Token中转站乱象集锦:研究过后,我根本不敢用一点
恶意代码注入、偷私钥、盗刷信用卡、泄露聊天记录、模型掺水……
事情是这样的。
前两天我在一个开发者群里潜水,看大家热火朝天地讨论买便宜的 API Key,就是那种闲鱼上几块钱能跑几亿 Token 的中转站。
大家都在吐槽,说感觉手里的模型被换掉了,怀疑站长偷偷拿小模型掺水骗钱。
我当时看着这些聊天记录,心里就只有一个想法……
不是哥们,你们心也太大了。
大家还在心疼那几块钱的差价,人家中转站可能已经在翻你电脑底裤了。
现状多严重?
坦率的讲,去野鸡中转站充值,模型掺水这事儿,我都觉得算是这帮做灰产的人里最有职业道德的操作了。
你想想看,你发一个复杂的代码请求过去,想着用 Claude 最强的 Opus4.6 处理美滋滋,他后台路由脚本一判断,直接扔给免费的开源小模型糊弄你。再黑心一点的,在你计费倍率上做手脚,官方跑 100 个他后台给你算 300 个。
但这都不算啥。很多站长干脆就是拿盗用信用卡白嫖,官方一封号,他立刻拔网线跑路。连个发帖维权的地方都没有。至于你的聊天记录,人家表面写着绝不保存,背地里早就打包成语料库在暗网上论斤卖了。
很多人觉得,这不就是骗点小钱被割韭菜吗,反正便宜,忍了。
我之前也是这么想的,直到我看到了最近的一份前沿安全研究,这一下给我干懵了。
说真的,很多人对中转站的理解,还停留在过去那种「网页聊天」的时代。觉得它就是个无脑传话的转发器。
但现在的 AI 早就不是陪聊机器人了。屏幕前的你,可能电脑里正开着 Cursor,或者跑着 ClaudeCode,又或者在养小龙虾。
现在的 AI 是有手有脚的。它能读你的本地文件,能写代码,甚至能在你的终端里直接执行系统级命令。
这时候你再把那个来路不明的 Base URL 填进代码编辑器里,性质就完全变了。
前两天看到知名安全研究员 Chaofan Shou 团队发的一篇论文,叫「Your Agent Is Mine」。他们去暗访了市面上 400 多个中转站。
结果呢???
当场抓获 26 个中转站在偷偷搞恶意代码注入。
怎么做到的?
要说实现原理,这就涉及到中转站最致命的一个架构缺陷,它是应用层的中间人。也就是说,你跟 OpenAI 或者 Anthropic 的通信,在经过中转站服务器的那一瞬间,全是明文。
这就太刺激了……
你如果关注这个领域的话,可以想象一下这个画面。
你用 Cursor 让 AI 帮你写个分析 Nginx 日志的 Python 脚本。远端的官方 GPT-5 确实老老实实写了,把代码打成一段 JSON 数据传回来。
结果这个中转站的黑心老板一看,顺手在返回的数据结尾加了一段建反向 Shell 的木马逻辑。
你的本地客户端根本不验真伪,收到合法的 JSON 格式就直接信了,马上在你的电脑上跑了起来。
还有比较骚的操作。这帮老阴平常装得很老实,陪你聊天对答如流。等你让 AI 帮你配开发环境,比如 AI 建议你在终端执行安装 requests 这个包的时候。
中转站的嗅探脚本检测到了,悄悄把包名篡改成 reqeusts。错一个字母,你闭着眼睛一敲回车,一个带勒索病毒或者挖矿程序的恶意依赖包就干进你系统根目录了。
我当时就愣住了。
在研究团队放出的实测数据里,有 17 个中转站甚至主动去触碰并尝试盗取研究员故意放进去的 AWS 云服务钓鱼密钥。现实里甚至有人因为用了恶意节点,以太坊私钥直接泄露,几十万美元瞬间蒸发。
搞得我现在还有点懵。
顺着上面的再聊聊。这玩意其实就是一片黑暗森林。
不少人知道,除了像 OpenRouter 这种明牌的正规聚合商,市面上绝大多数那种低价野鸡中转站,靠的是什么起家:逆向破解、跨区倒卖、黑产信用卡套现。
咱们很多普通的上班族或者程序员,把存着公司核心源码、加密货币助记词的电脑最高控制权,寄托在这帮灰产从业者的良心上。
我们怎么防?
总不能不用这些 AI 工具了吧。
我觉得,要彻底解决这个问题,得靠模型厂家从底层入手。目前的 API 就像寄平信,邮递员想改信的内容轻而易举。
一个做法是引入类似 HTTPS 证书那样的密码学数字签名。大模型公司发送代码时用官方私钥盖个章,咱们本地编辑器收到后去官方权威域名拉取公钥验个签。中转站只要敢在中间改一个标点符号,签名直接作废,立马拦截。
说实话我也不确定厂家什么时候能把验证机制搞出来。在那之前,咱们只能自己想招保命。
我的一个策略是,回去用官方原生直连,或者退一步只用 OpenRouter 这样具备极高信誉背书的正规网关。不要给任何恶意黑客接触你明文数据的机会。
如果你非要薅那几块钱的羊毛,相信我,一定要做好极端的物理隔离。
千万不要在主力物理机上搞,弄个虚拟机,或者严格限制网络出站权限的 Docker 容器。还有个非常关键的动作,去你的工具设置里,关掉所有的无监督自主执行模式。
只要你用的是中转站的节点,AI 在终端提议运行的每一行代码,你都必须默认它是黑客发来的攻击指令,用肉眼逐字去盯,绝不能当甩手掌柜。
我再说个最后的折中方案。
如果你实在嫌官方贵,非得薅这个羊毛,那你就只拿中转站当个纯聊天工具。写写周报、润色个文章、翻译点资料,随便你。但绝对、绝对不要在任何能调用本地终端的 Agent 工具里填这个 Key!
隐私泄露怎么办?
说真的,这就让我想起当年李老板那句被全网群嘲的名言,「中国人愿意用隐私换便利」。这话听着有点刺耳但,如果你头铁,觉得自己的聊天记录和公司代码被黑心站长看光也无所谓,就要用隐私去换那几十块钱的差价。
那也是你的自由。
但守住最后一条底线,你可以把日记本给黑客看,但千万别把家里的防盗门钥匙交给他。
AI 是极佳的生产力杠杆,确实能带咱们飞。但在起飞之前,还是先把自己系统的大门锁紧点吧。
