论文发现Shadow API A在售卖Gemini-2.有Shadow API的准确率比官方低了40.�别让黑产继续收割AI的未来 Shadow API的存在�

文章转载于腾)讯科技
作者： 博阳

过?去两年，全世界都在为 GPT-4、Gemini 等顶尖大模型狂欢。无数科技公司、科研机构甚至普通开发者，都捧着真金白银排队，只为能用上这些世界上最强的大模型。

但在这场狂欢的阴暗角落里，一条靠「卖假脑子」牟取暴利的灰产链条已经悄然长成 。

在这条产业链的影响下，你可能付了吃米其林的钱，结果黑心中介转头去路边摊花两块钱买了个廉价盒饭，贴上米其林的标签塞给了你。

这就是一篇刚刚发表的硬核审计论文用真实数据扒开的行业丑闻。

2026年3月，来自德国 CISPA 亥姆霍兹信息安全中心的研究团队发表了一篇长达 22 页的调查报告 。这篇名为《真金白银，虚假模型：影子 API 中的欺骗性声明》的论文无情地戳破了 AI 圈可能最严重的丑闻之一。

结果他们发现，在24个被测试的API端点中，45.83%未通过模型指纹验证。也就是说，你以为你在调GPT-5，实际上后台可能跑的是一个9B参数的开源小模型。

也就是说，连研究AI的人写的 AI 论文调用的所谓最强模型，也竟然有近一半是被无良中介偷偷掉包的降智残次品。

行家都被坑，小白当然也得涨涨反诈能力了。

1

5.8万star背后的AI算力走私黑市

为了让大家彻底吃透这个惊天大瓜，我们得先搞懂一个基础问题。这帮做AI研究的顶尖聪明人，为什么会买到假货？

简单来说，API（应用程序编程接口）就像是顶级餐厅里的服务员。像 OpenAI 或 Google 耗资数十亿美元打造的超级计算机，就是一家“米其林三星餐厅的后厨”。里面住着名为 GPT-5 或 Gemini 的顶级大厨。你作为食客（研究者或开发者），不可能把大厨请回自己家的厨房（个人电脑算力根本跑不动前沿大模型）。你只能把你的问题（菜单）递给服务员（API），等后厨算出了结果，服务员再端出来给你。

请API 这个服务员传菜是按字数（Token）收费的。如果你只是闲聊几句还好，但学术界跑一组数据动辄几百万个词，这就成了一笔极其昂贵的账单。

更要命的是， 这家米其林餐厅极其傲慢，官方 API 明确拒绝向许多特定国家和地区提供服务。

有门槛，有高价，有需求，这三者一碰，一条灰色的代购产业链就诞生了。

那些受限于地域或经费的研究者，只能求助于网络上的第三方中介。也就是这篇论文中重点调查的 影子 API（Shadow APIs）。

论文统计到截至2025年12月6日，最流行的Shadow API在GitHub上累积了58639颗星。

这些中介声称可以通过间接访问的方式，绕过官方的地域限制提供服务 。

业内人士圈子里早就流传着这些API中间商的赚钱手法。这篇论文第一次用真实数据把这些手法钉在了桌上。

拿GPT-5的钱跑9B小模型，三种套路吃尽信息差

论文打假的方式，其实很简单。就是通过模型指纹检测和元信息分析去比对API接口。

指纹检测方法就是向API发送精心设计的探测输入，然后根据模型的输出特征，在一个参考模型数据库中做匹配，判断后台到底跑的是哪个模型。

结果他们发现，Shadow API A在售卖GPT-5时，指纹分析指向的不是GPT-5家族的任何模型，而是廉价的国产开源模型GLM-4-9B。Shadow API H在售卖GPT-4o-mini时，同样出现了向Qwen2.5-7B的模型替换。

但指纹检测也不是万能的。论文发现一个有趣的矛盾，Gemini-2.5-flash在所有Shadow API上都通过了指纹验证，余弦距离和官方接近，但在敏感领域的性能却出现了剧烈的下降。这说明即使模型身份核实通过了，行为一致性仍然得不到保证。这可能是Shadow API在模型参数或推理配置上做了手脚。

不过为了客观起见，论文也指出部分黑产（如 Shadow API E）在某些科学基准测试（如 GPQA）上表现出了惊人的一致性（与官方误差仅2.64%）。这种黑产内部的技术与“操守”差异，让学术界的排查变得更加困难。

安全性评估。Shadow API在面对越狱攻击时表现极其不稳定，几乎从不与官方API一致。

用这种验证方法，论文直接锁定了三种经济欺骗机制。

论文描述API黑产流程的漫画

1. 信息溢价（Information Premium）：中间商收你高价，但偷偷给你换了一个更便宜的模型。论文发现Shadow API A在售卖Gemini-2.0-flash时，价格比官方贵了7.1到7.25倍，实际后台跑的却是指纹显示为Gemini-2.5-flash的模型。

2. 折扣替换（Discount-Substitution）：按官方价格甚至更低价格售卖，但后台模型被换成了廉价的开源模型。就像上面那个例子里，你付了官方GPT-5的钱，拿到的是一个开源模型GLM-4的输出。

3. 加价转售（Resale Markup）：稍微加一点价格再卖给你，但模型同样被偷偷降级。Shadow API H对GPT-5收费是官方的1.09倍，但后台同样存在模型替换。

这篇论文还做了一个很直观的经济分析。他们在GPQA基准上跑了1273次查询，按照GPT-5的官方定价计算，用户付了14.84美元的价格，但由于实际拿到手的Token数量严重缩水，实际输出价值只有5.70到7.77美元。中间商的利润就藏在这个差价里。

而且由于模型被偷换，用户每花一美元，产生的错误数量是官方API的2到4倍。

1

116篇顶会论文，5966次引用都是错的

经过调查，作者发现17个shadow APIs被用于187篇学术论文中。其中，有116篇（占比62.03%）已被ACL、CVPR和ICLR等顶级同行评审会议或期刊接收。

最受欢迎的一个黑产API甚至在累计获得5966次引用的多篇论文中被使用。这说明受影响的绝不仅是边缘水文，而是有一定学术影响力的研究。

Shadow API的使用规模

在评估的端点中，45.83%未通过模型指纹验证。如果保守地假设30%的论文需要因此重新执行实验（涉及约56篇论文），仅直接成本（API费用加研究者工时）就在11.5万到14万美元之间。

但这还只是直接成本。真正的损失在下游。

用了假大模型，最大的问题就是降智。

在考察大模型复杂推理能力的 AIME 2025（竞赛级数学基准测试）中，黑产 API 的表现属实差爆了。论文发现，当使用 Shadow API A 时，原本强大的 Gemini-2.5-pro 准确率直接暴跌了 40.00%，而主打推理的 DeepSeek-Reasoner 准确率也暴降了 38.89% 。

AIME 2025和GPQA基准上的性能对比。推理密集型任务上差异最为显著。

这意味着，黑产 API 彻底破坏了模型的高级推理能力 。

5966篇引用了这些论文的后续工作，可能在引用被盗版模型跑出来的基线数据。如果原始论文的实验结果不可靠，所有基于这些结果建立起来的比较、趋势分析和结论都可能悄无声息地遭到破坏，且没有任何可见的错误信号。

从学术诚信的角度看，这其实才是这篇论文最大的冲击力所在。如果广泛接受的结论（比如某个方法在某个模型上效果有限）是基于Shadow API得出的，那这些结论都有被推翻的可能。不是方法不行，而是模型在偷偷给你降级。

1

不止论文，你的医疗和法律AI也可能在用盗版API

学术错误，最多误导一下科研圈子。可你别忘了，这些API最终接入的可不只有人工智能实验，还有可能是医院、律所。

论文在医学基准MedQA上测试了官方API和Shadow API之间的差异。Gemini-2.5-flash在官方API上的准确率是83.82%。

而同一个模型标签，通过Shadow API调用，准确率直接跌到了平均约37.00%。从83.82%到37.00%，这不是误差，这是系统性的崩溃，出现了46.51%到47.21%的严重性能赤字。

论文列出了一个具体的失败案例。比如关于围产期HIV筛查的临床问题，官方API正确回答了应该使用的确认检测方法，而所有三个受测的Shadow API都给出了完全错误的方案。

法律领域同样如此。在LegalBench基准上，所有Shadow API的准确率比官方低了40.10%到42.73%。

MedQA和LegalBench上的性能对比。

这就引出了一个不能被忽视的问题：有多少已经部署的AI医疗和法律应用，后台实际在使用Shadow API？误诊了谁负责？依赖这些黑产API提供专业指导将带来严重的安全风险。

1

打破封锁与高墙，别让黑产继续收割AI的未来

Shadow API的存在，根本原因是AI领域存在严重的供需错配。

一边是越来越强大、但价格高昂且存在严格地域限制的前沿模型API；另一边是全球范围内巨大的研究和应用需求。中间商靠信息不对称和模型替换来套利，学术界因为便利性和成本压力选择睁一只眼闭一只眼。

论文的建议很直接：Shadow API根本就不应该被用于任何研究工作流。如果必须使用，需要先走一套严格的四步验证流程，包括指纹检测、分布一致性检验（MET）、性能稳定性测试和法律实体核查。

这个建议在理想层面完全正确。但在现实中，只要地域限制和价格壁垒继续存在，Shadow API这个市场就不会消失。

真正的解法不在于呼吁研究者自律，而在于官方模型提供商重新思考他们的分发策略。是继续用高价格和高门槛保护利润率，同时催生一个暗藏庞大利润的灰色市场；还是主动降低学术使用的门槛、放宽限制，把这个灰色市场里的钱赚回自己腰包 ？

这个选择，其实不难做。

点个“爱心”，再走 吧