引子：免费的，往往是最贵的

小王是个大学生，平时用ChatGPT写论文、查资料。

某天他在群里看到一条消息：

“免费使用GPT-4！无需注册，无需翻墙，点击即用！”

他点开链接，界面做得和ChatGPT一模一样。输入框、对话框、连那个绿色的Logo都一样。

他兴奋地输入：“帮我写一篇关于人工智能的论文。”

AI回复了，质量还不错。

他又问：“能帮我写代码吗？”

“当然可以。”

聊了半小时，他心满意足地关掉了页面。

三天后，他收到了一封邮件：

您的OpenAI账户已产生费用 $1,247。

他懵了：我没用过OpenAI啊？

真相是：那个"免费"网站，在他输入第一条消息的时候，就已经偷偷调用了他的API额度——通过一个他根本不知道存在的密钥。

这个密钥哪来的？

可能是他之前在某个"免费工具"上登录过，授权了API调用权限。

也可能是他下载的某个"AI助手"软件，在后台植入了密钥。

无论如何，免费的午餐，最后变成了天价账单。

这就是钓鱼网站的套路：用"免费"当诱饵，让你心甘情愿地喂龙虾。

阅读进度：10% ///////

---

什么是钓鱼网站？——披着羊皮的狼

钓鱼网站，英文叫Phishing Site，是一种网络诈骗手段。

它的核心逻辑很简单：伪装成你信任的网站，骗取你的敏感信息。

在AI时代，钓鱼网站有了新变种：伪装成免费的AI工具，骗取你的API额度。

钓鱼网站的三种形态

形态一：完全克隆

界面和官方一模一样，连URL都只差一个字母。

比如：

• 官方：chat.openai.com
• 钓鱼：chat-openai.com、chatgpt-openai.com

不仔细看根本分辨不出来。

形态二：功能阉割版

界面类似，但功能受限。比如：

• “免费体验GPT-4，每日限10次”
• “注册即送1000积分，可兑换AI对话”

目的是让你注册、登录、授权，然后获取你的信息。

形态三：工具集成版

伪装成"AI工具箱"、“AI聚合平台”，集合了各种"免费"功能。

你下载安装后，它在后台偷偷调用你的API，而你完全不知情。

阅读进度：25% ///////

---

钓鱼网站的套路——四步让你上钩

钓鱼网站有一套成熟的"转化流程"，我们一步步拆解。

第一步：引流——在哪里遇到你

钓鱼网站不会凭空出现，它们需要"获客渠道"。

常见渠道：

• 社交媒体：微信群、QQ群、微博、小红书
• 搜索引擎：SEO优化，搜索"免费GPT-4"排第一
• 广告投放：伪装成正规广告，出现在你常看的网站
• 邮件/短信：“您的ChatGPT账户异常，请点击验证”

引流话术：

• “免费使用GPT-4，无需翻墙！”
• “国内直连，永久免费！”
• “限时福利，注册送1000积分！”
• “ChatGPT中文版，专为国人优化！”

这些话术的共同点：强调"免费"、“便捷”、“无门槛”。

第二步：伪装——让你放下戒备

钓鱼网站在视觉上下足功夫：

• 界面克隆：和官方网站几乎一模一样
• 功能模拟：真的能对话，甚至能生成内容
• 证书伪装：有HTTPS锁标，看起来"很安全"
• 域名近似：只差一个字母，或者用子域名混淆

常见伪装域名：

官方	钓鱼
chat.openai.com	chat-openai.com
claude.ai	claude-ai.cn
platform.openai.com	openai-platform.net
github.com	githubs.com、git-hub.com

第三步：收割——获取你的信息

钓鱼网站的最终目的，是获取有价值的信息。

收割方式一：诱导登录

要求你"登录ChatGPT账户"或"绑定OpenAI账户"。

你输入的账号密码，直接发到骗子的服务器。

收割方式二：诱导授权

要求你"授权访问您的API额度"。

你点了同意，它就可以用你的额度跑模型。

收割方式三：诱导下载

提供"客户端下载"、“浏览器插件”、“手机App”。

下载安装后，恶意软件在后台运行，偷偷调用API。

第四步：变现——账单归你，利润归他

获取你的API密钥或授权后，骗子会：

• 批量调用：用脚本高频调用模型，生成内容卖给别人
• 转售额度：把你的API额度包装成"低价API服务"出售
• 数据贩卖：获取你的对话记录，卖给数据公司

而你，直到收到账单才发现问题。

阅读进度：50% ///////

---

如何识别钓鱼网站？——五招教你辨真伪

钓鱼网站再狡猾，也有破绽。记住这五招：

第一招：看域名

官方域名特征：

• 简短、好记、品牌相关
• 通常使用 .com、.ai、.io 等主流后缀
• 不会使用中文字符、数字混淆

钓鱼域名特征：

• 包含额外单词（-free、-china、-official）
• 使用 .cn、.net、.org 等非官方后缀
• 用数字代替字母（0代替o，1代替l）

实操： 不确定的时候，去官方Twitter/X账号查官方域名。

第二招：看证书

点击浏览器地址栏的锁标，查看证书信息。

正规网站：

• 证书颁发给正确的公司名
• 证书有效期正常

钓鱼网站：

• 证书颁发给个人或不明公司
• 证书即将过期或已过期

第三招：看功能

正规AI工具：

• 需要注册/登录
• 有明确的计费说明
• 不会要求"绑定API密钥"才能使用

钓鱼网站：

• “无需注册，免费使用”
• “输入您的API密钥以解锁全部功能”
• “绑定OpenAI账户，享受免费额度”

红线： 任何要求你输入API密钥的"免费工具"，都是钓鱼。

第四招：看来源

正规渠道：

• 官方网站
• 官方应用商店（App Store、Google Play）
• 可信的技术社区（GitHub官方仓库）

高风险渠道：

• 微信群、QQ群分享的链接
• 搜索引擎广告
• 邮件/短信中的链接
• 第三方下载站

第五招：看行为

钓鱼网站的常见行为：

• 频繁弹出"授权"窗口
• 要求下载"专用客户端"
• 提示"您的账户异常，请重新登录"
• 页面加载缓慢，功能时好时坏

遇到这些情况，立刻关闭页面，不要继续操作。

阅读进度：70% ///////

---

中招了怎么办？——三步止损

如果不幸中招，别慌，按这三步走：

第一步：立即撤销授权

登录你的OpenAI/GitHub/微信账户，找到"已授权应用"列表，撤销可疑应用的授权。

OpenAI： platform.openai.com → Settings → Integrations

GitHub： github.com → Settings → Applications → Authorized OAuth Apps

微信： 我 → 设置 → 隐私 → 授权管理

第二步：更换密钥/密码

如果你输入过API密钥或账号密码，立刻更换。

• 生成新的API密钥
• 修改账户密码
• 开启两步验证（2FA）

第三步：联系平台申诉

如果已经产生账单，联系OpenAI客服说明情况。

虽然不一定能追回，但提供证据有助于平台识别和封禁恶意账户。

阅读进度：85% ///////

---

实操建议：三条铁律

铁律一：天下没有免费的GPT-4

GPT-4是商业产品，OpenAI要收钱的。

任何声称"免费使用GPT-4"的服务，要么：

• 用你的额度付费（你在喂龙虾）
• 用的是廉价模型冒充GPT-4
• 纯粹是骗局

记住：免费的，往往是最贵的。

铁律二：API密钥是最后的防线

你的API密钥，就像银行卡密码。

• 不要输入到任何第三方网站
• 不要分享给任何人
• 不要存储在不安全的地方

红线： 任何要求你输入API密钥的"工具"，都是钓鱼。

铁律三：只信官方渠道

使用AI工具，只通过以下渠道：

• 官方网站（自己输入域名，不要点链接）
• 官方应用商店
• 可信的开源社区（GitHub官方仓库）

不要信：

• 群里分享的"免费"链接
• 搜索引擎广告
• 邮件/短信里的链接

---

结语：喂龙虾的人，往往是自己

回到小王的故事。

他不是技术小白，他知道API密钥是什么。他只是太想"免费"了。

钓鱼网站利用的，正是这种心理。

免费的诱惑 + 懒惰的验证 = 喂龙虾的代价

下一期，我们聊聊另一个容易被忽视的风险：手机里的AI。

手机上的AI工具、小程序、App，比电脑更隐蔽，也更危险。

---

🧪 QuestLab
📰 每日AI简报 · 每周长文 · 不定期硬核科普