"Claude mit 90 % Rabatt" entpuppte sich als Kanal zum Diebstahl von AI-Trainingsdaten

"Claude mit 90 % Rabatt" entpuppte sich als Kanal zum Diebstahl von AI-Trainingsdaten
Hallo. Heute stelle ich eine Nachricht vor, die zugleich interessant und besorgniserregend ist. Es wurde bekannt, dass Claude, das generative AI-Modell von Anthropic, auf dem chinesischen Schwarzmarkt zu etwa 10 % des offiziellen Preises gehandelt wird – also mit 90 % Rabatt. Wenn es nur um einen schlichten illegalen Weiterverkauf ginge, könnte man das vielleicht noch als Randphänomen abtun. Das eigentliche Problem liegt jedoch woanders: Es soll als Kanal genutzt werden, um Prompt-Daten von Nutzern abzugreifen und als Trainingsmaterial für andere AI-Modelle zu verwerten.
Wie war ein Rabatt von 90 % überhaupt möglich?
Laut dem kürzlich veröffentlichten Bericht der Oxford China Policy Lab-Forscherin Zhilan Chen über die Realität der "API Proxy Economy" werden Proxy-Netzwerke, die vor Ort als "Vermittlungsstellen" bezeichnet werden, auf GitHub, Telegram, Taobao und anderen Plattformen nahezu offen betrieben.
Die Preise wurden im Wesentlichen auf folgende Weise so stark gesenkt.

Massenhafte Erstellung kostenloser Testkonten und anschließender Weiterverkauf der API-Berechtigungen
Abschluss kostenpflichtiger Pläne mit gestohlenen Kreditkarten und Verteilung der Zugangsrechte
Aufteilung eines einzelnen Max-Tarifs von rund 200 US-Dollar pro Monat auf mehrere Nutzer und Weiterverkauf
Noch einen Schritt weiter geht der "Modelltausch": Nutzer glauben, das Spitzenmodell Claude Opus zu verwenden, tatsächlich werden Antworten aber von günstigeren Modellen wie Haiku oder Open-Source-Modellen geliefert

Die Leistung erreichte nicht einmal die Hälfte
Bei der Analyse von 17 Proxy-Diensten durch Forschende des CISPA Helmholtz-Zentrums für Informationssicherheit in Deutschland zeigte sich, dass die offizielle API bei einem medizinischen Benchmark eine Trefferquote von etwa 84 % erreichte, während die Proxy-Dienste nur auf rund 37 % kamen. Damit belegen objektive Zahlen, dass mit dem gesparten Preis auch die Qualität der Ergebnisse stark sinkt.
Das eigentliche Ziel waren die "Prompt-Daten"
Noch ernster nimmt die Branche einen anderen Punkt. Proxy-Betreiber speichern offenbar sowohl die Prompts der Nutzer als auch die Antworten der AI und sogar den Denkprozess (Chain of Thought, CoT), bereiten diese Daten auf und verkaufen sie anschließend als Trainingsdatensätze.
Wenn man darüber nachdenkt, sind von fortgeschrittenen AI-Nutzern sorgfältig ausgearbeitete Prompts und Daten zu Denkketten äußerst wertvolle Assets zur Verbesserung der Modellleistung. Es gibt inzwischen Analysen, wonach diese Struktur zur Beschaffung solcher Daten zumindest teilweise dazu beigetragen haben könnte, dass sich die Schlussfolgerungsfähigkeiten chinesischer AI-Modelle zuletzt so schnell verbessert haben.
Tatsächlich hatte Anthropic im Februar dieses Jahres bekannt gegeben, dass von etwa 24.000 betrügerischen Accounts, die mutmaßlich mit chinesischen Unternehmen wie DeepSeek, Moonshot AI und MiniMax in Verbindung standen, mehr als 16 Millionen Queries ausgegangen waren.
Quellcode-Leaks als noch größerer Schatten
Auch die Sicherheitsbedenken nehmen zu. Entwickler nutzen AI-Coding-Agenten heute oft nicht nur mit Quellcode, sondern geben auch API-Strukturen und interne Authentifizierungsinformationen ein. Wenn solche Anfragen jedoch über nicht verifizierte Proxy-Server laufen, besteht das Risiko, dass selbst interne Unternehmensinformationen unverändert an externe Server abfließen.
Forscherin Chen erklärte: "Die Nutzung von AI-Diensten über nicht verifizierte Proxys unterscheidet sich faktisch nicht davon, vertrauliche Daten an die Server eines Dritten zu senden."
Zum Schluss
Dieser Fall geht über das Problem eines bloßen illegalen Vertriebs hinaus und zeigt, dass sich im AI-Zeitalter ein neuer "Markt für Datendiebstahl" bildet. Wenn einem ein auffällig günstiges API-Gateway begegnet, sollte man zumindest einmal hinterfragen, was im Hintergrund tatsächlich passiert. Besonders wer mit Coding-Agenten am Unternehmenscode arbeitet, sollte noch einmal prüfen, wohin der Traffic tatsächlich fließt.
Quelle: KMJ — https://www.kmjournal.net/news/articleView.html?idxno=11241