当 AI Agent 产品还在为新增用户和活跃调用庆祝时,另一条灰色产业链已经悄悄成型。
从免费额度薅取、邀请积分套利,到高阶会员拼车超售,再到对 Web/API 接口的逆向寄生,黑产正在把 AI Agent 平台变成新的“算力矿场”。
从早期的 AI账号交易,到 API调用能力转售,再到如今针对 AI Agent 算力资源的系统化套利,黑产正在快速适应 AI 产业链的商业模式,并持续放大攻击规模。
本文基于威胁猎人对 AI Agent 生态的长期监测,对当前 算力套利产业链结构、典型攻击模式及代表案例进行系统分析,并提出针对性的反欺诈情报防御思路,为 AI Agent 平台及相关企业提供风险识别与治理参考。
一、AI Agent 正在成为黑产的“算力矿场”
AI Agent 的商业模式,正在把算力直接暴露为可被套利的资源。
与传统 SaaS 不同,在 AI Agent 行业,算力已成为核心成本单元。AI Agent 的每一次任务执行、每一次自动化流程、每一次对话,都直接对应真实的 Token 消耗与 GPU 算力支出。
为了实现用户增长,行业普遍采用免费额度、邀请奖励、任务赠送、以及高阶无限权益等机制。这种“以算力换增长”的模式,在提升用户规模的同时,若缺乏有效的风控机制,就可能被黑产利用,通过批量注册账号、积分套利等方式大规模获取算力资源。
在利益的驱使下,黑产逐渐形成一条成熟的产业链:“自动化工具 + 算力套利 + 电商分销”,其核心目标就是通过低成本的方式获取算力后高价转售。
目前黑产榨取算力资源主要集中在四条核心路径:
免费额度套利:通过自动化工具批量注册新账号,反复薅取平台的免费试用额度
邀请积分套利:利用邀请奖励机制,循环注册、绑定邀请码、刷取积分
高阶权益拆分超售:通过高阶账号拼车以及团队账户席位超售拆分权益,实现低价算力转售,造成平台资源被过度占用
API 逆向寄生套利:逆向 Web/API 接口,将网页端交互封装成廉价 API 对外出售
二、从全球 AI Agent 榜单
看算力套利的普遍性
为验证AI Agent平台算力滥用风险的普遍性,威胁猎人参考了主流的GenAI Web Apps 榜单(如 a16z 全球 GenAI 榜单),随机抽取了 50 款 AI Agent 及工具类产品进行分析,发现抽样的产品中均在黑产交易平台存在衍生服务。
进一步研究发现,当前 AI Agent 平台所面临的算力套利问题,并非突然出现,而是黑产在 AI 产业链中的持续演化结果。
从近几年的黑产活动轨迹来看,其攻击目标已经经历了一个明显的阶段性变化:
AI账号套利 → AI算力套利 → AI Agent算力滥用
2022年:ChatGPT发布,大模型开始商业化,黑产主要围绕 AI账号交易、账号共享、会员拼车 等方式进行套利。
2023年:AI工具数量快速增长,API调用能力逐渐成为核心资源,黑产开始从账号交易转向 API调用能力和算力资源的转售。
2024年:大量AI产品开始提供 免费额度(Credits)或试用额度机制,黑产逐渐通过 免费额度套利、API中转调用、算力转售 等方式获取算力资源。
2025年:AI Agent概念集中落地,复杂任务规划导致单次交互Token消耗剧增,黑产开始将此前针对大模型的套利手法(批量注册、邀请积分、账号拼车)快速复制到Agent产品中。
2026年:AI Agent进入规模化增长期,黑产围绕Agent形成完整产业链,从自动化注册脚本、积分套利到API逆向寄生与算力转售,攻击手法从"单点薅羊毛"升级为"系统性算力榨取"。
如下图所示:
三、四大算力欺诈模式及典型案例分析
综合分析当前 AI Agent 生态中的攻击活动,威胁猎人将典型的算力滥用行为归纳为 四类主要欺诈模式:免费额度套利、邀请积分套利、高阶权益拆分超售以及 API 逆向寄生套利。
以下为对各类模式及其典型案例的具体分析。
3.1 模式一:免费额度套利
Credits(积分/额度)驱动型产品是当前 AI Agent 行业最主流的商业模式之一。这类产品通常通过 免费额度 + 订阅升级 的方式吸引用户。平台为促进增长通常提供:新用户免费额度、邀请奖励、任务赠送积分等活动。
然而,这种机制也带来了明显的攻击面:免费额度机制极易被自动化工具规模化利用。
黑产利用自动化工具(如批量注册脚本、接码平台、指纹浏览器)大规模创建虚假新用户账号,以套取平台为新用户提供的免费算力额度或邀请奖励,从而将平台的获客成本(CAC)直接转化为套利利润。
一旦攻击规模扩大,平台将面临:Token 与 GPU 成本持续上升、用户增长数据被虚假账号污染、免费额度被黑产转售等问题。
黑产产业链分工明确:上游提供接码平台与猫池/卡池等认证资源,中游通过设备农场与群控软件流水线式批量注册养号,下游在闲鱼等平台完成最终销售。
3.1.1 典型案例:Cursor 免费额度破解工具
以 AI 编程工具 Cursor 的免费额度机制为例,其免费额度机制被黑产开发为可规模化滥用的破解工具。
Cursor 为新用户提供基础免费请求额度及限期 Pro 试用,然而黑产通过逆向客户端的设备识别逻辑,开发出可自动重置设备指纹的工具,从而无限次重新获取免费额度。
威胁猎人监测到 GitHub 上存在专门针对该机制开发的开源项目,该项目专门用于解决 Cursor 免费试用期结束后的使用限制问题。
该工具通过重置设备指纹(Machine ID)的方式,使 Cursor 客户端误认为当前设备是一台全新的机器,从而无限次地重新获取免费试用额度。截至 2026 年 2 月,该仓库的关键数据如下:
更值得关注的是,该仓库在 README 中提供了非官方账号销售服务,例如:
5 美元 Cursor 试用账号
7 天高额度周卡(30~350 美元)
这形成了完整的黑产商业闭环:开源破解工具引流 → 积累用户信任 → 付费黑产账号变现
该仓库甚至建立了微信群,用于聚集用户并持续分销账号服务。
这种模式的危害在于:破解行为被社区化传播、价格敏感用户转向黑产渠道、官方订阅转化率下降等。
3.2 模式二:邀请积分套利
部分 AI Agent 产品通过 邀请奖励机制 推动用户增长。典型方式包括:新用户注册赠送积分、邀请人与被邀请人同时获得积分等。
这种 “以算力换增长” 的策略,在推动用户增长的同时,也成为黑产进行规模化薅羊毛的主要目标。
黑产通常通过:批量注册账号、自动绑定邀请码、循环邀请获取积分、将含积分的账号出售 等方式进行套利。
最终形成标准化的黑产链条:
3.2.1 典型案例:Manus AI 积分套利产业链
威胁猎人在某电商平台发现超125个 Manus 相关欺诈商品,累计“想要”数5,549 次。
欺诈类型覆盖:积分交易、成品账号、破解教程、拼车共享、代充代付
其中积分交易是最大的风险点,黑产精准地利用了 Manus 的邀请好友机制(邀请人与被邀请人各得积分),创造了一个近乎零成本的"算力永动机"。
在该电商平台上威胁猎人发现至少 62 个店铺在售卖 Manus 积分相关商品。
部分商家甚至售卖自动注册脚本,价格高达 ¥1,580~3,200。
商品描述中写道:“成本:无限刷 0.5 元 = 3300 积分”。
这意味着 Manus 的积分获取成本,可能被压缩到 3300 积分仅 0.5 元。
另一个值得关注的细节是,有商品描述中提到:"manus自动注册绑定邀请码脚本,由于 manus风控太严了,宁可错杀不可放过,就算高配版有时候也会被封",这说明 Manus 已经在进行风控对抗,但黑产仍在持续投入技术资源来绕过风控。
3.3 模式三:高阶权益拆分超售
针对提供高额度或无限生成能力的高阶权益产品,黑产推出了"拼车/共享"模式,通过购买少量官方高级会员或团队版席位,将单个账号的使用权拆分并分销给多名不相干的散户共同使用。
典型的黑产售卖模型如下:
这种账号拼车超售模式带来的风险包括:
平台资源被过度占用,算力使用显著超过正常用户模型
官方订阅价值稀释,高价值用户可能被低价拼车渠道截流
3.3.1 典型案例:AI会员账号拼车市场
在AI工具生态中,会员账号拼车已成为较为普遍的灰产模式。黑产通常通过购买少量官方高级会员账号,再将账号共享给多个用户,从而分摊成本并实现转售获利。
例如,在 ChatGPT Plus 生态中,黑产长期通过以下方式进行拼车套利:
购买 Plus 账号
在社群或电商平台组织拼车群
多人共享账号登录
将月费成本拆分为低价席位
在部分拼车群中,一个 Plus 账号甚至可能同时被 5–20 人共享使用,而单个用户仅需支付少量费用即可使用高级模型能力。
这种模式导致:
单账号算力调用量显著增加
官方订阅价值被稀释
平台算力资源被过度占用
3.4 模式四:API逆向寄生套利
黑产通过逆向分析 Web 端或官方客户端,破解底层的 API 调用逻辑及鉴权机制,将网页端的免费或极低成本交互,转化为标准的 API 接口对外提供计费服务。这是一种对平台算力极其隐蔽且破坏力极大的“寄生”模式。
其典型技术链条通常包括:
账号获取:通过批量注册、盗刷信用卡、购买现成账号等方式,获取大量可用账户
接口逆向:抓包分析会话认证机制、参数结构、请求签名、WebSocket 通信方式等
API 套壳池化:将多个账号的网页端交互能力重新封装为统一 API
算力转售:以“低价 API”“中转站”“聚合接口”等名义向中小开发者出售算力
3.4.1 典型案例:AI API 聚合中转服务
在各类开发者社区、电商渠道以及部分灰产社群中,威胁猎人监测到大量打着“AI API 聚合分销平台”、“官方平替接口”、“多模型统一中转服务”等名义的灰产服务。
这类平台通常向中小开发者提供统一调用接口,支持接入多种主流大模型或 Agent 能力,并以显著低于官方 API 的价格对外出售调用额度。
进一步分析发现,这类服务并未直接对接官方开发者接口,而是通过 逆向 Web 端调用逻辑并构建账号池 的方式实现算力中转。黑产通过批量注册或收购账号获取会话凭证,并利用代理服务器将开发者请求转发至 AI 平台 Web 端接口完成调用。
这种 “Web 接口逆向 + 账号池化 + API 中转” 的模式,使原本面向普通用户交互的 Web 端能力被重新包装为自动化接口服务。一旦规模扩大,平台可能面临算力资源被持续滥用、调用结构异常以及官方 API 定价体系被冲击等风险。
四、威胁猎人反欺诈服务方案
随着 AI Agent 行业进入规模化增长阶段,围绕算力资源的黑灰产攻击也将持续演化。
针对这一趋势,威胁猎人推出 AI Agent 业务安全情报态势感知平台,依托多年服务全球客户所积累的黑灰产情报资源与攻防研究能力,对“算力套利”相关攻击生态进行持续监测与深度分析。
4.1 全域风险可见
AI Agent 行业攻击态势全景监测
平台通过持续监测黑灰产社区、电商渠道以及攻击工具生态,对 AI Agent 行业外部攻击环境进行长期跟踪与动态分析,为企业提供 业务攻击态势可视化大盘。
核心能力包括:
行业攻击热点分布:识别当前黑产主要攻击的 AI 产品类型及平台
行业风险横向对比:分析不同平台面临的攻击强度差异
攻击趋势变化分析:追踪算力套利攻击规模与活跃度变化
算力套利 ROI 指数监测:评估黑产套利收益变化趋势
通过威胁猎人行业级风险视角,企业能够更清晰地理解 黑产攻击规模、活跃区域及攻击模式演化路径,为风控策略优化提供数据支撑。
4.2 主动威胁预警
黑产攻击模式持续监测
AI Agent 生态中的算力套利攻击往往伴随着新的工具与自动化脚本不断出现。威胁猎人通过长期监测黑灰产社区与攻击工具生态,对潜在风险进行提前识别并发出预警。
如:新型作弊手法识别,自动化攻击工具监测,黑产社群情报跟踪,攻击链路复现与技术分析等。
当新的套利模式或攻击工具出现时,可第一时间为客户提供攻击逻辑分析与风险评估,帮助企业在攻击规模扩散之前进行策略调整,降低业务损失。
4.3 账号实时拦截
从注册入口阻断算力套利
在黑产算力套利的攻击路径中,账号获取是最核心的基础资源。大量攻击行为往往从批量注册开始,一旦账号池形成,黑产即可持续榨取平台算力资源。
威胁猎人依托多年积累的 全球 IP、手机号及邮箱风险画像库,为 AI Agent 平台提供账号注册环节的实时风险识别能力,通过在账号注册环节提前识别并拦截高风险资源,企业能够有效阻断黑产账号池的形成,从源头降低算力资源被规模化滥用的风险。
当算力成为核心生产资源,围绕算力的攻防对抗也将长期存在。对于企业而言,只有通过持续的情报监测与风险治理能力建设,提前识别黑产生态变化,才能在 AI 时代的增长竞争中守住业务安全的底线。
声明:本文来自威胁猎人Threat Hunter,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
