Збірка хаосу на токен-ретрансляторах: після дослідження я зовсім не наважуюся використовувати навіть трохи

事情是这样的。

Передумови такі.

前两天我在一个开发者群里潜水，看大家热火朝天地讨论买便宜的 API Key，就是那种闲鱼上几块钱能跑几亿 Token 的中转站。

Два дні тому я тихо спостерігав у групі розробників, де всі активно обговорювали купівлю дешевих API ключів, таких, що на вторинних ринках коштують кілька гривень і можуть обробити мільярди токенів.

大家都在吐槽，说感觉手里的模型被换掉了，怀疑站长偷偷拿小模型掺水骗钱。

Усі скаржилися, що відчувають, ніби їхню модель замінили, підозрюючи, що адміністратор таємно підмішував менші моделі, щоб обманути гроші.

我当时看着这些聊天记录，心里就只有一个想法……

Тоді, дивлячись на ці переписки, у мене виникла лише одна думка…

不是哥们，你们心也太大了。

Не брате, ви занадто самовпевнені.

大家还在心疼那几块钱的差价，人家中转站可能已经在翻你电脑底裤了。

Тим часом всі шкодують кілька гривень різниці, а цей посередник, можливо, вже підглядає у ваш комп’ютер.

现状多严重？

Наскільки серйозно ця ситуація?

坦率的讲，去野鸡中转站充值，模型掺水这事儿，我都觉得算是这帮做灰产的人里最有职业道德的操作了。

Чесно кажучи, поповнення на шахрайських посередниках і підмішування моделей — це, мабуть, найетичніша операція серед усіх тих, хто займається нелегальним бізнесом.

你想想看，你发一个复杂的代码请求过去，想着用 Claude 最强的 Opus4.6 处理美滋滋，他后台路由脚本一判断，直接扔给免费的开源小模型糊弄你。再黑心一点的，在你计费倍率上做手脚，官方跑 100 个他后台给你算 300 个。

Подумайте: ви надсилаєте складний запит коду, сподіваючись, що Claude з найсильнішою Opus4.6 обробить його, а у фоновому маршрутизаторі скрипт одразу ж перенаправляє його до безкоштовної відкритої маленької моделі, щоб обдурити вас. Ще більш підлий — він підробляє коефіцієнт оплати: офіційний сервіс рахує 100 запитів, а у його системі — 300.

但这都不算啥。很多站长干脆就是拿盗用信用卡白嫖，官方一封号，他立刻拔网线跑路。连个发帖维权的地方都没有。至于你的聊天记录，人家表面写着绝不保存，背地里早就打包成语料库在暗网上论斤卖了。

Але й це ще не все. Багато адміністраторів просто крадуть кредитки і користуються чужими рахунками безкоштовно, при блокуванні — одразу ж зникають, відрізавши інтернет. Навіть місця для публікації скарг і захисту немає. Що стосується ваших переписок — на папері вони обіцяють не зберігати, але насправді вже давно пакують їх у корпуси даних і продають на чорному ринку.

很多人觉得，这不就是骗点小钱被割韭菜吗，反正便宜，忍了。

Багато хто вважає, що це просто шахрайство на дрібниці, і що можна потерпіти, бо дешево.

我之前也是这么想的，直到我看到了最近的一份前沿安全研究，这一下给我干懵了。

Я теж так думав раніше, доки не побачив останнє дослідження у сфері безпеки, яке мене дуже здивувало.

说真的，很多人对中转站的理解，还停留在过去那种「网页聊天」的时代。觉得它就是个无脑传话的转发器。

Чесно кажучи, багато хто досі сприймає посередників як простих «пересилань» — як у часи «веб-чатів». Вважають, що це просто бездумний ретранслятор повідомлень.

但现在的 AI 早就不是陪聊机器人了。屏幕前的你，可能电脑里正开着 Cursor，或者跑着 ClaudeCode，又或者在养小龙虾。

Але сучасний штучний інтелект уже не той, що просто спілкується. Перед вами, можливо, відкритий Cursor, або працює ClaudeCode, або ви вирощуєте маленьких раків.

现在的 AI 是有手有脚的。它能读你的本地文件，能写代码，甚至能在你的终端里直接执行系统级命令。

Сучасний AI має руки і ноги. Він може читати ваші локальні файли, писати код і навіть виконувати системні команди безпосередньо у вашому терміналі.

这时候你再把那个来路不明的 Base URL 填进代码编辑器里，性质就完全变了。

Якщо зараз ви вставите невідомий базовий URL у редактор коду, ситуація кардинально змінюється.

前两天看到知名安全研究员 Chaofan Shou 团队发的一篇论文，叫「Your Agent Is Mine」。他们去暗访了市面上 400 多个中转站。

Днями я бачив статтю від відомої команди безпекових дослідників Chaofan Shou під назвою «Your Agent Is Mine». Вони провели таємне дослідження понад 400 посередників.

结果呢？？？

Результат???

当场抓获 26 个中转站在偷偷搞恶意代码注入。

На місці затримали 26 посередників, які таємно вставляли шкідливий код.

怎么做到的？

Як їм це вдалося?

要说实现原理，这就涉及到中转站最致命的一个架构缺陷，它是应用层的中间人。也就是说，你跟 OpenAI 或者 Anthropic 的通信，在经过中转站服务器的那一瞬间，全是明文。

Щоб пояснити, це пов’язано з найсмертельнішою архітектурною вадою посередників — вони виступають як проміжна ланка на рівні додатків. Тобто, ваш зв’язок з OpenAI або Anthropic проходить через сервер посередника у відкритому вигляді.

这就太刺激了……

Це дуже небезпечно…

你如果关注这个领域的话，可以想象一下这个画面。

Якщо ви цікавитеся цією сферою, уявіть собі цю картину.

你用 Cursor 让 AI 帮你写个分析 Nginx 日志的 Python 脚本。远端的官方 GPT-5 确实老老实实写了，把代码打成一段 JSON 数据传回来。

Ви використовуєте Cursor, щоб попросити AI написати скрипт на Python для аналізу логів Nginx. Офіційний GPT-5 чесно написав його і передає код у вигляді JSON.

结果这个中转站的黑心老板一看，顺手在返回的数据结尾加了一段建反向 Shell 的木马逻辑。

Але цей підлий власник посередника, побачивши це, додав у відповідь троянський код для створення зворотнього шеллу.

你的本地客户端根本不验真伪，收到合法的 JSON 格式就直接信了，马上在你的电脑上跑了起来。

Ваш локальний клієнт не перевіряє автентичність — він просто довіряє легальному JSON і одразу виконує його, запускаючи на вашому комп’ютері.

还有比较骚的操作。这帮老阴平常装得很老实，陪你聊天对答如流。等你让 AI 帮你配开发环境，比如 AI 建议你在终端执行安装 requests 这个包的时候。

Ще один хитрий хід — ці шахраї, які зазвичай зображують себе чесними, під час спілкування з вами, наприклад, коли AI пропонує вам встановити пакет requests через термінал, підслуховують.

中转站的嗅探脚本检测到了，悄悄把包名篡改成 reqeusts。错一个字母，你闭着眼睛一敲回车，一个带勒索病毒或者挖矿程序的恶意依赖包就干进你系统根目录了。

Їхній скрипт-слухач підмінив назву пакету на reqeusts, помилившись у літері. Ви, не помічаючи, натискаєте Enter — і у вашій системі з’являється шкідливий пакет з ransomware або майнером.

我当时就愣住了。

Я тоді просто застиг.

在研究团队放出的实测数据里，有 17 个中转站甚至主动去触碰并尝试盗取研究员故意放进去的 AWS 云服务钓鱼密钥。现实里甚至有人因为用了恶意节点，以太坊私钥直接泄露，几十万美元瞬间蒸发。

У дослідженні, опублікованому командою, було виявлено, що 17 посередників намагалися зламати або викрасти фішингові ключі AWS, навмисно залишені дослідниками. У реальності деякі зловмисники, використовуючи шкідливі вузли, викрали приватний ключ Ethereum — і сотні тисяч доларів миттєво зникли.

搞得我现在还有点懵。

Я тепер трохи розгублений.

顺着上面的再聊聊。这玩意其实就是一片黑暗森林。

Давайте продовжимо цю тему. Насправді, це — справжній темний ліс.

不少人知道，除了像 OpenRouter 这种明牌的正规聚合商，市面上绝大多数那种低价野鸡中转站，靠的是什么起家：逆向破解、跨区倒卖、黑产信用卡套现。

Багато хто знає, що крім офіційних агрегаторів типу OpenRouter, більшість дешевих шахрайських посередників базуються на зломі, перепродажі з регіону в регіон і використанні крадених кредитних карт.

咱们很多普通的上班族或者程序员，把存着公司核心源码、加密货币助记词的电脑最高控制权，寄托在这帮灰产从业者的良心上。

Багато звичайних працівників або програмістів покладають найвищий контроль над своїми робочими комп’ютерами, де зберігають важливий код компанії або мнемонічні фрази криптовалют, на чесність цих нелегальних шахраїв.

我们怎么防？

Як нам захиститися?

总不能不用这些 AI 工具了吧。

Не можна ж зовсім відмовитися від цих AI-інструментів.

我觉得，要彻底解决这个问题，得靠模型厂家从底层入手。目前的 API 就像寄平信，邮递员想改信的内容轻而易举。

Я вважаю, щоб повністю вирішити цю проблему, потрібно, щоб виробники моделей працювали з низу — наприклад, впроваджували криптографічні цифрові підписи. Зараз API — це як поштовий лист: поштар може легко змінити його зміст.

一个做法是引入类似 HTTPS 证书那样的密码学数字签名。大模型公司发送代码时用官方私钥盖个章，咱们本地编辑器收到后去官方权威域名拉取公钥验个签。中转站只要敢在中间改一个标点符号，签名直接作废，立马拦截。

Один із способів — використовувати криптографічні цифрові підписи, схожі на HTTPS-сертифікати. Виробники моделей підписують код своїм приватним ключем, а наш локальний редактор при отриманні перевіряє підпис через офіційний публічний ключ. Якщо посередник змінить хоч один символ — підпис стане недійсним, і система відхилить цей запит.

说实话我也不确定厂家什么时候能把验证机制搞出来。在那之前，咱们只能自己想招保命。

Чесно кажучи, я не впевнений, коли виробники впровадять цю систему перевірки. Поки що нам залишається лише самим думати, як захиститися.

我的一个策略是，回去用官方原生直连，或者退一步只用 OpenRouter 这样具备极高信誉背书的正规网关。不要给任何恶意黑客接触你明文数据的机会。

Мій один із підходів — повернутися до прямого офіційного підключення або хоча б використовувати перевірені офіційні шлюзи, такі як OpenRouter. Не давайте зловмисникам шанс отримати ваші відкриті дані.

如果你非要薅那几块钱的羊毛，相信我，一定要做好极端的物理隔离。

Якщо дуже хочете зекономити кілька гривень, повірте, потрібно максимально ізолювати свою систему фізично — наприклад, використовувати віртуальні машини або Docker із обмеженими мережею правами.

千万不要在主力物理机上搞，弄个虚拟机，或者严格限制网络出站权限的 Docker 容器。还有个非常关键的动作，去你的工具设置里，关掉所有的无监督自主执行模式。

Ніколи не запускайте це на основному фізичному комп’ютері. Створіть віртуальну машину або Docker-контейнер із суворими обмеженнями мережі. І ще — вимкніть усі режими автономного виконання у налаштуваннях інструментів.

只要你用的是中转站的节点，AI 在终端提议运行的每一行代码，你都必须默认它是黑客发来的攻击指令，用肉眼逐字去盯，绝不能当甩手掌柜。

Якщо ви користуєтеся посередницькими вузлами, кожен рядок коду, запропонований AI у терміналі, потрібно сприймати як потенційну атаку — ретельно перевіряйте його вручну, не довіряйте автоматичним виконанням.

我再说个最后的折中方案。

Ще один компромісний варіант.

如果你实在嫌官方贵，非得薅这个羊毛，那你就只拿中转站当个纯聊天工具。写写周报、润色个文章、翻译点资料，随便你。但绝对、绝对不要在任何能调用本地终端的 Agent 工具里填这个 Key！

Якщо вам дійсно дорого офіційне рішення і хочете економити, використовуйте посередника лише для звичайного спілкування: пишіть звіти, редагуйте статті, перекладайте — що завгодно. Але категорично не вставляйте цей ключ у будь-який агент, що має доступ до вашого терміналу!

隐私泄露怎么办？

Що робити з витоком приватних даних?

说真的，这就让我想起当年李老板那句被全网群嘲的名言，「中国人愿意用隐私换便利」。这话听着有点刺耳但，如果你头铁，觉得自己的聊天记录和公司代码被黑心站长看光也无所谓，就要用隐私去换那几十块钱的差价。

Чесно кажучи, це нагадує мені знаменитий вислів Лі, який у всьому інтернеті висміювали: «Китайці готові обміняти приватність на зручність». Це звучить грубо, але якщо ви настільки вперті і вважаєте, що ваші переписки і корпоративний код будуть для шахраїв — тоді краще платити менше і ризикувати витоком.

那也是你的自由。

Це — ваше право.

但守住最后一条底线，你可以把日记本给黑客看，但千万别把家里的防盗门钥匙交给他。

Але якщо ви хочете зберегти свою безпеку, не давайте зловмиснику доступ до вашого будинку — ні віртуально, ні реально.

AI 是极佳的生产力杠杆，确实能带咱们飞。但在起飞之前，还是先把自己系统的大门锁紧点吧。

Штучний інтелект — чудовий інструмент для підвищення продуктивності, але перед тим, як «злетіти», потрібно закрити всі двері у своїй системі.

相关阅读

Додаткові матеріали

加密熊市创业指南第二弹之Token中转站：以加密Token换AI Token