2026年6月8日,国家安全部发布安全提示,直指当前“AI中转站”市场的乱象。随着人工智能应用需求的爆发式增长,批量提供海内外大模型访问服务的“AI中转站”在国内迅速走红。然而,部分中转站运营资质缺失、安全防护薄弱,用户隐私泄露、数据倒卖、恶意植入后门等问题频发。国家安全部提醒广大用户:切勿使用无来源、无资质、无保障的“三无”AI中转平台,避免个人隐私、商业机密甚至国家秘密外泄。
一、 什么是“AI中转站”?
“AI中转站”是介于用户和AI模型厂商官方服务之间的代理层。它把各大AI厂商的应用程序编程接口(API)整合到一个平台,再统一提供给用户。简单说,它就是用户与大模型之间的“中介”。
为什么有人用它?
- 无需切换模型:只需接入一个入口,即可调用国内外主流大模型,一站式满足需求。
- 价格相对低廉:部分中转站利用折扣、积分补贴,使用成本低于官方标价。
- 支付方式便捷:支持国内主流支付渠道,充值使用方便。
- 绕过使用限制:甚至能绕过网络访问、官方授权、跨境传输等限制,直连部分海外大模型。
这些“便利”吸引了大量个人用户、开发者和企业。然而,便利背后的安全风险,却被严重低估。
二、 AI中转站的四大安全风险
国家安全部明确指出,当前AI中转站市场粗放发展、无序运营,已滋生出一系列严重风险:
1️⃣ 数据裸奔,隐私泄露
AI中转站作为第三方端口,会将用户提交的数据留存至其服务器。部分中转站缺乏正规的数据加密与管控机制,有的甚至私自截留用户数据,倒卖给其他大模型厂商用于系统训练。你的聊天记录、上传的文档、企业机密,可能正在被非法转卖。
2️⃣ 模型缩水,结果失真
为压缩成本、获取更多利润,部分中转站使用低配模型冒充高端模型,缩减算力供应、关闭校验功能。用户以为自己在使用GPT-4或文心一言,实际可能只是低版本模型。输出内容偏差大、逻辑性差,极易误导决策。
3️⃣ 恶意植入,远程控制
部分AI中转站暗藏后门。不法分子可通过“后门”向用户设备植入恶意代码,窃取账号密钥、云端凭证,甚至植入远程控制程序,持续监控用户设备、窃取数据。你的电脑可能在不经意间成为黑客的“肉鸡”。
4️⃣ 数据出境,失管失控
许多AI中转站未取得数据出境相关合规资质,也未履行安全评估的法定流程,擅自将用户输入数据传输至境外服务器。这可能造成个人隐私、商业机密乃至国家秘密外泄,触犯《数据安全法》《网络安全法》等法律法规。
三、 法律红线:清朗·整治AI应用乱象专项行动
近期,中央网信办在全国部署开展 “清朗·整治AI应用乱象”专项行动,以规范AI服务和应用、促进行业健康有序发展为目标。国家安全部也呼吁广大用户主动防范,发现问题及时举报。
这意味着,利用AI中转站从事非法数据交易、违规跨境传输、危害国家安全的行为,将面临严厉打击。运营无资质的AI中转站,本身可能已涉嫌违法。
四、 用户如何保护自己?
国家安全部给出了四点明确建议:
- 选用正规平台:坚持使用官方直连、正规授权、安全合规的平台。不使用无明确来源、无运营资质、无安全保障的“三无”平台。
- 加强安全防范:使用AI中转站时,对个人隐私、项目资料等敏感数据进行脱敏处理;做好密钥管理,定期更换凭证;关闭协同操作、数据共享等非必要功能。
- 及时处置异常:如遇到异常扣费、无故封号、数据异常等问题,立即停止使用,修改密钥,查杀病毒,留存证据。
- 举报可疑线索:发现利用AI中转站窃取国家秘密或从事其他危害国家安全行为的线索,可通过12339举报。
五、 给网站运营者和开发者的建议
如果你运营的网站或应用需要调用AI大模型,请务必:
- 优先使用官方API:避免经过不可信的第三方中转站。
- 自建安全网关:如需聚合多个模型,应自行开发中间件,确保数据加密、访问控制、日志审计到位。
- 部署Web应用防火墙(WAF):对于对外提供API的服务,建议部署专业WAF(如百度云防护),实时拦截恶意请求、防止API密钥泄露、阻断后门通信。WAF还可以隐藏源站IP,减少被攻击面。
百度云防护内置了IP情报库、JA4指纹识别、CC防护等能力,可有效识别并拦截针对API接口的滥用和攻击。专业版仅299元/月,接入简单,是中小企业和开发者的性价比之选。
六、 结语
AI中转站看似提供了便利和廉价,实则暗藏数据泄露、恶意植入、法律违规等多重风险。国家安全部的警示,是对所有用户的保护。请务必提高警惕,选择合规渠道,保护好自己的数据和隐私。
如果你已经使用了不可信的中转站,请立即更改密钥、检查设备安全,并考虑迁移至官方API或自建安全通道。
主机吧 | 百度云防护官方合作伙伴
提供WAF、高防CDN、高防IP、API安全防护服务
让AI应用更安全,让数据不再“裸奔”
点击咨询:www.zhujib.com/bai-du-waf
