原创作者:邵嘉碘
2026 年 5 月,AI 圈里出了一个不大不小的“瓜”。
一位网名叫“瓜皮”的上海 AI 中转站站长,在技术社区发了一份关停声明。按其自述及相关转述,其因部分 API 来源涉嫌通过非法技术手段取得,曾被羁押 37 天,后续处于取保候审状态。至于后续是否起诉、如何定罪量刑、是否涉及退赔退赃或罚金,仍应以司法机关最终处理为准。
图片来源:当事人关停声明截图
更扎心的是,他在声明里说,这门生意没赚到钱,用户充值款也无力赔。
这件事一出来,不少中转站站长开始连夜关站。过去大家觉得这是一个“低成本、轻资产、赚差价”的小生意,现在突然发现: 这辆车可能不是开往财富自由,而是开往派出所。
所谓 AI 中转站,说白了就是把 GPT、Claude、Gemini 等境外大模型接口接过来,套个中文界面,做个 Token 充值系统,再按会员、按量、按 API 卖给境内用户。
用户觉得方便,站长觉得赚钱,代理觉得有渠道,社群觉得捡到了便宜。
但问题是,合规从来不看商业包装聪不聪明。
合规真正追问的是:这项业务到底把谁的东西,通过什么方式,绕过什么规则,卖给了谁。
放到 AI 中转站这里,答案并不好看:把境外未完成国内合规的大模型服务,绕过监管包装后,卖给境内公众。
这不是 Token 出海。这是 Token 入海。
更直白一点,这是把境外模型“偷渡”回来卖。
这里需要先划清边界:不是说个人使用海外 AI 工具当然违法,也不是说所有企业调用境外 API 都不能做。法律真正要看的,是平台有没有以自己的名义,持续、收费、面向境内不特定用户提供生成式 AI 能力;有没有取得必要授权、资质、备案;有没有把用户输入和个人信息带到境外;有没有履行安全评估、告知同意、内容治理和数据保护义务。
如果这些问题都没有答案,那就不是“技术中转”这么简单,而是把一整套应由服务提供者承担的合规责任全部架空了。
一、这门生意为什么曾经看起来很香?
先别急着骂它违法。
任何灰色生意能跑起来,通常都不是因为没人懂法,而是因为它确实击中了一个真实需求。
国内用户想用海外模型,但有几个门槛:账号不好注册,支付不方便,API 不好接,英文文档不好看,企业内部也不想折腾太多技术配置。
中转站把这些麻烦都吃掉了。
用户只需要打开网页,充点钱,买点 Token,就能用到各种海外模型。对普通用户来说,它比官方路径更便宜、更顺手、更像一个“本土化产品”。
站长赚什么?
赚信息差,赚接口差价,赚账号池,赚流量聚合。
这门生意最诱人的地方在于,它看起来很轻:不用训练模型,不用买 GPU,不用烧钱做大模型,不用承担模型迭代成本。只要有接口、有服务器、有支付入口、有流量渠道,就能开张。
所以它一度很热。但轻资产不等于轻风险。
很多时候,风险只是被藏起来了。 藏在接口来源里,藏在用户数据里,藏在收款路径里,也藏在那句最危险的话里:我们只是做个中转。
二、“只是中转”这句话,救不了平台
AI 中转站最常见的自我定位,是技术服务商。
平台不生产模型,只做接口搬运;平台不生成内容,只做请求转发;平台不面向公众提供大模型服务,只是帮用户更方便地调用海外工具。
这套说法听起来很聪明,但经不起拆。
- 平台是否收用户的钱?
- 平台是否给用户开账号?
- 平台是否按 Token、会员或调用量计费?
- 平台是否把海外模型包装成自己的产品界面?
- 平台是否面向境内不特定用户开放?
只要这些问题的答案都是“是”,这类平台就很难继续说自己只是一个无辜路由器。
这已经是在组织一项面向境内用户的生成式 AI 服务。
根据《生成式人工智能服务管理暂行办法》的框架,只要是利用生成式人工智能技术向境内公众提供文本、图片、音频、视频等内容生成服务,就会进入生成式 AI 服务监管视野;而“通过提供可编程接口等方式提供服务”的组织、个人,也可能被认定为服务提供者。
图片来源:中央网络安全和信息化委员会办公室官网
所以,中转站说“模型不是平台训练的”,并不能当然免责。监管不会只看模型产权归谁,而会看谁在对用户开门、谁在收钱、谁在组织调用、谁在控制界面和计费规则、谁在沉淀用户数据。 在法律定性上,服务提供者身份不取决于平台是不是大模型厂商,而取决于平台有没有向用户实际供给这项服务。
更麻烦的是,这项服务的模型来源、数据流向、资质手续和责任承担,往往都说不清楚。
这才是 AI 中转站真正危险的地方。
它不是单纯技术问题,而是一个链路问题:源头可能没有授权,终点面向境内公众,中间还夹着用户数据跨境传输。
三件事叠在一起,就不再是“小打小闹”
三、它到底怎么跑?其实就三步
把花哨话术拿掉,灰色中转的链路非常朴素。
第一步,薅接口。
有的站长批量注册账号,有的买低价额度,有的通过代理渠道拿 Key,有的甚至绕过平台风控、盗刷接口、逆向破解。最后形成一个“账号池”或者“接口池”。
第二步,做封装。
搭服务器,做反向代理,把境外模型接口包装成平台自己的 API 或网页产品。用户看到的是一个中文界面,背后实际调用的是境外模型。
第三步,卖 Token。
通过社群、电商、小程序、开发者社区推广,按 Token、会员、套餐、API 调用量收费。广告语也很熟悉:低价调用海外大模型,一站接入多家顶级模型,几块钱跑几十万 Token。
听起来像商业创新。但如果源头没有授权,服务没有走完该走的备案、登记或安全评估程序,数据没有交代,资质没有补齐,它就不是创新,而是绕行。
从法律关系看,这三步会把站长推到三个位置上:第一,他可能是境外模型接口的实际使用者或转售者,要解释接口来源和授权边界;第二,他可能是面向境内用户的互联网信息服务经营者,要解释 ICP、增值电信业务许可或备案问题;第三,他还是用户输入信息、使用记录和个人信息的处理者,要解释数据收集、存储、转发、删除和出境规则。
一个业务同时踩在三种法律关系上,就不能只用“只是 API 代理”来解释。
四、国家安全部为什么专门提示 AI 中转站?
这也是最近很值得注意的一个信号。
国家安全部近期专门发布提示,提醒警惕 AI 中转站的数据安全风险。这个提示值得多看两眼,因为它不是单纯说“别用海外模型”,而是把 AI 中转站的风险拆得很具体。
图片来源:国家安全部微信公众号《“AI中转站”,风险要防范》,2026 年 6 月 8 日
国家安全部提示的重点,不是“海外模型不能碰”,而是 AI 中转站本身可能成为数据泄露、模型缩水和技术后门的黑箱。
第一类风险,是数据裸奔。
用户在中转站里输入的东西,可能不是普通闲聊,而是合同、代码、客户资料、财务数据、商业计划书、内部会议纪要,甚至个人身份信息和敏感信息。
这些内容先经过中转站,再被转发到境外模型。问题是,中转站是谁开的?服务器在哪里?数据有没有加密?会不会留存?会不会被拿去训练?会不会被倒卖?很多用户根本不知道。
国家安全部提示里提到,部分 AI 中转站运营资质缺失、安全防护薄弱,用户隐私泄露和数据倒卖问题时有发生。翻译成大白话就是: 用户以为是在便宜用模型,实际上可能是在把自己的数据裸奔给陌生人看。
这里的法律问题非常具体。用户把合同、简历、身份证信息、客户资料、代码注释、聊天记录输入中转站,如果其中包含个人信息,中转站就不是简单“传话”,而是在处理个人信息;如果这些内容被转发到境外模型服务器,就可能构成向境外提供个人信息或数据。
这时至少要回答几个合规问题:有没有向用户明示境外接收方是谁、处理目的是什么、处理方式是什么、涉及哪些个人信息种类;有没有取得个人单独同意;有没有做个人信息保护影响评估;规模达到法定门槛时,是否需要走数据出境安全评估、个人信息出境标准合同或认证路径。
很多中转站最大的问题,不是它回答错了,而是它根本没有能力回答。
第二类风险,是模型缩水。
很多中转站打着“接入顶级模型”的旗号卖服务,但用户实际调用到的,未必真是宣传中的模型版本。
为了压成本,一些平台可能用低配模型冒充高端模型,或者缩减算力供应、关闭校验功能。用户以为自己在用高性能模型做决策,结果拿到的是缩水版本的回答。
这件事对普通聊天可能只是体验差;但如果用于法律、医疗、金融、代码、企业决策,就不是体验问题,而是误导风险。
第三类风险,是技术后门。
更极端的情况,是一些中转站本身就不干净。它可能没有正规数据加密机制,也可能暗藏恶意程序,甚至借机窃取用户设备里的账号、密钥、云端凭证。
这就已经不是“AI 工具好不好用”的问题,而是网络安全问题。
所以,国家安全部的提示真正点破了一件事: AI 中转站不是一个简单的“便宜入口”,而是一个高度不透明的第三方黑箱。
用户把数据交进去,可能不知道它经过谁、流向哪、被谁保存、被谁再利用。
对企业用户来说,这尤其危险。一个员工为了省几块钱,把客户合同、源代码、投融资材料、内部方案丢进中转站,最后泄露的不是他的聊天记录,而可能是公司的核心资产。
五、为什么它和合规出海不是一回事?
很多人会混淆两个概念:Token 出海和 Token 入海。
Token 出海,是把境内 AI 能力卖给境外客户。比如国产模型、AI 应用、算力资源、行业解决方案,通过 Token 或 API 调用额度对境外收费。
这条路当然也有合规问题:模型来源、数据出境、目标市场、海外收款、资金回流,都要处理。但它至少方向是正的: 能力走出去。
Token 入海正好反过来。
它是把境外模型服务包装后卖回境内,服务对象是国内用户,能力来源是海外模型,中间层是一个灰色中转平台。前者可以做合规设计,后者从一开始就站在监管的阴影里。
六、律师视角:为什么这件事可能违法?
AI 中转站最麻烦的地方,是它不是只踩一条线。站在律师视角,判断它为什么可能违法,要分层看,而不是一句“用了海外模型”就下结论。
它像一辆车,同时压着四条红线往前开。
第一条,生成式 AI 监管。
只要面向境内公众提供生成式 AI 服务,就不能假装和生成式 AI 监管没关系。《生成式人工智能服务管理暂行办法》看的不是平台有没有训练基础模型,而是平台有没有利用生成式 AI 技术向境内公众提供生成内容的服务。它还明确把通过 API 等方式提供服务纳入“提供者”的理解范围。
这意味着,如果中转站把境外模型包装成自己的网页、会员或 API 产品,对境内公众收费开放,就可能被要求承担生成式 AI 服务提供者责任,包括内容安全、用户输入和使用记录保护、投诉举报、违法内容处置、监管配合,以及在具有舆论属性或者社会动员能力等特定情形下的安全评估、算法备案等义务。
法律风险不在于它“不够像大模型公司”,而在于它已经像一个大模型服务商那样经营,却没有按服务商的规则合规。
第二条,电信业务资质。
平台有账号体系,有充值,有 API 接入,有在线服务,有数据处理,有持续经营。到底只是普通 ICP 备案,还是需要取得 ICP 许可证;到底只是信息服务业务,还是因为充值、交易、结算、平台处理等安排,进一步碰到 EDI 许可,都要结合平台功能、交易结构、收费对象、结算方式和服务内容具体判断。
但有一点可以先确定: Token 只是计价单位,不是法律定性工具。 把“人民币买服务”换成“充值买 Token 再消耗”,并不会改变其面向境内用户持续经营互联网服务的本质。
所以,当中转站把业务解释为“不是 AI 服务,而是 Token 额度”时,这个抗辩在法律上并不稳。监管机关通常不会被计价包装带偏,而会回到实质:用户付钱后到底获得了什么?平台到底提供了什么?资金流和服务流到底对应什么经营行为?
第三条,数据安全和个人信息。
用户输入给 AI 的东西,可能是合同、代码、客户资料、财务数据、商业秘密、个人信息。它经过中转站,再流向境外模型。
用户知不知道?平台说没说清?数据谁保存?保存多久?会不会训练?能不能删除?出了泄露谁负责?这些不是产品体验问题,而是个人信息保护和数据安全问题。
按照个人信息保护规则,处理个人信息要有合法、正当、必要的目的,公开处理规则,并采取必要措施保障安全;向境外提供个人信息,还要履行告知、取得个人单独同意等义务,并根据数据类型、数量、主体身份和场景,判断是否需要安全评估、标准合同或认证。2024 年《促进和规范数据跨境流动规定》放宽了一些场景下的出境机制要求,但并没有免除基本的告知、单独同意、影响评估和安全保护义务。更何况,自 2025 年 1 月 1 日起施行的《网络数据安全管理条例》已经把网络数据处理活动的安全保护义务讲得更细。中转站只要在境内处理用户数据,就不能把业务说成一个没有责任的“通道”。
灰色中转站最大的数据合规硬伤,是它往往既说不清转发了什么数据,也无法控制境外接收方如何处理这些数据。
第四条,刑事风险。
刑事风险要讲得更谨慎一点:不是所有行政违规都会直接变成犯罪,也不是所有 AI 中转站都会当然构成刑事案件。刑法看的是具体行为、主观故意、违法所得、经营规模、危害后果和证据链。
但如果接口来自破解、盗刷、绕过技术措施、非法获取账号或密钥,就可能碰到非法获取计算机信息系统数据罪、非法控制计算机信息系统罪等计算机犯罪风险;如果还存在删除、修改、增加、干扰系统功能、数据或应用程序并造成严重后果的,才进一步进入破坏计算机信息系统罪的讨论。如果中转站明知接口来源异常,仍持续组织销售,也会加重主观恶性判断。
如果违反国家规定,未取得依法应当取得的电信或互联网服务许可,又规模化向境内用户收费经营,扰乱相关市场秩序,并达到“情节严重”的程度,才可能进入非法经营罪的讨论范围。单纯“没有官方授权”,更多时候先对应的是违约、侵权、不正当竞争或者计算机犯罪线索,不能直接跳到非法经营罪。若平台还沉淀、倒卖、非法提供用户个人信息,又可能进一步触及侵犯公民个人信息罪。
这也是为什么相关事件不能只理解成“平台封号升级版”。一旦案件进入刑事程序,公安机关看的就不只是平台服务条款,而是接口来源、资金流水、用户规模、违法所得、数据流向和主观明知。
AI 中转站最可怕的不是“被平台封号”,而是有一天敲门的不是平台风控,而是执法机关。
法律结论: 典型 AI 中转站的违法性,不是来自某一个孤立动作,而是来自“未授权接口来源 \+ 面向境内公众收费提供生成式 AI服务 \+ 资质备案缺位 \+ 数据跨境不可控”的组合。任何一项单独看都可能只是行政或民事风险,叠加到一定规模后,就可能被执法机关按整条链路处理。
七、写在最后:别把灰色快钱当成出海捷径
Token 入海最迷惑人的地方,是它看起来离 AI Token 出海很近。
都有 Token,都有 API,都有模型调用,都有跨境因素,都有商业化。
但本质完全不同。
合规出海,是把境内 AI 能力卖给境外客户,再把钱合规收回来。它难,但难在建设能力、设计架构、补齐手续。
灰色入海,是把境外模型服务绕道卖给境内公众。它快,但快在省掉授权、省掉备案、省掉资质、省掉数据合规。
省下来的不是成本,是风险。而且是会滚利息的风险。
对真正想做 AI Token 商业化的企业来说,值得下注的不是“怎么把海外模型卖回国内”,而是“怎么把自己的 AI 服务卖到海外”。
前者赚的是一阵子的快钱。后者才可能长出真正的业务。
AI Token 可以是出海的计量工具,但不该是入海的灰色门票。
本文为行业合规观察,结合公开报道与现行法规整理,不构成针对任何个案的法律意见;具体案件事实、罪名和法律责任,应以有权机关最终认定为准。
