这两天群里炸了。
有人在 OpenAI 官方社区发安全报告,把 Apple Pay 收据验证漏洞的原理完整公开。评论区两派——一派骂”汉奸”,一派说”早该公开”。
但比漏洞更有意思的是经济账:一个 Pro 跑满,能产出 3.5 万元人民币的 token。
薅羊毛的人在狂欢,但我更想聊的是:OpenAI 真的不知道吗?还是说,这本来就是留给经销商的口子?
一、漏洞到底是什么?不查身份证
原理极其简单,简单到让人怀疑是故意的。
正常流程:iPhone 上买 Plus → App Store 扣钱 → Apple 生成加密收据 → App 把收据和登录 token 一起发给 OpenAI → OpenAI 验证 → 开通 Plus。
问题在最后一步。 OpenAI 只看:收据真不真、token 活不活。这张收据是谁买的——不查。
| 验证项 | 是否校验 |
|---|---|
| 收据密码学签名 | ✅ 验证 |
| Auth Token 有效性 | ✅ 验证 |
| 收据与账号Apple ID匹配 | ❌ 不验证 |
| 收据是否已被使用 | ❌ 不验证 |
好比拿别人的超市小票去退货,柜员只看小票真假,不看你是不是买东西那个人。
一张土耳其区收据,成本约85元,可给无限个账号开通Plus。 闲鱼上二三十块的 GPT Plus 代充,就是这么来的。
二、算笔账:Pro到底能跑出多少?
漏洞薅的是 Plus,但更大的经济账在 Pro 身上。群里开始算账,没人能给精确数字,但大致量级出来了:
一个 Pro($200/月),跑满约产出3.5万元等值token。 按周算,一个 Pro 一周约跑 8500 元。这还是 x2 倍率——6月1日起额度减半。
| 指标 | 数值 |
|---|---|
| Pro 月费 | $200(约1400元) |
| 跑满月产出 | ≈ 3.5万元等值token |
| 周均产出 | ≈ 8500元 |
| 投入产出比 | 1:25 |
| 6.1后预计 | 额度减半 |
有人嫌”才跑这么点”——但这是 coding 场景大量 cache 命中的情况。cache 低的场景消耗更高,体感更”浪费”。
不管怎么算,200美元跑出好几万,倍率足以让中转站们疯狂。
三、中转站暴利:月入百万不是说说的
中转站模式简单:低成本拿 API 额度,几分之一价格卖给用户。网络和支付限制让中转站成了”刚需”。
群里有人透露:搞 Claude 中转站的,月入百万不是说说的。 有人问”为啥不下场搞”,答案很现实——要稳定服务器、账号池、能熬夜。 某个 Claude 中转站运维曾连续通宵好几天处理封号。
| 对比 | OpenAI 中转 | Claude 中转 |
|---|---|---|
| 封号风险 | 近期加强 | 一直很严 |
| 资金门槛 | 低 | 高 |
| 利润空间 | 高 | 极高 |
| 运维强度 | 中等 | 通宵级 |
一个 Plus 卖 7 块。 3.7 版本的 Claude,7 块钱一个月。赚的就是信息差和规模效应。
X上两帮人在打架——一帮想把 token 弄成白菜价普惠大众,另一帮想维持信息差继续赚钱。 漏洞公开后,矛盾彻底激化。
四、放水养鱼,还是真漏洞?
一方认为纯属安全疏忽。 iOS 内购凭据发往第三方服务器是正常开发逻辑,OpenAI 在这条链路上偷了懒。
另一方——包括我——倾向于”放水养鱼”。
理由:OpenAI 不是小公司,安全团队不至于想不到收据绑定。 漏洞存在不短了,修复成本极低(加一个 Apple ID 比对),但一直没修。
我的判断:OpenAI 大头收入在企业 API,订阅收入占比不高。 与其堵漏洞减少用户量,不如让中转站帮忙扩大用户基数。等生态养肥了再收网——这不就是”放水养鱼”吗?
当然有人直接在官方社区举报了,被骂”不给国人好日子”。但换个角度——你薅的每根羊毛,最终都会转嫁到正价付费用户头上。
五、每个人都应该为未来买单
薅羊毛的快感是短期的,AI 的发展需要长期的资金支持。 模型训练、推理算力、安全研究——每一项都烧钱。所有人都在白嫖,结果只有一个:涨价或降质。
我不是说不该追求性价比。但如果你是 AI 重度用户,想让工具持续进化,正价支持是最稳的策略。 靠漏洞搞的账号随时可能被封——你以为省了钱,其实是把工作流建在沙子上。
写在最后
200美元跑出3.5万,很爽。但窗口期不会太长——OpenAI 修漏洞、6月额度减半、封号潮,总有一个会来。
我一个人打造的 Zaokit AI 正在内测,2026年4月30日前1000名用户赠送价值150RMB的Pro计划,助力大家高效完成图文创作和PPT生成,唯一网站:zaokit.app。
薅羊毛薅的是现在,为未来买单买的是确定性。漏洞会关,差价会消,但你用 AI 建立的能力和认知,谁也拿不走。
