我们在做 Nexu(龙虾 🦞),一个可以一键安装的 OpenClaw 桌面客户端,开源在 GitHub 上。
产品上线后增长一直在跑。新用户注册时会赠送免费积分,可以用来调用平台上的各种大模型。
某天做用户数据清洗的时候,我们注意到一件事——有一个从没见过的邮箱域名,注册用户数异常地高。超过了很多企业域名,稳居域名排行榜前列。
这篇文章完整记录了我们从**「发现异常 → 多维度下钻 → 建立基线 → 得出结论」**的全过程。我们还把整套排查方法做成了一个开源 Skill,文末可以直接安装使用。做 SaaS 的朋友,尤其是带免费额度模式的产品,可能会有共鸣。
01 / 一个不该出现在排行榜上的域名
按邮箱域名聚合排序,排在前面的都是常客——gmail.com、qq.com、各种公司域名。
但有一个域名卡在了很前面的位置(出于脱敏,下文统一称为 xx.love)。它名下的注册用户超过 1000+。
一个从没听过的域名,注册量却比很多企业域名还高。这本身就是一个值得深挖的信号。
简单查了一下这个域名的背景:
- 2026 年初注册,WHOIS 隐私保护,看不到注册人
- DNS 托管 Cloudflare,配了 MX 记录——有邮件收发能力
- 没有 A 记录,没有网站,没有 ICP 备案
一个专门用来收发邮件、但不做任何公开网站的域名。记住这个特征,后面会用到。
02 / 两个截然不同的阶段
把这 1000+ 个账号按注册时间排开,不是均匀分布,而是明显分成了两个阶段。
第一阶段(Day 1 ~ Day 7):小规模试探
每天个位数到几十个,总共约 150 个。邮箱前缀风格多样——有看起来像人名的(linlong、wuyan),有明显手敲测试的(ooo、qwe),也有混合字符串。不统一,像是在摸索。
第二阶段(Day 8 之后):大规模放量
单日涌入 700+,前缀几乎清一色变成了 6 位字母数字随机串(如 01mh07、x9k2p3)。10 分钟窗口里多次出现 16~18 个账号的密集注册,注册间隔中位数约 37 秒。
这不是规模变大了,是命名策略发生了切换——从"人在键盘前敲"变成了"脚本在跑"。
03 / UA 指纹也在同步切换
如果只看注册行为可能还不够,但 User-Agent 的变化进一步印证了阶段切换。
- 第一阶段:几乎全部是 Chrome N(Windows)
- 第二阶段:主力 UA 切换到 Chrome N+1(Windows)
而且邮箱前缀模式和 UA 之间存在配套关系:
- 「类人名」「5 位」「7 位」前缀 → 基本全对应 Chrome N
- 「6 位随机串」前缀 → Chrome N+1 占绝对主体
前缀切换和 UA 切换是同步发生的。更像是注册环境整体做了一次升级替换。
04 / 和全量用户一比,差距就暴露了
但和全量用户放在一起比,差异就暴露了。
| 维度 | 可疑域名 | 全量用户 |
|---|---|---|
| Session 结构 | 几乎全是单 session | 常见多 session |
| 多 IP / 多 UA 切换 | 基本没有 | 明显存在 |
| UA 丰富度 | ~1000+ session / 3 种 | ~4000 session / 190 种 |
| 注册→首次使用 | ~5 小时 | ~8 分钟 |
| 有 usage 的比例 | 73.8% | 81.4% |
环境高度收敛。 正常用户群里换设备、换浏览器是常事——4000 个 session 对应 190 种 UA。而可疑域名这边,1000+ 个 session 只出现了 3 种 UA,集中度差了两个数量级。
先备号,再启用。 普通用户注册后中位数 8 分钟就开始用;这批账号中位数要 5 个小时。不是不用,而是更像"先把号建好,回头再择时启用"。
部分投入使用。 73.8% 的账号最终确实产生了 API 调用——这不是纯废号,而是一个有选择地启用的账号池。
05 / 不只是刷数据,是真的在消耗资源
如果这些账号只是注册了放着,那损失还好。但实际情况是——它们在大规模调用 API。累计消耗了数十亿 Token,覆盖平台上大部分主流模型,推理成本不是一个小数目。
而且调用分布不是集中在一两个模型上,而是广泛地覆盖了多个模型——从几千到几万次调用不等。
这不是「注册领积分然后走人」。是系统性地消耗平台的 API 资源。
06 / 技术复盘:四个值得带走的方法论
🔍 永远要建基线
很多指标单看没意义。"注册后很快建了 session"听起来正常——但全站 80% 的用户都这样。只有和基线对比,才能区分"正常"和"异常"。
📊 交叉分析 > 单维度判断
单看前缀、单看 UA、单看注册时间,每个都能解释成"巧合"。但当三个维度同步切换,巧合的概率就趋近于零。
⏱ 把时间线拉开看
聚合数据会掩盖阶段性变化。按天甚至按小时拆开,才能看到"试探 → 放量"的切换点。
🎯 克制比定性更有说服力
我们全程没有说"这是恶意攻击"。我们只说了数据呈现的模式。克制的结论反而更有说服力——因为事实本身已经够清楚了。
07 / 结论
这个可疑域名下的 1000+ 个账号,是一组高度同质化、批次化、流程化的账号群。
- ✅ 存在明显的"试探 → 放量"两阶段切换
- ✅ 前缀模式、UA 指纹、注册节奏三个维度同步变化
- ✅ 和全量用户对比,环境收敛度、激活时间、session 结构均显著偏离
- ✅ 更像「先建号池、再分批启用」的模式,而非简单的垃圾注册
对早期 SaaS 产品来说,这类批量注册未必立刻致命。但它的影响是实打实的——被薅走的 API 成本、被污染的增长数据、以及放任不管后可能的规模化升级。 越早建立异常检测能力,越早止损。
08 / 我们把排查方法做成了开源 Skill
上面这套排查流程,我们整理成了一个可以直接用的开源 Skill:abuse-hunter。
安装方式很简单,在 Nexu 里输入:
/skill install https://github.com/nexu-io/harness-engineering-guide/tree/main/skills/abuse-hunter
装好后,一句话启动排查:
帮我排查一下最近注册量异常高的邮箱域名,看看有没有批量刷号
它会自动跑完 6 步排查,输出一份带评分的报告:
- 邮箱域名聚类 — 找出注册量异常高的域名
- 注册节奏分析 — 是自然增长还是批量注入
- 前缀模式识别 — 人工创建还是程序生成
- UA 指纹对比 — 环境多样性 vs 收敛度
- 激活时间分析 — 注册即用还是先备号再启用
- 积分消耗统计 — 量化实际经济损失
最终输出 12 分制综合评分 + 处置建议。还附带一个 Python 脚本,导出 CSV 也能离线跑。
🔗 abuse-hunter Skill:github.com/nexu-io/har…
📘 Harness Engineering Guide — Harness 工程的系统实战教程:github.com/nexu-io/har…
09 / 关于 Nexu
Nexu 是一个可以一键安装的 OpenClaw 桌面客户端,让你在本地用 AI 操控一切。
不管你用微信、飞书、钉钉、企微、QQ、Slack、Discord、WhatsApp 还是 Telegram,Agent 就在你的聊天窗口里——帮你写代码、改 Bug、跑自动化、管日程、做调研。
🦞 Nexu:github.com/nexu-io/nex…
如果你对 AI Agent 的落地实践感兴趣——无论是技术架构、产品设计还是增长风控——欢迎 Star ⭐,也欢迎提 Issue 或 Discussion 一起交流。
