近期,多位长期订阅ChatGPT Plus的老用户在技术社区反馈,其账号在手机验证环节遭遇异常。据用户描述,这些账号注册于2022年左右,绑定了英国+44手机号及正规银行卡,且长期使用稳定的美国IP环境。然而,近期这些账号不仅频繁提示401未授权错误,更导致SMS短信验证码完全失效,系统提示无法发送短信,仅保留了WhatsApp接码通道。
在技术排查环节,用户发现这与CPA(OpenAI API代理)的使用习惯高度相关。用户此前通过CPA配合Cloudflare域名将账号分享给多人使用。观察发现,当API调用在单次会话中触发额度限制后,该特定的“会话ID”似乎被OpenAI系统标记为高风险,导致在该会话下切换的其他账号凭证也迅速失效,出现“同会话连锁封号”现象。相比之下,另一个同样报错的Team账号仅需重新OAuth登录即可恢复,并未受到短信阻断。这一迹象表明,OpenAI正在调整其风控逻辑,从单一的账号封禁转向基于IP、会话上下文及手机号归属地的多维度关联审查,针对非官方API调用渠道的检测力度显著增强。
事件分析
此事件揭示了大型语言模型服务商在API反滥用和风控策略上的技术演进。OpenAI似乎已部署了更为精细的“会话指纹”追踪机制,不再仅针对单一API Key进行限制,而是监控整个请求上下文的流量特征。当检测到异常流量(如共享IP、多域名复用)触发阈值时,系统会将该Session ID标记为毒化,导致该通道内的后续凭证均无法验证成功,这种“关联封禁”策略极大提高了黑产或共享账号的绕过成本。
此外,阻断SMS短信验证仅保留WhatsApp验证,反映了服务商在通信信任等级上的差异化处理。这可能是为了打击利用低成本短信接码平台注册的虚假账号,因为WhatsApp账号的实名属性和持有成本相对更高。对于开发者而言,这意味着在使用代理或中转API服务时,必须严格做好不同租户的请求隔离,避免因单点风险导致整个网关或会话环境被风控系统识别为恶意。
💡 核心观点:OpenAI的风控正从单点阻断升级为基于会话指纹的关联封禁,API滥用治理进入精细化阶段。
原文链接:Linux.do
AI周刊:大模型、智能体与产业动态追踪
程序员数学扫盲课
冲浪推荐:AI工具与技术精选导航
Claude Code 全体系指南:AI 编程智能体实战