近日,在开发者社区 V2EX 上,有用户曝光 OpenAI 的代码生成模型 Codex 存在严重的访问控制漏洞。据反馈,通过特定的 URL 或 Team 账号机制,用户可以绕过官方的计费与配额限制,实现无限制的免费调用。这种现象被部分网友戏称为“零元购”,并迅速引发了技术圈的广泛关注与测试。关于漏洞成因,社区存在两派观点:一派认为这是 OpenAI 服务器端配置低级失误,导致权限校验失效;另一派则结合“oai 歪布扣腚”(OpenAI Web Browser/Client 相关)的讨论,怀疑这可能是官方故意留下的“后门”,旨在通过高并发免费请求收集用户的代码输入与反馈数据(RLHF),用于训练下一代模型(如传闻中的 GPT-5.5)。尽管 OpenAI 历来对 API 滥用管控严格,但此次事件暴露了其云端服务的风控边界在某些特定路径下依然存在模糊地带。目前,该相关访问路径已成为开发者争相测试的热点,但也引发了对于账号封禁与数据隐私泄露的担忧。
事件分析
从技术架构与产业逻辑来看,此次事件无论属于简单的配置错误还是有意为之的“蜜罐”策略,均折射出当前大模型 API 生态在商业化落地上面临的严峻挑战。若为配置失误,说明 OpenAI 在多租户隔离与鉴权体系上存在设计冗余,未能有效应对 Team 环境下的复杂权限管控;若为数据采集策略,则暗示了高质量代码语料的稀缺性已迫使厂商采取激进手段获取真实编程场景数据。这种“无限试用”模式虽能短时提升模型在真实场景下的覆盖率与迭代速度,但也极大地增加了服务器负载与滥用风险。对于行业而言,这提醒所有依赖 API Key 或订阅制服务的 AI 厂商,必须在风控层面引入更细粒度的实时流量审计,以防止类似权益越界对企业营收造成冲击。
💡 核心观点:此次漏洞既是云服务权限管控的疏忽,也可能是大模型数据饥渴下的“放水”策略,暴露了AI商业闭环中成本控制与数据采集的深层矛盾。
原文链接:V2EX 分享发现
AI周刊:大模型、智能体与产业动态追踪
程序员数学扫盲课
冲浪推荐:AI工具与技术精选导航
Claude Code 全体系指南:AI 编程智能体实战