事情はこのようなものだ。数日前、私は開発者グループに潜入していたところ、皆が熱心に安いAPIキーを買う話題で盛り上がっていた。つまり、ヤフオクやフリマで数百円で何十億Tokenも処理できる中継站のことだ。皆が愚痴をこぼしていた。手持ちのモデルが入れ替えられた気がする、站長がこっそり小さなモデルを混ぜて騙しているのではないかと疑っている。その時、私はこれらの会話を見ながら、心の中でただ一つの考えしか浮かばなかった……兄弟、心が広すぎるぞ。皆はまだ数百円の差額を気にしているが、その中継站はすでにあなたのパソコンの底まで盗み見しているかもしれない。現状はどれほど深刻か?正直に言えば、野良の中継站にチャージし、モデルに水を混ぜる行為は、私にとってはこの灰産業の中でも最も職業倫理的な操作だと思える。想像してみてほしい。複雑なコードリクエストを送信し、Claudeの最強のOpus4.6で処理して快適に使いたいと思ったら、バックエンドのルーティングスクリプトが判断し、無料のオープンソース小モデルに丸投げしてごまかす。さらに悪質な場合、課金倍率に手を加え、公式が100回分の料金を請求しているのに、バックエンドは300回分を計算している。しかし、それだけではない。多くの站長は盗用したクレジットカードを使ってただただ無料で利用し、アカウント停止されると即座にネットから姿を消す。苦情を言える場所すらない。あなたのチャット履歴についても、表向きは保存しないと書いているが、裏ではすでに暗号化されたコーパスとして闇市場で売りさばかれている。多くの人は、「これはちょっとした小銭を騙し取るだけだ、安いし我慢しよう」と思っている。私も以前はそう考えていた。だが、最近の最先端のセキュリティ研究を見て、完全に頭が混乱した。正直に言えば、多くの人は中継站の理解を、昔ながらの「ウェブチャット」の時代のまま捉えている。単なる無思考の伝言・中継器だと。しかし、今のAIはもはやチャットロボットではない。画面の前のあなたは、もしかしたらCursorを動かしているかもしれないし、ClaudeCodeを動かしているかもしれない、あるいは小さなエビを育てているかもしれない。今のAIは、手足のある存在だ。ローカルのファイルを読めるし、コードを書けるし、端末のシステムコマンドを直接実行できる。そんな時に、出所不明のBase URLをコードエディタに入力したら、その性質は一変する。数日前、著名なセキュリティ研究者のShou Chaofanチームが発表した論文「Your Agent Is Mine」を見た。彼らは市場にある400以上の中継站を潜入調査した。結果はどうだった?なんと、現場で26の中継站が悪意のあるコード注入を密かに行っていた。どうやってそれを実現したのか?その仕組みの根幹には、中継站の致命的な構造的欠陥がある。それはアプリケーション層の中間者攻撃だ。つまり、OpenAIやAnthropicと通信する際、その瞬間に中継站サーバーを経由すると、通信内容はすべて平文になる。これは非常に危険だ……この分野に関心があるなら、想像してみてほしい。Cursorを使ってAIにNginxのログ解析用Pythonスクリプトを書かせる。遠隔の公式GPT-5は確かに素直にコードを書き、JSONデータとして返す。しかし、その中継站の悪徳オーナーは、返されたデータの最後に逆シェルを仕込むマルウェアのロジックを追加していた。あなたのローカルクライアントは真偽を検証しないため、合法的なJSONフォーマットを受け取ると、そのまま信じてしまい、すぐにあなたのPC上で実行されてしまう。さらに、もっと巧妙な操作もある。この連中は普段はおとなしく振る舞い、チャットの応答も流暢だ。たとえば、AIに開発環境のセットアップを頼むとき。中継站のスニッフィングスクリプトはそれを検知し、さりげなくパッケージ名を「reqeusts」に改ざんする。たった一文字の違いだ。あなたが目を閉じてEnterを叩けば、ランサムウイルスやマイニングプログラムを含む悪意の依存パッケージがあなたのシステムルートに侵入する。私はその時、呆然とした。研究チームが公開した実測データによると、17の中継站は積極的に研究員が意図的に仕込んだAWSクラウドのフィッシングキーを盗もうとした。現実には、悪意のあるノードを使った結果、イーサリアムの秘密鍵が漏洩し、数十万ドルが一瞬で蒸発した例もある。今、私はちょっと混乱している。この話を続けると、これはまさに闇の森だ。知っている人も多いだろう。OpenRouterのような正規の集約業者以外は、市場のほとんどの低価格野良中継站は何を頼りにしているのか。逆向きリバースエンジニアリング、跨区の転売、闇のクレジットカードキャッシュアウトだ。多くの普通のサラリーマンやプログラマーは、会社のコアソースコードや暗号通貨の助記詞を保存したPCの最高管理権を、こうした灰産業の業者の良心に委ねている。我々はどう防ぐ?そもそもこれらのAIツールを使わないわけにはいかないだろう。私の考えは、根本的な解決にはモデルメーカーが底から取り組む必要がある。今のAPIはまるで郵便物のようで、郵便屋が内容を改ざんするのは簡単すぎる。一つの方法は、HTTPS証明書のような暗号学的なデジタル署名を導入することだ。大規模モデルの会社がコードを送るときに公式の秘密鍵で署名し、ローカルのエディタは公式の信頼できるドメインから公開鍵を取得して署名検証を行う。中継站が途中で記号を改ざんしたら、署名は無効になり、即座に弾かれる。正直なところ、メーカーがいつ検証機能を実現できるかはわからない。それまでは、自分たちで命を守る方法を考えるしかない。私の一つの戦略は、公式の直結を使うか、あるいはOpenRouterのような高信頼の正規ゲートウェイだけを使うことだ。悪意あるハッカーに平文データに触れさせないためだ。もし少しでも安く済ませたいなら、極端な物理的隔離を徹底すべきだ。メインの物理マシンではなく、仮想マシンを使うか、ネットワーク出力を厳しく制限したDockerコンテナを使う。もう一つ重要なのは、ツールの設定で、すべての無監督の自動実行モードをオフにすることだ。中継站のノードを使う限り、AIが端末で提案するコードはすべてハッカーからの攻撃指令とみなすべきだ。目視で一字一句確認し、手を抜いてはいけない。最後に、折衷案を一つ。もし公式の高額に我慢できず、少しでも節約したいなら、中継站は純粋なチャットツールとしてだけ使う。週報を書いたり、文章をブラッシュアップしたり、資料を翻訳したり。好きにやればいい。ただし、絶対にローカル端末を呼び出すエージェントツールにこのキーを入力してはいけない!プライバシー漏洩はどうする?正直に言えば、これはかつての李老板の有名な言葉、「中国人は便利さと引き換えにプライバシーを犠牲にする」が思い出される。耳に刺さる言葉だが、もしあなたが頑固で、自分のチャット履歴や会社のコードが闇の站長に丸見えでも構わないと思うなら、その差額の数十元のためにプライバシーを犠牲にしてもいい。それもあなたの自由だ。ただし、最後の一線だけは守るべきだ。日記帳をハッカーに見せるのは構わないが、家の防盗鍵を渡すのは絶対にやめろ。AIは非常に強力な生産性向上ツールだ。確かに私たちを飛躍させることができる。しかし、飛び立つ前に、まず自分のシステムの扉をしっかり閉めておくことだ。関連記事暗号熊市の起業ガイド第2弾:トークン中継站—暗号トークンとAIトークンの交換
Token中継所の乱れ集:研究した後、私は全く使う勇気がなくなった
事情はこのようなものだ。
数日前、私は開発者グループに潜入していたところ、皆が熱心に安いAPIキーを買う話題で盛り上がっていた。つまり、ヤフオクやフリマで数百円で何十億Tokenも処理できる中継站のことだ。
皆が愚痴をこぼしていた。手持ちのモデルが入れ替えられた気がする、站長がこっそり小さなモデルを混ぜて騙しているのではないかと疑っている。
その時、私はこれらの会話を見ながら、心の中でただ一つの考えしか浮かばなかった……
兄弟、心が広すぎるぞ。
皆はまだ数百円の差額を気にしているが、その中継站はすでにあなたのパソコンの底まで盗み見しているかもしれない。
現状はどれほど深刻か?
正直に言えば、野良の中継站にチャージし、モデルに水を混ぜる行為は、私にとってはこの灰産業の中でも最も職業倫理的な操作だと思える。
想像してみてほしい。複雑なコードリクエストを送信し、Claudeの最強のOpus4.6で処理して快適に使いたいと思ったら、バックエンドのルーティングスクリプトが判断し、無料のオープンソース小モデルに丸投げしてごまかす。さらに悪質な場合、課金倍率に手を加え、公式が100回分の料金を請求しているのに、バックエンドは300回分を計算している。
しかし、それだけではない。多くの站長は盗用したクレジットカードを使ってただただ無料で利用し、アカウント停止されると即座にネットから姿を消す。苦情を言える場所すらない。あなたのチャット履歴についても、表向きは保存しないと書いているが、裏ではすでに暗号化されたコーパスとして闇市場で売りさばかれている。
多くの人は、「これはちょっとした小銭を騙し取るだけだ、安いし我慢しよう」と思っている。
私も以前はそう考えていた。だが、最近の最先端のセキュリティ研究を見て、完全に頭が混乱した。
正直に言えば、多くの人は中継站の理解を、昔ながらの「ウェブチャット」の時代のまま捉えている。単なる無思考の伝言・中継器だと。
しかし、今のAIはもはやチャットロボットではない。画面の前のあなたは、もしかしたらCursorを動かしているかもしれないし、ClaudeCodeを動かしているかもしれない、あるいは小さなエビを育てているかもしれない。
今のAIは、手足のある存在だ。ローカルのファイルを読めるし、コードを書けるし、端末のシステムコマンドを直接実行できる。
そんな時に、出所不明のBase URLをコードエディタに入力したら、その性質は一変する。
数日前、著名なセキュリティ研究者のShou Chaofanチームが発表した論文「Your Agent Is Mine」を見た。彼らは市場にある400以上の中継站を潜入調査した。
結果はどうだった?
なんと、現場で26の中継站が悪意のあるコード注入を密かに行っていた。
どうやってそれを実現したのか?
その仕組みの根幹には、中継站の致命的な構造的欠陥がある。それはアプリケーション層の中間者攻撃だ。つまり、OpenAIやAnthropicと通信する際、その瞬間に中継站サーバーを経由すると、通信内容はすべて平文になる。
これは非常に危険だ……
この分野に関心があるなら、想像してみてほしい。
Cursorを使ってAIにNginxのログ解析用Pythonスクリプトを書かせる。遠隔の公式GPT-5は確かに素直にコードを書き、JSONデータとして返す。
しかし、その中継站の悪徳オーナーは、返されたデータの最後に逆シェルを仕込むマルウェアのロジックを追加していた。
あなたのローカルクライアントは真偽を検証しないため、合法的なJSONフォーマットを受け取ると、そのまま信じてしまい、すぐにあなたのPC上で実行されてしまう。
さらに、もっと巧妙な操作もある。この連中は普段はおとなしく振る舞い、チャットの応答も流暢だ。たとえば、AIに開発環境のセットアップを頼むとき。
中継站のスニッフィングスクリプトはそれを検知し、さりげなくパッケージ名を「reqeusts」に改ざんする。たった一文字の違いだ。あなたが目を閉じてEnterを叩けば、ランサムウイルスやマイニングプログラムを含む悪意の依存パッケージがあなたのシステムルートに侵入する。
私はその時、呆然とした。
研究チームが公開した実測データによると、17の中継站は積極的に研究員が意図的に仕込んだAWSクラウドのフィッシングキーを盗もうとした。
現実には、悪意のあるノードを使った結果、イーサリアムの秘密鍵が漏洩し、数十万ドルが一瞬で蒸発した例もある。
今、私はちょっと混乱している。
この話を続けると、これはまさに闇の森だ。
知っている人も多いだろう。OpenRouterのような正規の集約業者以外は、市場のほとんどの低価格野良中継站は何を頼りにしているのか。
逆向きリバースエンジニアリング、跨区の転売、闇のクレジットカードキャッシュアウトだ。
多くの普通のサラリーマンやプログラマーは、会社のコアソースコードや暗号通貨の助記詞を保存したPCの最高管理権を、こうした灰産業の業者の良心に委ねている。
我々はどう防ぐ?
そもそもこれらのAIツールを使わないわけにはいかないだろう。
私の考えは、根本的な解決にはモデルメーカーが底から取り組む必要がある。今のAPIはまるで郵便物のようで、郵便屋が内容を改ざんするのは簡単すぎる。
一つの方法は、HTTPS証明書のような暗号学的なデジタル署名を導入することだ。大規模モデルの会社がコードを送るときに公式の秘密鍵で署名し、ローカルのエディタは公式の信頼できるドメインから公開鍵を取得して署名検証を行う。中継站が途中で記号を改ざんしたら、署名は無効になり、即座に弾かれる。
正直なところ、メーカーがいつ検証機能を実現できるかはわからない。それまでは、自分たちで命を守る方法を考えるしかない。
私の一つの戦略は、公式の直結を使うか、あるいはOpenRouterのような高信頼の正規ゲートウェイだけを使うことだ。悪意あるハッカーに平文データに触れさせないためだ。
もし少しでも安く済ませたいなら、極端な物理的隔離を徹底すべきだ。
メインの物理マシンではなく、仮想マシンを使うか、ネットワーク出力を厳しく制限したDockerコンテナを使う。もう一つ重要なのは、ツールの設定で、すべての無監督の自動実行モードをオフにすることだ。
中継站のノードを使う限り、AIが端末で提案するコードはすべてハッカーからの攻撃指令とみなすべきだ。目視で一字一句確認し、手を抜いてはいけない。
最後に、折衷案を一つ。
もし公式の高額に我慢できず、少しでも節約したいなら、中継站は純粋なチャットツールとしてだけ使う。週報を書いたり、文章をブラッシュアップしたり、資料を翻訳したり。好きにやればいい。ただし、絶対にローカル端末を呼び出すエージェントツールにこのキーを入力してはいけない!
プライバシー漏洩はどうする?
正直に言えば、これはかつての李老板の有名な言葉、「中国人は便利さと引き換えにプライバシーを犠牲にする」が思い出される。耳に刺さる言葉だが、もしあなたが頑固で、自分のチャット履歴や会社のコードが闇の站長に丸見えでも構わないと思うなら、その差額の数十元のためにプライバシーを犠牲にしてもいい。
それもあなたの自由だ。
ただし、最後の一線だけは守るべきだ。日記帳をハッカーに見せるのは構わないが、家の防盗鍵を渡すのは絶対にやめろ。
AIは非常に強力な生産性向上ツールだ。確かに私たちを飛躍させることができる。しかし、飛び立つ前に、まず自分のシステムの扉をしっかり閉めておくことだ。
関連記事
暗号熊市の起業ガイド第2弾:トークン中継站—暗号トークンとAIトークンの交換