我测了两个API中转站，一个直接翻车了...上周在V2EX刷到一个帖子，有人说自己用的中转站被曝出"掺水"，花钱买的Cl

上周在V2EX刷到一个帖子，有人说自己用的中转站被曝出"掺水"，花钱买的Claude API，后端实际跑的是不知道哪来的野鸡模型。我当时第一反应是：不至于吧，我用的那个挺稳的啊。

但又觉得不踏实。正好前两天看到有人开源了个审计工具，就顺手拿来跑了一下。

结果：两个站，一个直接翻车。

先说结论：一个站爆了高危，工具调用被改写过；另一个站是中风险，prompt里被注了点东西。看到结果的时候我无语了，这两个站我都用了小半年了。

下面细说过程。

这玩意儿到底是怎么坑人的

其实原理很简单。

你正常调官方API：你的请求 → OpenAI/Anthropic服务器 → 返回结果。

走中转站：你的请求 → 中转站服务器（可以动手脚） → OpenAI/Anthropic服务器 → 中转站拦截 → 返回给你。

多出来的那一步，就是所有猫腻的源头。

常见的坑有这几种：

我一开始以为这是少数黑心商家的行为。直到翻到两篇研究，才发现问题严重得多。

CISPA今年发的论文 Real Money, Fake Models 系统性地测了市面上一批中转站，结论：

45.83%的端点，模型身份造假。 将近一半。

性能差距最高到47%。用官方Gemini跑出来准确率83.8%，通过某中转站后再测，直接掉到37%。一半以上的诊断题答错了。

被骗不可怕。可怕的是你连自己有没有被骗都不知道。

因为大模型本来就不是确定性系统。同一个prompt，不同时间返回不一样，很正常。你感觉今天变笨了，它可以说是温度参数问题，可以说是网络波动，也可以说是模型状态不好。所以这事很难靠感觉发现，你不审查，永远不会知道。

工具叫 api-relay-audit，社区开发者 Toby Bridges 开源的，GitHub上直接搜。

用起来比我想的简单，就一条命令：

python audit.py --key 你的KEY --url https://你的中转站地址/v1 --output report.md

然后它会自动跑13项检测：有没有在prompt里塞东西、模型身份对不对、上下文是不是被截了、工具调用有没有被改、错误信息会不会泄密钥等等，每一项都输出三种判定：clean（正常）、anomaly（异常）、inconclusive（不确定）。

10到15分钟跑完，生成一份带分级的报告：

我测的第一个站，工具调用检测那项直接爆红了——返回的function call参数被改过。

第二个站是黄色，prompt被注入了少量额外指令。不算致命，但我不舒服，也停了。

如果你不想等十几分钟，可以加参数跳过一些检测，大概3分钟出核心结论：

python audit.py --key YOUR_KEY --url YOUR_URL --skip-context --skip-stream-integrity --skip-infra

至少能告诉你：有没有被注入、模型有没有被掉包。

如果你暂时不想装Python不想跑命令行，有几个快速自查的招：

1. 抓包看token消耗。 发一条请求，看返回的JSON里usage.total_tokens是多少，然后去中转站后台看它记录的是多少。对不上？润。

2. 同一个prompt，发给官方API和中转站对比。 如果没有官方API的渠道，想办法借一个或者开个试用。对比回复质量，差太多说明有鬼。

3. 直接在system prompt里问它"你是谁"。 虽然这招能筛掉的只是最蠢的那批骗子，但成本也最低。

我个人觉得前两招比第三招靠谱。尤其是账单对比，数字不会骗人。

中转站可以卖的贵，可以聚合，可以做加速，甚至可以做fallback，但你得说清楚。用户买的是Claude，就不该在不知道的情况下被换成别的东西：用户把200K上下文发过去，就不该被悄悄截成32K；用户让Agent调工具，就不该被中间层改写成另一个调用。

这不是洁癖，这是底线。

花十分钟用审查工具跑一遍，比事后处理安全事件划算太多。

api-relay-audit工具地址 — github.com/toby-bridge…

论文：CISPA 2026, Real Money, Fake Models — arxiv.org/abs/2603.01…