目录
- 前言:$1 的 Codex 账号,你敢用吗?
- CC-Switch 是什么?
- 四条攻击管线拆解
- 管线一:自动注册农场
- 管线二:npm 供应链投毒
- 管线三:CC-Switch 的 CORS 漏洞
- 管线四:账号池与代理分发
- 灰产全链路图解
- 使用泄露账号的真实风险
- 开发者自保指南
- 本文观点与声明
前言:$1 的 Codex 账号,你敢用吗?
2026 年,AI 编程工具爆发。OpenAI Codex、Claude Code、Gemini CLI 成了开发者日常。随之而来的是一个灰色市场——在 Telegram 群、淘宝、拼多多甚至 B 站评论区,你都能看到这样的广告:
"Codex 共享账号 ¥5/月,无限用" "GPT-5 API 直调,无冷却,包月 ¥10" "Claude Opus 4.6 不限量,需要私聊"
价格是官方的十分之一甚至百分之一。问题是:这些账号从哪来的?谁在背后买单?你用了之后会发生什么?
本文基于公开信息(GitHub Issues、安全研究报告、npm 恶意包分析、灰产工具源码),试图拆解这条链路。不是实锤某个工具恶意,而是帮你看清风险。
CC-Switch 是什么?
CC-Switch 是一个开源桌面应用(Tauri 2 构建),GitHub 上有 95K+ stars。它的功能很直接:统一管理 Claude Code、Codex CLI、Gemini CLI、OpenCode、OpenClaw 这几个 AI 编程工具的配置——API Key、Provider、模型切换,一个 GUI 搞定。
本身是个好工具,解决了真实痛点。但问题出在两个方面:
- 它内置的本地代理服务器存在安全漏洞(已披露,Issue #1841)
- 它的生态和灰产账号池高度重叠——CC-Switch 是 CPA(CLIProxyAPI)、Sub2API 这些账号池服务的首选前端
换句话说:CC-Switch 本身不一定有问题,但它所处的生态非常可疑。
四条攻击管线拆解
泄露到灰产市场的 AI 账号,来源主要有四条。每条独立运作,但最终汇聚到同一个灰色市场。
管线一:自动注册农场
这是灰产账号的最大来源。
一个叫 codex-manager 的开源项目(GitHub: moeacgx/codex-manager,169 stars,2026年5月归档)就是干这个的。它的 README 直接写着"OpenAI 自动注册系统 v2",功能包括:
- 批量自动注册 OpenAI 账号:临时邮箱(CloudMail、Outlook、DuckMail 等)+ TLS 指纹伪装(
curl_cffi模拟真实 Chrome)+ 本地化 Sentinel Token 求解器 - 全自动 OAuth 流程:还原官方真实访问流,从
chatgpt.com首页获取 CSRF,跳转auth.openai.com授权,全流程自动化 - 智能体检与剔除:后台定时检测账号存活状态,发现失效账号自动剔除
- 触底爆发式补货:当存活账号低于安全阈值时,引擎自动接管并发注册,"源源不断输出新号"
- 自动上传:注册完成后自动推送到 CPA(CLIProxyAPI)或 Sub2API 服务
并发数上限 50,代理池轮换 IP,一天可以产出数百甚至上千个免费 OpenAI 账号。
这就是你在淘宝看到的"¥5/月 Codex 账号"的主要来源——不是偷的,是批量注册的。
管线二:npm 供应链投毒
这条管线更隐蔽,危害也更大。
2026年6月1日,安全公司 Aikido Security 披露了一个恶意 npm 包 codexui-android。这个包在 npm 上有 每周 29,000 下载量,GitHub 仓库代码是干净的,看起来是一个合法的 Codex 远程 Web UI。
但 npm 包(v0.1.82 起)里藏了一段代码:
- 读取
~/.codex/auth.json(OpenAI Codex 的 OAuth 凭据文件) - 将
access_token、refresh_token、id_token、账户 ID 全部外传到sentry.anyclaw[.]store - 这个域名伪装成 Sentry(合法的错误监控平台),实际是攻击者控制的服务器
- Refresh token 永不过期——拿到它可以永久冒充受害者
更值得注意的是:
- 同一攻击链还藏在 2 个 Google Play 上架的 Android 应用里(开发者名"BrutalStrike",合计 60K+ 下载)
anyclaw.store域名在首个 npm 版本发布后仅 2 天注册——蓄谋已久- npm 包作者(账号"friuns",真名 Igor Levochkin)的 X 个人主页就挂着
anyclaw.store
这不是某个脚本小子的恶作剧,而是有组织的供应链攻击。
管线三:CC-Switch 的 CORS 漏洞
2026年4月2日,GitHub 用户 r00tuser111 在 CC-Switch 仓库提交了 Issue #1841,披露了一个严重安全漏洞。
核心问题:CC-Switch 的本地代理服务器(默认监听 127.0.0.1:15721)使用了 allow_origin(Any) 的 CORS 策略。这意味着:
- 你访问的任何网页都可以通过 JavaScript 向这个本地代理发请求
- 代理会自动注入你的 API Key(Anthropic、OpenAI、Google 等所有已配置的提供商)
- 攻击者不需要知道你的 Key 是什么——代理替他加了
- 只需要你访问一个网页,无需任何其他操作
PoC(概念验证)只需要几行 JavaScript:
- 通过
/health端点检测 CC-Switch 是否在运行 - 向代理发送 API 请求——代理自动注入受害者 Key
- 将 AI 响应外传到攻击者服务器
影响范围包括所有已配置的提供商:Claude、OpenAI、Gemini、Codex。
PR #1915 已修复此漏洞,但大量用户可能未更新。而且很多用户甚至不知道自己在用 CC-Switch 的代理功能——有些 AI 工具链会默认启用它。
管线四:账号池与代理分发
前三条管线产出的账号和 Token,最终汇聚到"账号池"服务中:
- CLIProxyAPI(CPA):将 Codex/Claude/Gemini 免费账号的 OAuth Token 包装成标准 OpenAI 兼容 API。一个 CPA 实例可以同时管理数百个账号,对外暴露一个统一的 API 端点
- Sub2API:另一种账号聚合格式,功能类似
- ProxyPool Hub:开源多账号轮换系统,当一个账号被限速时自动切换到下一个
- NewAPI / One API:API 管理面板,可以对接多个上游(包括 CPA),做二次分发
最终,一个终端用户在 CC-Switch 里配置的"第三方 Provider",背后可能跑着几十个通过自动化注册或窃取得来的免费账号。
灰产全链路图解
整条链路可以简化为:
[自动注册农场] ──批量账号──→ [CPA / Sub2API 账号池] ──统一API──→ [CC-Switch / NewAPI] ──→ 终端用户
[npm 供应链投毒] ──窃取Token──→ [攻击者服务器] ──转售──→ [灰产市场] ──→ $1/月账号
[CC-Switch CORS漏洞] ──→ [任意恶意网页] ──滥用你的Key──→ 账单爆炸
中国灰产市场的定价参考(来自 Medium、Tom's Hardware 等多家媒体报道):
- OpenAI Codex 账号:¥3-5/月(官方 $20/月)
- Claude API 访问:官方价格的 10-30%
- GPT-5 API 直调:¥10-20/月
这些价格能成立,就是因为上游成本极低——批量注册的免费账号几乎是零成本。
使用泄露账号的真实风险
如果你正在用或考虑用这些低价共享账号,以下是真实风险:
1. 账号随时失效
自动化注册的账号生命周期不稳定。OpenAI 的风控系统会定期清理异常账号,你可能用着用着就断了。卖家通常承诺"掉号补号",但你的时间成本没人赔。
2. 你的代码和提示词被第三方看到
当你通过 CPA 这类代理服务调用 API 时,你的请求(包括代码、提示词、上下文)经过了第三方服务器。运营 CPA 的人可以完整记录你的每一次对话。对于写商业项目代码的开发者来说,这是严重的知识产权风险。
3. Prompt 注入与数据投毒
共享账号池的运营者可以在代理层注入系统提示,影响 AI 的输出。更危险的是,如果你的代码依赖 AI 输出做决策(比如安全审计、代码审查),恶意修改的输出可能导致真实损失。
4. 法律风险
使用通过自动化手段注册的账号,可能违反 OpenAI/Anthropic 的服务条款。虽然目前没有因使用共享账号被起诉的案例,但如果用于商业用途,风险不可忽视。
5. 供应链攻击的二次受害者
如果你安装了来源不明的 AI 工具(类似 codexui-android),你的本地凭据(~/.codex/auth.json、~/.claude/ 等)可能被窃取。被偷的不只是你的免费额度——如果你有付费账号,攻击者可以用你的 Token 做任何事。
6. CC-Switch 代理漏洞的连带风险
即使你用的是合法账号,如果 CC-Switch 版本低于修复版本且代理功能处于开启状态,你访问的任何网页都有可能偷偷使用你的 API 额度。
开发者自保指南
这不是"别用这些工具"的说教。工具本身没问题,问题在于生态里的灰色地带。几条实用建议:
验证工具来源
- 从 GitHub 官方仓库下载 CC-Switch,不要用第三方打包版
- npm 包安装前检查
npm audit,关注安全公告 - 不要安装来路不明的 Codex/Claude "增强版"、"破解版"
保护本地凭据
~/.codex/auth.json、~/.claude/等目录的权限设为600(仅本人可读)- 定期轮换 API Key
- 不要把 Key 提交到 Git 仓库
CC-Switch 用户
- 升级到最新版本(Issue #1841 修复后的版本)
- 如果不需要代理功能,在设置中关闭它
- 检查
127.0.0.1:15721是否在监听,不需要时关闭
账号安全
- 用独立的邮箱注册 AI 服务,不要用主力邮箱
- 开启两步验证(如果提供商支持)
- 定期检查账号的登录记录和 API 使用量
选择可信的 API 提供商
- 如果用第三方 API 服务(如 AiHubMix、NewAPI 等),选择有备案、有社区口碑的
- 避免使用来源不明的"共享 Key"或"低价 API"
- 价格低于官方 90% 的,基本可以确定来源有问题
本文观点与声明
本文不是在指控任何特定工具或项目恶意运作。 CC-Switch 是一个有真实价值的开源工具,codex-manager 的作者也已经归档了项目。安全研究者披露漏洞是为了推动修复,不是为了制造恐慌。
但事实是:
- AI 账号灰产已经形成了从注册→池化→分发→零售的完整产业链
- npm 供应链攻击是真实发生的(Aikido Security 2026年6月报告)
- CC-Switch 的 CORS 漏洞是真实存在的(GitHub Issue #1841)
- 使用来源不明的低价账号,你的数据安全没有任何保障
如果你只是想省钱用 AI 工具,理解风险后自己做判断。但如果你在意代码安全、账号安全、数据隐私——对那些 ¥5/月的 Codex 账号多留一个心眼。
数据来源与声明:
- Aikido Security: Codex Remote UI Steals AI Tokens — npm 供应链攻击分析(2026年6月1日)
- The Hacker News: OpenAI Codex Authentication Tokens Stolen — 供应链攻击报道
- GitHub Issue #1841: CC-Switch CORS Misconfiguration — CC-Switch 安全漏洞披露
- GitHub: codex-manager — 自动注册系统源码(已归档)
- Medium: Chinese Companies Reselling ChatGPT Pro for $1 — 灰产市场调查
- Tom's Hardware: Chinese Grey Market Sells Claude API at 90% Off
- Dev.to: ProxyPool Hub — 账号池工具介绍
- 本文基于公开信息分析,如有事实性错误欢迎指正
- 本文不构成法律建议,仅供安全参考
评论