V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
V2EX  ›  maomaosang  ›  全部回复第 1 页 / 共 12 页
回复总数  240
1  2  3  4  5  6  7  8  9  10 ... 12  
14 小时 6 分钟前
回复了 maomaosang 创建的主题 程序员 嘲笑别人的 deepseek 偷跑 100 元后,我被偷跑了 2700 元
@realpg 厂商没有信,改长在我反馈之前。他们为什么改长我就不知道了。

自己的视角觉得能做的都做了,只能试图站在其他的视角了,楼上的 f key 已经击碎了我的梦。

我明白应该先从自己身上找问题。那个工具站是我这么多天想到的唯一一个“只会偷到某一个平台的 key”的工具了,结果一查人家没有网络上传。
15 小时 29 分钟前
回复了 maomaosang 创建的主题 程序员 嘲笑别人的 deepseek 偷跑 100 元后,我被偷跑了 2700 元
@realpg 36 楼提供了 f 开头的 apikey 之后,我也同意撞库的概率非常低了。但是排查工具链的话,实在已经把卷子来回检查了,局限在这里了。我可以相信你有经验、就是我这里漏了、问题的答案巨简单、你知道是谁偷的,但是这并不能帮助我更容易的定位到泄露点。。。

早上还想起一个工具站,可能我们往上贴过带 key 的 http 日志,抓包检查了以后发现它没有上传请求,前端演算的。后面会把这个日志里面的 key 也给脱敏掉。

哦我还有一个疑问,如果这种盗取方式和用途如此流行(以至于你知道谁偷的|以至于帖子里面有相同受害者),为什么网上都搜不到这样的受害者呢,哎。

我没有指望这些问题都得到回答,大家在网上萍水相逢。帖子和疑问放在这里,也许能有一天帮助到其他人。
@fov6363 一定程度上排除了撞的嫌疑,至少不是顺序开撞的。老哥方便加个微信吗,想聊聊看看大家有什么相同的工具链,找找共同点 eHh5bWFvbWFv

@realpg 发帖的时候已经把屋子翻了个底朝天了,人是有局限性的,一张卷子我自己翻来覆去的查,拿不了一百分就是拿不了,很遗憾你的“思路”确实是没有给我提供新的方向。
@fov6363 方便透露一下您被盗刷的 apikey 的前两位吗
@realpg 我有一些疑问。

如果是黑来的,既然每小时能烧 500 元,那么一晚上轻松干走 5000 ,何必这样一个多月断断续续只搞 2700 呢。如果计划偷摸搞,为什么又要搞出一个小时 500 元的峰呢,这个消耗量国内大部分 LLM 厂在监控到之后都会有销售跟进的。

如果我只是受害者之一,加上其他受害者,6 月至少有 20 亿字的翻译量。假设这些用量属于某个翻译插件,按照每用户两万字算,那么这个插件至少有 10 万活跃用户了,这个用户规模还有必要冒这么大的风险四处偷 token 吗。。

如果是代码库或 env 被盗,怎么不偷火山和其他厂呢,其他厂的模型翻译效果不好吗😂

这些疑问,以及更多疑问,在我排查的时候就不停的冒出来,互相矛盾,说不通,它完全不同于我过去遇到的任何一起安全事件。

anyway ,明天还是再查一遍插件,杂碎软件一律删除。

@crime1024 很好的思路,我后面看看哪些可以设置 IP 。有些 key 也是冲来方便大家日常使用的,不一定非要是工作用,所以有些 key 不太好限 IP ,还是限钱吧。

@fov6363 请问也是杭州厂吗?你们这个 key 有开通杭州厂主流模型的权限吗,还是说只能用 glm ?(用 glm5.2 做翻译也太豪横了)
@realpg 诉求提了。钱对公司来说是小钱,但是泄露的事情比较大,如果确认是撞到的,就算不退钱,我们换完 key 也就放心了。但如果不是撞的,家里还找不出来蟑螂窝,就非常膈应了,类似于不怕贼偷就怕贼惦记
再分享一张被偷跑 token 的用量

https://i.imgur.com/bNqYD1j.png
@sunrealzhang @hatori 感谢分享,我也补一点细节。

我们在杭州厂的一个 llm apikey ,是专门用于团队内部使用沉浸式翻译插件的,但本次被偷跑的不是这个 apikey 。

黑客的请求集中在一个 IP ,但请求的时间和频率很奇怪,参见下表:
https://imgur.com/a/3moyXRz
@wang93wei 不是业务层被刷的,而是黑客不知怎的拿到了 apikey ,从北京联通家宽发起的请求,我们服务器在杭州上海,团队在上海
@Yserver 😱 确实是没对这里做测试,看来新的 baseurl 只是用来做资源隔离的,不是 random key 的一部分

@vexify 因为历史原因,调用 llm 的库都是我们自己写的,甚至几乎没有 ai coding 参与,从这套东西里面找开源库的话,得找到 curl 这里去了,确切的说是 php-curl 。

@ujujzhaos 没有,因为业务上已经有限额了,所以这里没做,确实是疏忽,当天已经加上了。

@kneo “抽查”是工单人员经过我们授权后查看的,工单里面有一套这样的流程。
6 月 18 日
回复了 cloud0001 创建的主题 macOS Mac OS 类 Everything 文件搜索 APP 免费送兑换码
求个码,macos 终于有了搜索工具 eGllLnh1eWFuZ0BnbWFpbC5jb20=
另外,如果求码不成的话作者能不能考虑来个 18 元的限时促销 ^_^
“deepseek 犯这种错误”
2025 年 12 月 25 日
回复了 coconutwater 创建的主题 程序员 小米 mino v2 flash 套壳谷歌模型
「实在抱歉」
给楼主点赞,楼主讲究人儿,知错能道歉。
2025 年 11 月 7 日
回复了 OC0311 创建的主题 宽带症候群 老家不想装宽带,有没有远程办公上网方案推荐。
坐标上海,小作坊,设备 30 多个,烽火 pro2+b 站某 up 主的流量卡 1T/月,挺稳定的,前两天同事下 android studio 还跑出了 1GB/s 的高速,下载进度条一闪而过。
之前还用过鲲鹏无限,最差到最好的型号我都用过,支付宝上租的,几十到一百多一个月都有,现在好像不给租了,速度没有烽火好但是稳定性也没太大问题,搭了个路由用。

流量虚标问题,你只要不在乱七八糟的野生渠道买就没问题,我从没翻过车,不要过度担忧,那些都是大学生买野卡然后上网上吐槽(华*天*通除外)
2025 年 11 月 1 日
回复了 Charlie17Li 创建的主题 职场话题 [毁约]终于开始理解现在招人都喜欢多发 Offer
我在 14 楼的发言炸了个粪坑,还是回来给楼主说几句有建设意义的话。

我找工作的时候,确实遇到过已经接下了“黄金”offer ,结果又收到“钻石”offer 的情况,但是因为钻石 offer 晚于他承诺给我答复的时间,彼时我已经答应了黄金 offer ,于是和钻石只能双双无奈,江湖祝好。

我招人的时候,既然是我发了 offer 的候选人,那我还是选择相信他,人不能处处设防,陷入虚无主义。但我还是做了些改变,1 是敲定了之后我的 jd 还是挂着收简历,只是停止约面试,直到候选人入职,2 是尽量选时间短意愿强的,风险是客观存在的。

原帖里提到“对方说月底入职”,那么是一个人在说话,在做出承诺,而不是在放屁。有些人愿意把自己说过的话当做一个屁,那便只能由他们去吧,摊手
2025 年 10 月 31 日
回复了 Charlie17Li 创建的主题 职场话题 [毁约]终于开始理解现在招人都喜欢多发 Offer
对评论区的契约精神水平之低感到惊讶
@Tink 顺着你给的链接看了下排行榜,也挺有意思,在几大手机厂商里面,投诉量:
苹果应用商店 1555
小米硬件 1290
华为硬件 547
荣耀手机 408
Apple 硬件 274
Vivo 硬件 263
oppo 硬件 111
国产厂商都保证了 100%的回复率。
垄断了可以考虑 5g cpe ,看下手机信号如何,好的话买个试试,比企业宽带便宜多了
1  2  3  4  5  6  7  8  9  10 ... 12  
About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   943 Online   Highest 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 32ms · UTC 20:29 · PVG 04:29 · LAX 13:29 · JFK 16:29
♥ Do have faith in what you're doing.