抓住“偷token的賊”｜甲子光年

25個免費試用用戶中，5個在真正在用產品，1個付費，另外19個都是欺詐者。

作者｜王博 蘇霍伊

“偷token的賊”來了。

他們沒有偷信用卡，也沒有攻破數據庫。

他們只是注冊了AI產品的免費試用賬戶，一個郵箱、一個IP地址、一臺設備，就足夠讓他們進入系統。隨后，他們開始高速消耗AI token（詞元）：生成文本、調用模型、測試接口、批量運行任務。等到平臺察覺異常，或者月底賬單出現，他們就會離開，換一個身份，進入下一個平臺。

在SaaS時代，這類行為最多被叫作“薅羊毛”。但在AI時代，它變成了一門更昂貴的生意。因為每一次調用模型、每一次生成文本、圖片、代碼或語音，背后都是真實的推理成本。

據可編程金融服務公司Stripe統計，AI公司每六次用戶注冊中就有一次涉及多賬戶濫用，而免費試用濫用行為在過去六個月內翻了一倍多。

“多賬戶濫用”的統計數據

“他們就是在吃‘霸王餐’。”艾米莉·桑茲（Emily Glassberg Sands）就坐在「甲子光年」對面，很直接地評價這些“偷token的賊”。

Stripe數據與AI負責人艾米莉·桑茲（Emily Glassberg Sands），圖片來源：「甲子光年」拍攝

“算力是新的現金（Compute is the new cash）。”作為Stripe數據與AI負責人，艾米莉·桑茲很少用夸張的詞。她是哈佛大學經濟學博士，2021年加入Stripe之前，在Coursera做了七年數據科學副總裁。

如今，她在Stripe負責數據科學、增長與機器學習基礎設施團隊，主導了Radar從傳統交易反欺詐向token盜用防護的擴展，也是Stripe Signals可編程風控產品的架構者。

和桑茲聊過后，「甲子光年」發現，她說話的方式更像一個經濟學家：先看成本結構，再看激勵機制，最后看系統會被什么樣的人利用。在她看來，AI行業眼下遇到的許多問題，都可以從一個簡單變化開始理解：軟件的邊際成本，被大模型重新拉回了現實世界。

那些“偷token的賊”并沒有偷走AI公司賬戶里的余額，而是瞄準了算力消耗。

以往，金融服務公司要識別的是一張被盜刷的信用卡、一筆異常交易、一次可疑拒付。現在，它必須更早地判斷一個人：他剛剛注冊，沒有付款，沒有填入信用卡信息，甚至還沒有表現出傳統意義上的交易行為。那么，他到底是一個未來的客戶，還是一個準備消耗算力后離開的“偷token的賊”？

過去一個月，Stripe的反欺詐系統Radar為八家高增長的AI公司攔截了超過330萬次高風險注冊，抓住“偷token的賊”正是桑茲的團隊要做的事情。

1.25個免費試用用戶，只有1個愿意付費

4月29日，Stripe在舊金山舉辦年度大會Stripe Sessions。這是一場信息量十分密集的發布會，Stripe一次推出了288項新產品和功能。

Stripe聯合創始人兼首席執行官帕特里克·科里森（Patrick Collison）在發布會上說，AI是自互聯網以來對經濟最大的“平臺變革”。他還判斷，在不遠的將來，Agent將占據大部分的線上交易。

這樣的表述容易讓人聯想到新的購物入口、新的錢包、新的協議、新的商業增長。但是新入口打開之后，最先沖進來的不一定都是客戶。

還有“偷token的賊”。

“每一家AI公司，OpenAI、Anthropic、ElevenLabs、Cursor，還有很多其他公司，”桑茲說，“我們每一次與這些AI公司溝通，他們都會反映自己遇到的欺詐難題。”

AI公司的增長速度太快，產品形態變化太快，欺詐方式也跟著變快。Stripe過去十多年建立的反欺詐系統Radar，原本主要守在交易環節附近。現在，風險提前出現了。

這些AI公司告訴Stripe，Radar在交易環節很好用，但真正燒錢的地方已經不在交易環節，而是在前端漏斗，他們需要在用戶注冊時就知道應該直接屏蔽掉哪些用戶。

這句話幾乎概括了AI風控和傳統支付風控最大的不同點。

信用卡欺詐通常發生在支付環節。系統至少可以看到支付憑證、卡號、金額、地區、商戶、歷史拒付記錄。而token盜用發生得更早，用戶剛剛進入系統時，平臺能看到的常常只有設備、IP、郵箱以及少量的行為信號。

桑茲的團隊在調研中發現，一些AI產品的免費試用用戶數量和實際付費用戶數量的比例十分夸張。“通常是5個人試用，其中1個會付費。”桑茲告訴「甲子光年」，“但是一些AI產品案例里，25個免費試用用戶中，5個在真正在用產品，1個付費，另外19個都是欺詐者。”

這是一種更隱蔽的損失。

它偽裝成增長數據，進入注冊曲線、試用曲線和活躍曲線。直到公司去看成本、轉化和賬單，才發現大量所謂“用戶”從一開始就沒有付費意圖。

正因如此，需要很快構建并把“針對多賬戶濫用、免費試用濫用、不付款濫用”等全新的反token濫用AI模型推向市場。“一方面是因為技術已經具備，另一方面是因為用戶的需求實在太迫切了。”桑茲說。

那么，如何在一個用戶還沒有付款之前，就知道這個人是否值得信任？

2.一個新注冊用戶，在Stripe那里并不陌生

對一家剛成立的AI公司來說，一個新注冊用戶就是一個陌生人。

他從哪里來？是否會付費？有沒有創建過大量賬號？有沒有在其他AI服務里拒付？AI公司很難知道。它只能看到自己的產品、自己的漏斗、自己的支付記錄。

但Stripe看到的是另一張圖譜。

Stripe可以說是互聯網經濟背后的“金融操作系統”。從收款、計費、風控到公司注冊，500萬家企業的資金在Stripe的系統里流進流出，其客戶包括Amazon、Apple、Google、OpenAI、Anthropic等美國科技公司以及月之暗面、Minimax等中國科技公司，覆蓋全球50多個國家和地區。

根據Stripe 2025年度公開信的數據，2025年在Stripe上運營的企業產生了1.9萬億美元的總交易額，比2024年增長34%，約相當于全球GDP的1.6%。

在交易層面，Stripe的反欺詐系統Radar已有十多年的積累，他們也已經構建了一張全球客戶圖譜，基本上可以對每一位客戶、用戶作為一個獨特的節點進行識別，并觀察他們在整個生態系統中的交易情況。

這意味著，一個人第一次登錄某款AI產品，對這家AI公司來說可能是陌生的，但對Stripe來說，這個人可能已經在別的產品、訂閱、交易里留下過痕跡。

桑茲用Link舉例。Link是Stripe的消費者錢包，擁有約2.5億用戶。她說，在不少AI公司里，Link承擔了相當比例的交易流轉，比如AI應用開發平臺Lovable 58%的收入都是通過Link流轉。對Stripe來說，這讓它更容易區分哪些人是正常用戶，哪些人可能是濫用者。

“對于AI領域中的任何一位好客戶，我們幾乎可以肯定之前已經見過他；對于任何一位不好的客戶，我們也幾乎可以肯定之前見過。”桑茲告訴「甲子光年」。

作為Stripe的反欺詐系統，在Stripe年度大會Sessions上，Radar也被推到了一個新的位置。

按照桑茲的介紹，這次更新主要有三層。

首先，Radar的防護范圍從傳統交易環節，向AI公司的增長漏斗兩端延伸。它既要在上游識別“多賬號注冊”——那些反復領取免費額度、濫用免費試用的用戶；也要在下游攔截她所說的“Dine and Dash”，也就是用戶大量消耗token后，在賬單到期時拒絕付款的“吃霸王餐”行為。

按需付費，防止濫用

第二，Radar的覆蓋范圍也從卡支付繼續擴展到更多支付方式。過去，Radar主要保護銀行卡交易，后來擴展到美國的ACH銀行轉賬和歐洲的SEPA銀行轉賬，而這一次，Stripe希望把這種風控能力覆蓋到所有支付方式上。桑茲說得很直接：“欺詐者不會因為支付方式不同就停下來，所以我們也不能。”

Radar已擴展至更多的支付方式

第三，Radar開始通過API向外開放。對于那些同時使用多個支付處理商的大型商家來說，欺詐并不會因為交易不在Stripe上處理就自動消失。因此，Stripe把Radar做成API，讓商家也可以用它篩查其他支付處理商上的交易風險。

Radar通過API向外開放

這意味著，Radar不再只是Stripe支付鏈路里的一個反欺詐工具，而是在向一套更通用的風險識別基礎設施演進：它既要保護AI公司最早的注冊入口，也要覆蓋更復雜的全球支付網絡，還要在Stripe之外繼續發揮作用。

免費使用濫用增長

部署Radar后，免費試用濫用情況下降

桑茲告訴「甲子光年」，Stripe用的反token濫用AI模型依然是Transformer架構，每個模型大約配兩到三位數據科學家和機器學習工程師。模型會根據攔截位置不同而變化：注冊時的多賬戶濫用，試用階段的轉化判斷，賬單周期的不付款濫用，都需要不同信號。

不過，團隊沒有把重點放在模型本身。

“任何人都能搭一個Transformer。”她說，“Stripe的模型之所以有效，主要是因為我們網絡的規模和密度。”

AI公司擁有產品行為數據，模型公司擁有推理能力，云廠商擁有算力資源。而Stripe擁有的是一張跨商戶、跨行業、跨國家的商業行為網絡。這個網絡過去用于判斷交易風險，現在開始被用來判斷一個用戶在交易之前是否可信。

在互聯網和移動互聯網支付時代，風控更像守門員，站在收銀臺旁邊。

而在AI時代，它越來越像門口的保安，要在一個人走進店里、開始消耗商品之前，先判斷他是不是會付錢。

但還有一個棘手的問題，這個消耗大量token的用戶，可能不是一個真實的人，而是Agent。

3.抓不住賊，AI公司就會走上老路

桑茲告訴「甲子光年」，到目前為止，Stripe解決的更多是“個人”層面的token欺詐。這些用戶往往會用一些腳本，也會用到一些AI技術，但他們本質上還是一個真實人類用戶在濫用。

“我們也必須為Agent的世界做好準備，”桑茲說，“如果Agent淪為濫用者，或者Agent被惡意利用，那么這些問題只會加速惡化，我們必須走在前面。”

對Stripe來說，今天需要被識別的，是一個剛剛注冊、準備濫用免費額度的人；明天需要被識別的，可能是一個代表用戶下單、調用API、購買數據或配置服務的Agent。前者是風險，后者是增量。兩者共同指向同一個問題：當AI開始進入交易系統，商業基礎設施必須先回答“誰被授權、誰值得信任、誰正在濫用”。

這也是Agentic Commerce被Stripe反復強調的原因。

所謂Agentic Commerce（智能體商務），本質上是一種新的交易范式：AI不再停留在推薦、搜索和比價環節，而是在獲得用戶授權后，直接代表用戶完成下單、支付與交易執行。商業系統正在從“以人為操作中心”，轉向“為智能體設計”的新階段；交易的發生位置也隨之遷移，機器開始成為真正意義上的交易參與者。

桑茲還表達了一層擔憂，如果AI公司控制不住這些“偷token的賊”，在經濟損失之外，可能會因此改變其增長方式。

“這些公司會重新走上六個月前，也就是我們做出這些方案之前的老路：關閉開放訪問，關掉個人開發者、個人消費者的入口，把火力完全集中在跟銷售團隊當面談的大企業客戶上。”

過去兩年，AI產品之所以快速擴散，很大程度上依賴開放入口。普通用戶可以直接試用，開發者可以迅速接入，小團隊可以用很低成本測試新產品。免費試用、按量付費、產品驅動增長，讓AI工具以極快速度進入市場。

但開放入口天然脆弱，它歡迎真實用戶，但防不住濫用者。它讓好產品更快找到目標客戶，也讓一些惡意用戶更容易消耗成本。如果無法區分二者，平臺最安全的選擇就是收緊入口。

某種程度上來說，這會改變AI的擴散路徑。在桑茲看來，這對經濟不利，因為會降低AI采用速度；對Agent也不利，因為Agent“永遠不會跟一個銷售坐下來簽一份為期一年、十萬美元的合同”。

“解決token盜用，部分意義就在于確保AI公司能夠繼續保留freemium、免費試用、按量付費、產品驅動增長這些模式，而不是被迫只剩‘銷售驅動的企業市場’這一條路。”桑茲說。

一位熟悉SaaS行業的資深投資人告訴「甲子光年」，傳統訂閱模式在AI生產力場景里會暴露出新的不合理性：同樣付一筆月費，低頻用戶和高頻用戶消耗的資源完全不同，后者實際上在持續占用更多算力成本，而這些成本會被攤入整體定價中，最終由低頻用戶共同承擔。

在互聯網時代，這種模式并不難成立。因為服務一個額外用戶的邊際成本接近于零，免費增值、分層套餐、包月訂閱，都可以成為增長工具。但到了AI時代，模型調用更像電力消耗：只要使用，就有對應的算力成本。

這讓token計費不只是一個技術計量方式，而成為AI商業模式重構的起點。它遵循的是“用得多、付得多”的原則，也讓那些試圖在付費前惡意消耗算力的人或者Agent，變成AI公司必須盡早識別的風險。

在未來的Agentic Commerce里，交易可能更碎、更快、更頻繁。一個Agent要購買數據、調用API、訂閱工具、配置服務，它不會像企業采購那樣經歷銷售、合同、法務、審批。它需要的是可調用的接口、可授權的錢包、可結算的微支付，以及能實時識別風險的系統。

如果AI公司因為欺詐壓力而關掉開放入口，Agentic Commerce也很難真正運轉起來。

所以，抓住“偷token的賊”是Agentic Commerce的前提。一個系統只有能分辨誰在濫用，才敢把入口繼續打開。

4.不僅僅是AI公司要防賊

今天，token盜用看起來還是AI公司的遇到的麻煩。

OpenAI、Anthropic、ElevenLabs、Cursor這類公司最先感受到壓力，因為它們的產品直接以模型推理為核心成本。它們越開放，越容易被濫用；越成功，越容易吸引竊賊。

但桑茲不認為這個問題會長期停留在少數AI公司身上，“可能12個月還是18個月之后，每一家公司都將變成一家AI公司，每一家公司都會把AI嵌入自己的產品和服務中。”

她接著列舉：傳統零售會是AI公司，傳統SaaS會是AI公司，平臺和市場也都會是AI公司。

這句話的意思是，token成本、AI風控、Agent支付，未來都會從少數前沿公司的特殊問題，變成更多企業的普通問題。

當客服由AI完成，推薦由AI生成，采購由AI輔助，銷售由AI代理，企業會開始面對同一組新問題：哪些調用是真實需求，哪些是濫用？哪些用戶值得放行，哪些需要額外驗證？哪些Agent被授權購買？哪些Agent正在制造風險？

這些問題聽起來沒有模型能力那么耀眼，卻更接近商業系統的底層。

AI公司過去幾年最關心的是模型參數、推理、多模態、上下文窗口、成本下降。現在，更多公司開始遇到另一些問題：誰來付錢？怎么定價？怎么防欺詐？如何授權？如何結算？如何讓開放入口不被濫用摧毀？

桑茲的團隊恰好站在這些問題的交叉點上：既看見AI公司的增長，也看見增長背后的成本；既看見Agent Commerce的未來，也看見Agent被濫用之后可能制造的風險；既要讓更多交易發生，也要保障交易安全進行。

AI經濟要繼續開放、增長和交易，但第一步也許很樸素：先抓住那些“偷token的人”。

（封面圖來源：AI生成，文中未注明來源配圖來自：Stripe）