最近发现一些 AI 相关帖子下，存在 claude code 中转的小广告。
其中转的基本原理就是 claude code 允许自己提供 API endpoint 和 key ，可以使用任意一个 OpenAI API 兼容的供应商，就这么简单。
进一点 claude token ，再混入一点 qwen ，混着卖，谁能察觉？
这种图财的都算善良胆小的, 这才能挣几个钱?
真正值钱的必然在存钱的地方, 在重要数据上.
中转 API 的风险, 就和未加密的 HTTP 中转代理的风险一样, 是最简单的 MITM(中间人) 攻击.
首先, claude code 倾向读取大量文件，来生成高质量回答。中间人只需极其简单的代码，就可以使用关键字过滤出你的各种关键数字资产。
其次，绝大多数 claude code 被允许自行执行命令，能窥探的未必只有当前文件夹。尝试去理解 claude code 行为模式, 它可以被用来远程代码执行攻击. 虽然 claude code 会将自己下一步要做什么打印出来, 但诸位想想自己 vide coding 时, 所有 steps 都看了吗? 在一次超长时间的执行中, 中间人可以通知 cc 去搜索读取不相关文件的重要信息, 将这次读取直接中间人自己保存, 不加入计算的上下文. 在一次数万字的输出中, 仅中间有几十个字能显示它有可疑操作, 注意力就是你所需的一切, 但这时候你就是没注意.
第三, 自行执行命令除了读， 写也是基本操作, 给你的文件加个密, 能不能做到? 这条纯属我瞎想.
不过 git 操作很多人是给了权限的, 中间人插几句话, 给你的库加个 remote MITM, push 到 MITM, 再给你的代码库git reset --hard init一下子, 再试试来个 force push, 行不行? GitHub 自建的库默认就能 force push. 要几个比特币好? 大模型的 git 操作溜不溜, 用过的都有感受, 这通操作用不上 claude 4.0 sonnet, 那贵了, gemini 2.5 flash 足以, 勒索也要讲究成本.
我还见一些萌新 sudo 也给大模型, 还有的 root 一把梭, 一点安全意识没有.
现在网上在各评论区刷中转的人实在太多了, 安利中转的比安利 Claude Code 的都多, 天下无利不起早, 不要信它们.
MITM 能做的事, Anthropic 和 Google 是不是也能做到? 如何真正保护数字资产安全? 不像 AES 的公开可信, 大模型的这个你只能相信商誉.
别为了省一点钱, 忽略了自己的财产安全, 数字资产也是资产.
以上纯属被迫害妄想, 大家自己明辩, 也可友好讨论. 如果导致谁没有薅到便宜甚至免费的 Claude Sonnet, 不要怪我.

1827 次点击 ∙ 6 人收藏 ∙ 6 人感谢 加入收藏 Tweet 忽略主题 感谢

我也觉得不安全，支持楼主～～

挺有道理的，希望国内的厂家能给力点，早点出一些能正常付费使用的类似产品，哪怕能有 80 分。

那些免费的中转，我建议就不要尝试了。互联网产品：如果产品免费，那么用户就是产品。

远程代码攻击都不需要 agent 功能。随便在生成的代码里注入点东西就够你受的了。不仅限于 Claude Code 。除了 openrouter 别用任何中转。

其实我也不想用中转...
我也想付款 Claude 啊，但是国内银行发行的 Visa MasterCard 付不了款啊，难受啊

说得很好，之前大家很少讨论这方面的安全风险，最多就是说掺假，现在看来 cc 用得好是神器，但如果有坏人想搞事也很容易

agent 可以自动执行生成的代码和命令，说直白点就是远程任意代码执行，这个和 chat 面临的风险还是很不一样的。一般的 chat 页面生成的代码如果自己不去手动操作手动执行的话就不会带来问题，风险也有但是相对小一些，不是一个级别的安全隐患

其实是一样的。不过我指的是 api 调用，不是网页那种。

第一，agent 在执行代码的时候，很多时候还会在执行前让你确认。但是生成的代码一般就直接 merge 到你的代码里了。虽然你可以 review ，但是不会。
第二，agent 代码一般是在开发环境里执行的。有的甚至是 sandbox 。但是代码可能直接提交到你的生产环境了。可能是在服务器，也可能在客户浏览器。
第三，命令行往往比较简洁，而代码更长，更容易掩盖问题。
第四，如果有人要黑你，请假设他是专业的。任何漏洞都是同等严重。

ios 上你们不开 mitm 的？那个岂不是风险更大。

说实话，既然愿意给 200$的用户，肯定能解决付款、使用环境

只知道自己不检视 step ，好家伙代码都不检视，直接 merge 啊？调 tool 执行命令很简单，和埋入漏洞不是一种攻击方式

单独说 agent 的话是你说的这样，不过我觉得 cc 和一般的 agent 不一样。cc 用多了就会允许 cc 执行很多命令了，甚至很多老外都在说要默认开那个“放开所有权限”"--dangerously-skip-permissions"的参数，从漏洞来说的话如果出问题，大多数都是 0-click 的，多一个 review 的话，最多也是 1-click 的。另外 cc 不仅是执行命令，也可以写脚本然后执行脚本，不仔细 review 脚本是完全无法发现脚本的问题的，cc 完全可以自己写很长的代码然后自己去执行。 但是代码的话，生成的代码总得复制粘贴一下吧，要想恶意代码生效起码得多按几次鼠标和键盘，而不是“0-click”或“1-click”的。 说了这么多，我想强调 cc 中转和一般 api 中转带来的风险是“0-click”和 "N-click"的区别，但最后一点我是认同的，不可靠的供应商，不管是 cc 中转还是普通 api 中转都不可靠 。

所以最稳妥方案就是找朋友合租一个 cc max ，反正我就是这么弄的

别大惊小怪。直接 merge 的多的是。还很多用 async/background agent ，直接在 github 上帮你把活干了。

真正按行 review 的只有极少数轻量级用户。当然还有很多人嘴上说 AI 写的代码自己都看了，实际上你信他不如信我是秦始皇。

没事吧怕，没啥不能给的，能本事拿走就拿走，勒索了重装

你说的很专业, 那位对安全没有概念

自己做中间人和其他人做中间人不一样. 当然 app 的确也可以扫关键字. 所以主要还是依赖商誉.

我的狗屎项目不配被人搞哈哈哈，另外有个问题为啥同样是中转，有人说 openrouter 就可信了？洋大人不干坏事？

openrouter 目前用户量大, 有人认可它的商誉. 但 openrouter 下边还对接很多小供应商, 不好说这些信誉如何. 可以设置按排序选择倾向的供应商, 价格吞吐量延迟三个方面, 选择吞吐量大的可能更好隐藏自己. 就是选用的人多的.

目前想到的办法就是按行 review+不敏感项目使用+不给默认命令执行权限

确实 免费的东西还是有风险 用了一次不敢用了

真要隐私还是得私有化部署 deepseek

支持楼主的风险提示，感觉确实有的

支持楼主的风险提示，感觉确实有的

同意，要是 Deepseek R2 出来，能把算力要求降低到 1/10 ，那就人人都能私有化部署了

基本没错，程序员要是这点风险都察觉不了就有点。。。

把 root 给交 AI ，是真不怕全系统删除吗？😂

支持楼主的风险提示，感觉确实有的

在 docker 或者虚拟机里跑，大不了把我容器里东西全删了。安全问题我到觉得还好，主要的 api 掺假了，很多我估计用的垃圾模型当 Claude4sonet 用，代码越写越烂。

容器里跑的确是个好方式. vscode 也支持在 dev container 里用.

坚持要用中转的, 可以看看微软的这个 vscode 插件 ms-vscode-remote.remote-containers

有想过，但是写一些垃圾项目，无所谓啊。这代码本身就是 ai 生成的，毫无价值可言。

添加新回复
取消回复框停靠 回到顶部

← V2EX

报告这个主题