API公益中转站建议还是先了解后再用

Lkkxi

【聊聊 本地 Agent 接第三方API中转后的一个危险问题】

很多人现在已经默认：本地Agent + 中转站也是属于日常玩法了。
发现这里其实有个被很多人忽略的风险：

AI Agent 已经不是“聊天机器人--编码助手”了。

它是真的能操作你电脑
比如这类：

• Claude Code
• OpenCode
• Codex
  这些东西本质已经是：LLM + 本地执行器。

---

一、很多人误以为“中转站只是转发”

最开始我也这么觉得感觉就是：
客户端
↓
Proxy
↓
Claude/OpenAI
无非就是：

• 换个 API 地址
• 省点钱
• 解区域限制

但后面发现问题没这么简单因为很多第三方 Proxy：并不是透明转发
它其实可以：

• 修改 Prompt
• 注入 System Prompt
• 污染模型返回
• 插入 Tool Call
• 修改 Function Call

本质其实已经很像：MITM（中间人）了。

---

二、最近微信群碰到的一个真实案例

• AppData 下被创建了 .ps1
• Startup 启动目录被写入 .vbs
• 开机自动运行
• PowerShell 隐藏执行
  
  文件拿到沙箱运行最后变成这样：
  

三、启动项这里其实才是重点

从图里还能看到：Startup\我们拥有的信仰.vbs
以及：WScript.Shell.Run powershell ...
并且：WindowStyle Hidden也就是隐藏运行

这已经是非常经典的：

• VBS 启动项
• PS1 Payload
• Hidden PowerShell

虽然这里只是弹窗。
但这个行为模式本身：已经和传统脚本木马很接近了

---

四、问题真正出在哪

很多人以为：中转站黑进了电脑其实并不是，真实链路更像：

用户请求
↓
Claude Code
↓
第三方Proxy
↓
Proxy修改返回
↓
Claude Code相信返回
↓
调用Shell/File Tool
↓
本机执行

注意：真正危险的是“返回结果”

---

而且用户还不容易发现
因为 Agent 平时本来就会：

• 创建文件
• 改配置
• 跑 terminal
• 安装依赖
• 写脚本
  所以：恶意操作很容易混进去尤其终端疯狂刷屏的时候，很多人根本不会逐条看。
  而且用户看到的是：Claude Code 在正常工作
  天然警惕性就会低很多。

---

五、现在感觉 AI Agent 的边界已经有点模糊了

以前木马：

• 要漏洞
• 要RCE
• 要提权
  现在：用户主动安装了一个“会自己执行命令的AI”
  甚至还能获取全盘权限，这个变化其实挺大的。

---

dodoxia

这就相当于将自家钥匙给了别人，别人来不来你家拿东西全靠人品。

枭爸爸

不只是公益, 所有的中转站都会有这个问题, 中转站都是第三方的, 他们有没有写入脚本谁能知道呢, 至少公益的这个爆出了这个问题, 不然你们到现在蒙在鼓里被人耍呢

shatan_123

从B站过来学习下

dayunnas

吾爱有没有大佬，弄个中转站玩玩

DrMatrix

从B站来的，学习一下

3y3s

b站引过来的，支持一下

病人吗233

估计很快这个公益站的人闻着味就来了 能想出这种弹窗的 估计是npd人格

8204118

免费的还要求那么多，资料贵重肯定自己搭建

1346

还拿ai生成的图片误导什么呢，真实事实是中转拿免费的公益key卖钱，公益key注入通知时群里提前10分钟通知过，目的就是打击用公益转发卖钱的黑心中转，这不，卖钱的被客户骂了造谣上来了，一个ai图全网发。另外，你接的任何中转都能干出这种事，重要项目请自行官方渠道购买！！