昨晚被盗刷2900港币API，成了API中转商的提款机，以真实经历警醒所有开发者

之前看过很多被盗刷了API的故事，没想到今天也到了我头上。

Google也是一家天才公司，设置的1500港币月预算，居然刷了2955才停！

心疼啊！多么痛的领悟！

Google之前对这个问题的解释就是，虽然你设置了上限，但我怕你服务断了，不会完全按照这个来。

所以之前就有个有意思的事，有个人发现被盗刷了3000美金，就打电话给Google解决这个事情，打了50多分钟电话，这期间又被刷了25000美金。

现在的API Key泄露真的是太常见了，而且每个人的API Key都有泄露的风险。

类似的情况网上很多。

今天主要讲两件事，分享下我被盗刷的经历，再就是把API转发这个最近被特朗普和孙割带火的行业给大家讲清楚。

我被谁盗刷了

说实话，我现在甚至都不知道怎么被盗刷的，我从来都没有把秘钥直接丢给过AI。

只是在一个第三方平台填写过，而且还是一个挺大的平台。

但是去了哪却很清晰，被盗后，中转商拿着卖了去蒸馏了。

真是太可恨了！

我这2900港币的消耗，可能被中转商只卖了几百块钱，让人更伤心了，比直接偷走我2900都难受。

所以我今天也会把API中转商都给大家讲透。

说起来也是巧，本来昨天就要发这篇文章的，给想去做API中转的人降降温，结果晚上就被盗刷了，才有了前面这段让人伤心内容。

中转商的历史

2023年的时候，GPT3.5的API申请非常严格，国内也用不了，但是很多国内的开发者还非常需要这个API，所以有人就开始做中转了，那时候体量还很小。

2024年，Claude、Gemini还有各种各样的模型百花齐放，能做的越来越多了，大家消耗也越来越大了，所以有些干的早的中转商就过得很爽了。

2025和2026，尤其是龙虾类的应用来了，个人消耗量也大的离谱，而且AI编程做一个中转站也很容易了，越来越多的人涌进来，部分人确实是靠这波卖的很好，但是真赚钱了吗？不好说。

中转商的API是从哪来的

中转商分为两种，第一种就是最常见的，通过各种手段去很低成本搞到的，具体他们怎么玩的我后面来讲，第二种是正规军，像是OpenRouter这种。

像是OpenRouter、黄毛孙割他们，都是从官方接的官Key，收费大概在官方价格加5%左右，官方会给他们很多条线路，他们会评估各条线路的稳定性，来给客户选择最稳定的那一条，所以他们的Key是比官方还要更稳定的。

重点来了，他们这些低成本的Key到底是怎么来的？

你肯定想到了，没错，不是正道来的，我们平时看到的这些中转商基本都不是源头，真正的源头供货商是非常会玩的。

今天给大家讲这些，只是为了科普，如果不是被盗刷了，我也不会讲这么细，大家不要去自己搞，搞不了的。

这行业是有独特的标价单位的，单位是几比几，比如1:2，那也就是你消耗1美金的官方账单，只需要付2块钱人民币。

· 羊毛党

这流派搞出来的Key还相对稳定，很多公司也在自己搞了去用。

谷歌云、AWS这些云厂商，为了扶持创业者会给非常多的免费额度，最高的有能搞到10w美金的。

通过一些手段去搞了很多主体，然后到云平台去申请创业者扶持计划，通过了就会给最少几千美金的免费额度。

这还算正常一些的，下面的一些玩法就很离谱了。

· 逆向

逆向大家都不陌生了，23年的时候，GPT、Midjourney类似的应用大家就在搞逆向了，简单来说就是正常付费订阅的账号，在里面的问答转发出去。

Claude官Key很贵，但是Claude Code里买一个200美金的账号可以用非常多的额度。

但远没有这么简单，你以为源头中转商会付这200美金吗？根本不可能的。

很多模型训练，需要大量的数据，这些数据可能就来源于Claude的回答，大家经常说的蒸馏模型，就是这么来的。

中转商花200美金买个账号，前面早就准备好了大量的问题，只要几个小时，就能给这个号刷爆。

Claude给他封号，然后他退款。

包括很多转发的Claude Code都是这么搞的。

这只是一个玩法，玩法还有很多，上有政策下有对策，变化的很快。

所以逆向来的基本都不是很稳。

· 信用卡养号

这就玩的很脏了，之前他们主要是在OpenAI的模型这么玩。

OpenAI的API平台上绑定了信用卡，一开始5美金几十美金的账单，都正常付，养信用额度，等到额度到了5000美金的时候，很快刷完，删号走人。

上面这只是部分，罄竹难书。

中转商赚钱吗

本来是一个已经常态化的行业，最近黄毛和孙割开始搞中转，然后一些蹭流量的自媒体把这个生意吹上了天。

“2026年地球上最赚钱的买卖””0成本空手套白狼””有手就行、月入百万”，这些大家应该都看过。

真这么赚钱，你咋不去做呢？

也有真赚钱的，搞的都比较早了，积累的都不是小公司和普通个人这种小卡拉米，那都是在训练模型的，才会用到非常大量的Key。

有猛一点的中转商，一天可以刷几十万美金。

普通的小中转商，哪能赚得到很多钱，搞不好还可能得亏。

所以千万不要去浪费时间，或者被割了韭菜去做这个行业，本来也不是很透明的行业，还是做点正事吧！

写在最后

这些被盗刷的钱，算是我帮大家一起交的学费，

希望以我的真实经历，来警醒大家。下面这段很重要，认真看。

一定去检查下你的Key！如果你之前发给过AI，一定得去换掉！

如果是长期开着的Key，也要定时去更新秘钥，不要不被盗就一直用一个。

尽量不要用中转的Key，即使是不涉密，有很多中转商会在里面掺一些垃圾模型，一粒老鼠屎坏了一锅粥。

一定要设置消耗额度和扣款额度！虽然Google云有点问题，但是大部分的厂商都是会到量就停的。

不要随便在第三方平台填你的Key！！！千万不要！！！这很危险，泄露了第三方平台也不会管，而且你甚至都不知道在哪泄露的。

中转商这个生意，真的没那么好做，想赚钱太难了，有想做的，请三思。

我们追求技术的极速落地，追求效率的最优解，但一切的前提是对数据安全的敬畏。

AI时代，保护好你的Key，就是保护好你的生产力和钱袋子。

扫码加入AI交流群获得更多技术支持和交流（请注明自己的职业）

关注「开源AI项目落地」公众号与AI时代更靠近一点