25個(gè)免費(fèi)試用用戶中，5個(gè)在真正在用產(chǎn)品，1個(gè)付費(fèi)，另外19個(gè)都是欺詐者。

作者｜王博 蘇霍伊

“偷token的賊”來了。

他們沒有偷信用卡，也沒有攻破數(shù)據(jù)庫(kù)。

他們只是注冊(cè)了AI產(chǎn)品的免費(fèi)試用賬戶，一個(gè)郵箱、一個(gè)IP地址、一臺(tái)設(shè)備，就足夠讓他們進(jìn)入系統(tǒng)。隨后，他們開始高速消耗AI token（詞元）：生成文本、調(diào)用模型、測(cè)試接口、批量運(yùn)行任務(wù)。等到平臺(tái)察覺異常，或者月底賬單出現(xiàn)，他們就會(huì)離開，換一個(gè)身份，進(jìn)入下一個(gè)平臺(tái)。

在SaaS時(shí)代，這類行為最多被叫作“薅羊毛”。但在AI時(shí)代，它變成了一門更昂貴的生意。因?yàn)槊恳淮握{(diào)用模型、每一次生成文本、圖片、代碼或語(yǔ)音，背后都是真實(shí)的推理成本。

據(jù)可編程金融服務(wù)公司Stripe統(tǒng)計(jì)，AI公司每六次用戶注冊(cè)中就有一次涉及多賬戶濫用，而免費(fèi)試用濫用行為在過去六個(gè)月內(nèi)翻了一倍多。

“多賬戶濫用”的統(tǒng)計(jì)數(shù)據(jù)

“他們就是在吃‘霸王餐’。”艾米莉·桑茲（Emily Glassberg Sands）就坐在「甲子光年」對(duì)面，很直接地評(píng)價(jià)這些“偷token的賊”。

Stripe數(shù)據(jù)與AI負(fù)責(zé)人艾米莉·桑茲（Emily Glassberg Sands），圖片來源：「甲子光年」拍攝

“算力是新的現(xiàn)金（Compute is the new cash）。”作為Stripe數(shù)據(jù)與AI負(fù)責(zé)人，艾米莉·桑茲很少用夸張的詞。她是哈佛大學(xué)經(jīng)濟(jì)學(xué)博士，2021年加入Stripe之前，在Coursera做了七年數(shù)據(jù)科學(xué)副總裁。

如今，她在Stripe負(fù)責(zé)數(shù)據(jù)科學(xué)、增長(zhǎng)與機(jī)器學(xué)習(xí)基礎(chǔ)設(shè)施團(tuán)隊(duì)，主導(dǎo)了Radar從傳統(tǒng)交易反欺詐向token盜用防護(hù)的擴(kuò)展，也是Stripe Signals可編程風(fēng)控產(chǎn)品的架構(gòu)者。

和桑茲聊過后，「甲子光年」發(fā)現(xiàn)，她說話的方式更像一個(gè)經(jīng)濟(jì)學(xué)家：先看成本結(jié)構(gòu)，再看激勵(lì)機(jī)制，最后看系統(tǒng)會(huì)被什么樣的人利用。在她看來，AI行業(yè)眼下遇到的許多問題，都可以從一個(gè)簡(jiǎn)單變化開始理解：軟件的邊際成本，被大模型重新拉回了現(xiàn)實(shí)世界。

那些“偷token的賊”并沒有偷走AI公司賬戶里的余額，而是瞄準(zhǔn)了算力消耗。

以往，金融服務(wù)公司要識(shí)別的是一張被盜刷的信用卡、一筆異常交易、一次可疑拒付。現(xiàn)在，它必須更早地判斷一個(gè)人：他剛剛注冊(cè)，沒有付款，沒有填入信用卡信息，甚至還沒有表現(xiàn)出傳統(tǒng)意義上的交易行為。那么，他到底是一個(gè)未來的客戶，還是一個(gè)準(zhǔn)備消耗算力后離開的“偷token的賊”？

過去一個(gè)月，Stripe的反欺詐系統(tǒng)Radar為八家高增長(zhǎng)的AI公司攔截了超過330萬次高風(fēng)險(xiǎn)注冊(cè)，抓住“偷token的賊”正是桑茲的團(tuán)隊(duì)要做的事情。

1.25個(gè)免費(fèi)試用用戶，只有1個(gè)愿意付費(fèi)

4月29日，Stripe在舊金山舉辦年度大會(huì)Stripe Sessions。這是一場(chǎng)信息量十分密集的發(fā)布會(huì)，Stripe一次推出了288項(xiàng)新產(chǎn)品和功能。

Stripe聯(lián)合創(chuàng)始人兼首席執(zhí)行官帕特里克·科里森（Patrick Collison）在發(fā)布會(huì)上說，AI是自互聯(lián)網(wǎng)以來對(duì)經(jīng)濟(jì)最大的“平臺(tái)變革”。他還判斷，在不遠(yuǎn)的將來，Agent將占據(jù)大部分的線上交易。

這樣的表述容易讓人聯(lián)想到新的購(gòu)物入口、新的錢包、新的協(xié)議、新的商業(yè)增長(zhǎng)。但是新入口打開之后，最先沖進(jìn)來的不一定都是客戶。

還有“偷token的賊”。

“每一家AI公司，OpenAI、Anthropic、ElevenLabs、Cursor，還有很多其他公司，”桑茲說，“我們每一次與這些AI公司溝通，他們都會(huì)反映自己遇到的欺詐難題。”

AI公司的增長(zhǎng)速度太快，產(chǎn)品形態(tài)變化太快，欺詐方式也跟著變快。Stripe過去十多年建立的反欺詐系統(tǒng)Radar，原本主要守在交易環(huán)節(jié)附近。現(xiàn)在，風(fēng)險(xiǎn)提前出現(xiàn)了。

這些AI公司告訴Stripe，Radar在交易環(huán)節(jié)很好用，但真正燒錢的地方已經(jīng)不在交易環(huán)節(jié)，而是在前端漏斗，他們需要在用戶注冊(cè)時(shí)就知道應(yīng)該直接屏蔽掉哪些用戶。

這句話幾乎概括了AI風(fēng)控和傳統(tǒng)支付風(fēng)控最大的不同點(diǎn)。

信用卡欺詐通常發(fā)生在支付環(huán)節(jié)。系統(tǒng)至少可以看到支付憑證、卡號(hào)、金額、地區(qū)、商戶、歷史拒付記錄。而token盜用發(fā)生得更早，用戶剛剛進(jìn)入系統(tǒng)時(shí)，平臺(tái)能看到的常常只有設(shè)備、IP、郵箱以及少量的行為信號(hào)。

桑茲的團(tuán)隊(duì)在調(diào)研中發(fā)現(xiàn)，一些AI產(chǎn)品的免費(fèi)試用用戶數(shù)量和實(shí)際付費(fèi)用戶數(shù)量的比例十分夸張。“通常是5個(gè)人試用，其中1個(gè)會(huì)付費(fèi)。”桑茲告訴「甲子光年」，“但是一些AI產(chǎn)品案例里，25個(gè)免費(fèi)試用用戶中，5個(gè)在真正在用產(chǎn)品，1個(gè)付費(fèi)，另外19個(gè)都是欺詐者。”

這是一種更隱蔽的損失。

它偽裝成增長(zhǎng)數(shù)據(jù)，進(jìn)入注冊(cè)曲線、試用曲線和活躍曲線。直到公司去看成本、轉(zhuǎn)化和賬單，才發(fā)現(xiàn)大量所謂“用戶”從一開始就沒有付費(fèi)意圖。

正因如此，需要很快構(gòu)建并把“針對(duì)多賬戶濫用、免費(fèi)試用濫用、不付款濫用”等全新的反token濫用AI模型推向市場(chǎng)。“一方面是因?yàn)榧夹g(shù)已經(jīng)具備，另一方面是因?yàn)橛脩舻男枨髮?shí)在太迫切了。”桑茲說。

那么，如何在一個(gè)用戶還沒有付款之前，就知道這個(gè)人是否值得信任？

2.一個(gè)新注冊(cè)用戶，在Stripe那里并不陌生

對(duì)一家剛成立的AI公司來說，一個(gè)新注冊(cè)用戶就是一個(gè)陌生人。

他從哪里來？是否會(huì)付費(fèi)？有沒有創(chuàng)建過大量賬號(hào)？有沒有在其他AI服務(wù)里拒付？AI公司很難知道。它只能看到自己的產(chǎn)品、自己的漏斗、自己的支付記錄。

但Stripe看到的是另一張圖譜。

Stripe可以說是互聯(lián)網(wǎng)經(jīng)濟(jì)背后的“金融操作系統(tǒng)”。從收款、計(jì)費(fèi)、風(fēng)控到公司注冊(cè)，500萬家企業(yè)的資金在Stripe的系統(tǒng)里流進(jìn)流出，其客戶包括Amazon、Apple、Google、OpenAI、Anthropic等美國(guó)科技公司以及月之暗面、Minimax等中國(guó)科技公司，覆蓋全球50多個(gè)國(guó)家和地區(qū)。

根據(jù)Stripe 2025年度公開信的數(shù)據(jù)，2025年在Stripe上運(yùn)營(yíng)的企業(yè)產(chǎn)生了1.9萬億美元的總交易額，比2024年增長(zhǎng)34%，約相當(dāng)于全球GDP的1.6%。

在交易層面，Stripe的反欺詐系統(tǒng)Radar已有十多年的積累，他們也已經(jīng)構(gòu)建了一張全球客戶圖譜，基本上可以對(duì)每一位客戶、用戶作為一個(gè)獨(dú)特的節(jié)點(diǎn)進(jìn)行識(shí)別，并觀察他們?cè)谡麄€(gè)生態(tài)系統(tǒng)中的交易情況。

這意味著，一個(gè)人第一次登錄某款A(yù)I產(chǎn)品，對(duì)這家AI公司來說可能是陌生的，但對(duì)Stripe來說，這個(gè)人可能已經(jīng)在別的產(chǎn)品、訂閱、交易里留下過痕跡。

桑茲用Link舉例。Link是Stripe的消費(fèi)者錢包，擁有約2.5億用戶。她說，在不少AI公司里，Link承擔(dān)了相當(dāng)比例的交易流轉(zhuǎn)，比如AI應(yīng)用開發(fā)平臺(tái)Lovable 58%的收入都是通過Link流轉(zhuǎn)。對(duì)Stripe來說，這讓它更容易區(qū)分哪些人是正常用戶，哪些人可能是濫用者。

“對(duì)于AI領(lǐng)域中的任何一位好客戶，我們幾乎可以肯定之前已經(jīng)見過他；對(duì)于任何一位不好的客戶，我們也幾乎可以肯定之前見過。”桑茲告訴「甲子光年」。

作為Stripe的反欺詐系統(tǒng)，在Stripe年度大會(huì)Sessions上，Radar也被推到了一個(gè)新的位置。

按照桑茲的介紹，這次更新主要有三層。

首先，Radar的防護(hù)范圍從傳統(tǒng)交易環(huán)節(jié)，向AI公司的增長(zhǎng)漏斗兩端延伸。它既要在上游識(shí)別“多賬號(hào)注冊(cè)”——那些反復(fù)領(lǐng)取免費(fèi)額度、濫用免費(fèi)試用的用戶；也要在下游攔截她所說的“Dine and Dash”，也就是用戶大量消耗token后，在賬單到期時(shí)拒絕付款的“吃霸王餐”行為。

按需付費(fèi)，防止濫用

第二，Radar的覆蓋范圍也從卡支付繼續(xù)擴(kuò)展到更多支付方式。過去，Radar主要保護(hù)銀行卡交易，后來擴(kuò)展到美國(guó)的ACH銀行轉(zhuǎn)賬和歐洲的SEPA銀行轉(zhuǎn)賬，而這一次，Stripe希望把這種風(fēng)控能力覆蓋到所有支付方式上。桑茲說得很直接：“欺詐者不會(huì)因?yàn)橹Ц斗绞讲煌屯Ｏ聛恚晕覀円膊荒堋！?/p>

Radar已擴(kuò)展至更多的支付方式

第三，Radar開始通過API向外開放。對(duì)于那些同時(shí)使用多個(gè)支付處理商的大型商家來說，欺詐并不會(huì)因?yàn)榻灰撞辉赟tripe上處理就自動(dòng)消失。因此，Stripe把Radar做成API，讓商家也可以用它篩查其他支付處理商上的交易風(fēng)險(xiǎn)。

Radar通過API向外開放

這意味著，Radar不再只是Stripe支付鏈路里的一個(gè)反欺詐工具，而是在向一套更通用的風(fēng)險(xiǎn)識(shí)別基礎(chǔ)設(shè)施演進(jìn)：它既要保護(hù)AI公司最早的注冊(cè)入口，也要覆蓋更復(fù)雜的全球支付網(wǎng)絡(luò)，還要在Stripe之外繼續(xù)發(fā)揮作用。

免費(fèi)使用濫用增長(zhǎng)

部署Radar后，免費(fèi)試用濫用情況下降

桑茲告訴「甲子光年」，Stripe用的反token濫用AI模型依然是Transformer架構(gòu)，每個(gè)模型大約配兩到三位數(shù)據(jù)科學(xué)家和機(jī)器學(xué)習(xí)工程師。模型會(huì)根據(jù)攔截位置不同而變化：注冊(cè)時(shí)的多賬戶濫用，試用階段的轉(zhuǎn)化判斷，賬單周期的不付款濫用，都需要不同信號(hào)。

不過，團(tuán)隊(duì)沒有把重點(diǎn)放在模型本身。

“任何人都能搭一個(gè)Transformer。”她說，“Stripe的模型之所以有效，主要是因?yàn)槲覀兙W(wǎng)絡(luò)的規(guī)模和密度。”

AI公司擁有產(chǎn)品行為數(shù)據(jù)，模型公司擁有推理能力，云廠商擁有算力資源。而Stripe擁有的是一張跨商戶、跨行業(yè)、跨國(guó)家的商業(yè)行為網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)過去用于判斷交易風(fēng)險(xiǎn)，現(xiàn)在開始被用來判斷一個(gè)用戶在交易之前是否可信。

在互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)支付時(shí)代，風(fēng)控更像守門員，站在收銀臺(tái)旁邊。

而在AI時(shí)代，它越來越像門口的保安，要在一個(gè)人走進(jìn)店里、開始消耗商品之前，先判斷他是不是會(huì)付錢。

但還有一個(gè)棘手的問題，這個(gè)消耗大量token的用戶，可能不是一個(gè)真實(shí)的人，而是Agent。

3.抓不住賊，AI公司就會(huì)走上老路

桑茲告訴「甲子光年」，到目前為止，Stripe解決的更多是“個(gè)人”層面的token欺詐。這些用戶往往會(huì)用一些腳本，也會(huì)用到一些AI技術(shù)，但他們本質(zhì)上還是一個(gè)真實(shí)人類用戶在濫用。

“我們也必須為Agent的世界做好準(zhǔn)備，”桑茲說，“如果Agent淪為濫用者，或者Agent被惡意利用，那么這些問題只會(huì)加速惡化，我們必須走在前面。”

對(duì)Stripe來說，今天需要被識(shí)別的，是一個(gè)剛剛注冊(cè)、準(zhǔn)備濫用免費(fèi)額度的人；明天需要被識(shí)別的，可能是一個(gè)代表用戶下單、調(diào)用API、購(gòu)買數(shù)據(jù)或配置服務(wù)的Agent。前者是風(fēng)險(xiǎn)，后者是增量。兩者共同指向同一個(gè)問題：當(dāng)AI開始進(jìn)入交易系統(tǒng)，商業(yè)基礎(chǔ)設(shè)施必須先回答“誰被授權(quán)、誰值得信任、誰正在濫用”。

這也是Agentic Commerce被Stripe反復(fù)強(qiáng)調(diào)的原因。

所謂Agentic Commerce（智能體商務(wù)），本質(zhì)上是一種新的交易范式：AI不再停留在推薦、搜索和比價(jià)環(huán)節(jié)，而是在獲得用戶授權(quán)后，直接代表用戶完成下單、支付與交易執(zhí)行。商業(yè)系統(tǒng)正在從“以人為操作中心”，轉(zhuǎn)向“為智能體設(shè)計(jì)”的新階段；交易的發(fā)生位置也隨之遷移，機(jī)器開始成為真正意義上的交易參與者。

桑茲還表達(dá)了一層擔(dān)憂，如果AI公司控制不住這些“偷token的賊”，在經(jīng)濟(jì)損失之外，可能會(huì)因此改變其增長(zhǎng)方式。

“這些公司會(huì)重新走上六個(gè)月前，也就是我們做出這些方案之前的老路：關(guān)閉開放訪問，關(guān)掉個(gè)人開發(fā)者、個(gè)人消費(fèi)者的入口，把火力完全集中在跟銷售團(tuán)隊(duì)當(dāng)面談的大企業(yè)客戶上。”

過去兩年，AI產(chǎn)品之所以快速擴(kuò)散，很大程度上依賴開放入口。普通用戶可以直接試用，開發(fā)者可以迅速接入，小團(tuán)隊(duì)可以用很低成本測(cè)試新產(chǎn)品。免費(fèi)試用、按量付費(fèi)、產(chǎn)品驅(qū)動(dòng)增長(zhǎng)，讓AI工具以極快速度進(jìn)入市場(chǎng)。

但開放入口天然脆弱，它歡迎真實(shí)用戶，但防不住濫用者。它讓好產(chǎn)品更快找到目標(biāo)客戶，也讓一些惡意用戶更容易消耗成本。如果無法區(qū)分二者，平臺(tái)最安全的選擇就是收緊入口。

某種程度上來說，這會(huì)改變AI的擴(kuò)散路徑。在桑茲看來，這對(duì)經(jīng)濟(jì)不利，因?yàn)闀?huì)降低AI采用速度；對(duì)Agent也不利，因?yàn)锳gent“永遠(yuǎn)不會(huì)跟一個(gè)銷售坐下來簽一份為期一年、十萬美元的合同”。

“解決token盜用，部分意義就在于確保AI公司能夠繼續(xù)保留freemium、免費(fèi)試用、按量付費(fèi)、產(chǎn)品驅(qū)動(dòng)增長(zhǎng)這些模式，而不是被迫只剩‘銷售驅(qū)動(dòng)的企業(yè)市場(chǎng)’這一條路。”桑茲說。

一位熟悉SaaS行業(yè)的資深投資人告訴「甲子光年」，傳統(tǒng)訂閱模式在AI生產(chǎn)力場(chǎng)景里會(huì)暴露出新的不合理性：同樣付一筆月費(fèi)，低頻用戶和高頻用戶消耗的資源完全不同，后者實(shí)際上在持續(xù)占用更多算力成本，而這些成本會(huì)被攤?cè)胝w定價(jià)中，最終由低頻用戶共同承擔(dān)。

在互聯(lián)網(wǎng)時(shí)代，這種模式并不難成立。因?yàn)榉?wù)一個(gè)額外用戶的邊際成本接近于零，免費(fèi)增值、分層套餐、包月訂閱，都可以成為增長(zhǎng)工具。但到了AI時(shí)代，模型調(diào)用更像電力消耗：只要使用，就有對(duì)應(yīng)的算力成本。

這讓token計(jì)費(fèi)不只是一個(gè)技術(shù)計(jì)量方式，而成為AI商業(yè)模式重構(gòu)的起點(diǎn)。它遵循的是“用得多、付得多”的原則，也讓那些試圖在付費(fèi)前惡意消耗算力的人或者Agent，變成AI公司必須盡早識(shí)別的風(fēng)險(xiǎn)。

在未來的Agentic Commerce里，交易可能更碎、更快、更頻繁。一個(gè)Agent要購(gòu)買數(shù)據(jù)、調(diào)用API、訂閱工具、配置服務(wù)，它不會(huì)像企業(yè)采購(gòu)那樣經(jīng)歷銷售、合同、法務(wù)、審批。它需要的是可調(diào)用的接口、可授權(quán)的錢包、可結(jié)算的微支付，以及能實(shí)時(shí)識(shí)別風(fēng)險(xiǎn)的系統(tǒng)。

如果AI公司因?yàn)槠墼p壓力而關(guān)掉開放入口，Agentic Commerce也很難真正運(yùn)轉(zhuǎn)起來。

所以，抓住“偷token的賊”是Agentic Commerce的前提。一個(gè)系統(tǒng)只有能分辨誰在濫用，才敢把入口繼續(xù)打開。

4.不僅僅是AI公司要防賊

今天，token盜用看起來還是AI公司的遇到的麻煩。

OpenAI、Anthropic、ElevenLabs、Cursor這類公司最先感受到壓力，因?yàn)樗鼈兊漠a(chǎn)品直接以模型推理為核心成本。它們?cè)介_放，越容易被濫用；越成功，越容易吸引竊賊。

但桑茲不認(rèn)為這個(gè)問題會(huì)長(zhǎng)期停留在少數(shù)AI公司身上，“可能12個(gè)月還是18個(gè)月之后，每一家公司都將變成一家AI公司，每一家公司都會(huì)把AI嵌入自己的產(chǎn)品和服務(wù)中。”

她接著列舉：傳統(tǒng)零售會(huì)是AI公司，傳統(tǒng)SaaS會(huì)是AI公司，平臺(tái)和市場(chǎng)也都會(huì)是AI公司。

這句話的意思是，token成本、AI風(fēng)控、Agent支付，未來都會(huì)從少數(shù)前沿公司的特殊問題，變成更多企業(yè)的普通問題。

當(dāng)客服由AI完成，推薦由AI生成，采購(gòu)由AI輔助，銷售由AI代理，企業(yè)會(huì)開始面對(duì)同一組新問題：哪些調(diào)用是真實(shí)需求，哪些是濫用？哪些用戶值得放行，哪些需要額外驗(yàn)證？哪些Agent被授權(quán)購(gòu)買？哪些Agent正在制造風(fēng)險(xiǎn)？

這些問題聽起來沒有模型能力那么耀眼，卻更接近商業(yè)系統(tǒng)的底層。

AI公司過去幾年最關(guān)心的是模型參數(shù)、推理、多模態(tài)、上下文窗口、成本下降。現(xiàn)在，更多公司開始遇到另一些問題：誰來付錢？怎么定價(jià)？怎么防欺詐？如何授權(quán)？如何結(jié)算？如何讓開放入口不被濫用摧毀？

桑茲的團(tuán)隊(duì)恰好站在這些問題的交叉點(diǎn)上：既看見AI公司的增長(zhǎng)，也看見增長(zhǎng)背后的成本；既看見Agent Commerce的未來，也看見Agent被濫用之后可能制造的風(fēng)險(xiǎn)；既要讓更多交易發(fā)生，也要保障交易安全進(jìn)行。

AI經(jīng)濟(jì)要繼續(xù)開放、增長(zhǎng)和交易，但第一步也許很樸素：先抓住那些“偷token的人”。

（封面圖來源：AI生成，文中未注明來源配圖來自：Stripe）