随着大模型算力需求的激增,智谱 AI(Zhipu AI)近期推出的 GLM-5 Max 等高端套餐在市场上出现严重的供需失衡,频繁处于售罄状态。为了解决普通用户“抢不到”的问题,社区开发者近日在 Linux.do 等技术论坛分享了一款名为“智谱 GLM Coding 终极抢购助手”的油猴脚本。该脚本利用了前端安全领域的典型漏洞,通过在浏览器端拦截并篡改服务器返回的数据流,强制修改商品的库存状态。具体而言,脚本在页面加载的最早期启动,通过劫持 JSON.parse、Fetch 及 XMLHttpRequest 等底层接口,将响应体中的 `isSoldOut`(是否售罄)、`disabled`(按钮禁用)和 `stock`(库存数量)等关键字段进行全局替换与修改。这一操作欺骗了前端框架(如 Vue),使其误认为仍有大量库存,从而激活了原本灰色的购买按钮。部分用户反馈,配合该脚本在特定时间点点击,成功完成了支付流程。这一现象不仅反映了智谱算力资源的紧俏程度,也暴露了其平台在库存校验逻辑上过度依赖客户端数据的安全短板。
事件分析
从技术架构视角分析,该抢购脚本利用了 Web 开发中典型的“客户端信任”漏洞。在电商或高并发交易场景中,仅在前端 UI 层展示库存状态而未进行严格的实时后端二次验证,极易被此类本地篡改手段绕过。尽管最终支付环节通常由后端把关,但前端状态的随意篡改表明该平台在数据一致性和防篡改机制上存在优化空间。从产业层面来看,此类“技术型抢购”工具的流行,侧面印证了国内大模型领域对高质量算力资源的极度渴求。智谱 GLM 作为国内头部模型,其资源稀缺性迫使开发者群体通过非官方手段获取额度。这种供需倒挂不仅催生了技术对抗,未来也可能会倒逼平台方引入更复杂的后端锁定机制或人机验证(CAPTCHA)来维护销售秩序。
💡 核心观点:算力稀缺催生“技术黄牛”,前端校验漏洞折射出供需失衡下的安全妥协。
原文链接:Linux.do
AI周刊:大模型、智能体与产业动态追踪