときだ。GitHubのスター数だけ見てとりあえず入れてみた系のライブラリが、内部でプロキシを経由していないか確認しているかというと、正直ちゃんとやっていなかった。依存関係のネットワークリクエスト先をちゃんとコードリーディングしたことは一度もない。
Anthropicが2026年2月に報告した内容によると、単一のプロキシネットワークが2万件超の不正アカウントを管理していた。この規模感を見ると、個人開発者レベルの話じゃなくてインフラ級の話だとわかる。自分が使っているサードパーティのSDKが、そのネットワークに知らずに乗っかっている可能性はゼロじゃない。
もうひとつ気になったのが、Claude Codeを個人用途で使うときのリスクだ。自分はローカルのコードベースをそこそこ大きく育てていて、Claude Codeに読み込ませることが増えてきた。正規ルートで使っている分には問題ないが、コスト節約目的で非公式のプロキシを経由したらプロンプトとコードが全部抜かれる。当然の話だけど、改めて「ログコスト換算でどれだけ高くつくか」を実感した。
# API呼び出し設定のチェックリスト (チーム共有用に書いた)
- base_url が公式ドメインか確認
- APIキーのローテーション頻度を設定しているか
- サードパーティSDKのネットワーク先をpinpointで確認したか
- 機密コードをプロンプトに含める前にスコープを絞っているか「コスト10%」は確かに魅力的な数字だ。LLMのAPIコストは自分の個人開発でも地味に効いてくる。でも第3の収益源がソースコードのログ転売なら、ケチった分どころか自分の知財ごと渡すことになる。割に合わない。
今週のタスクとして、チームのライブラリ選定ドキュメントに「エンドポイントの確認フロー」を追記するつもりだ。地味な作業だけど、この記事を読んでやらないわけにはいかなくなった。