（圖源：讓子彈飛） 文：李浩 編輯：經緯

曾經喊出“你敢付，我敢賠”的支付寶，到了或許要兌現當年豪言的時刻。

近日，多家媒體報道，一名支付寶用戶在主動關閉支付功能后，賬上184 萬元竟被以“公益捐贈”的方式轉出，迅速引發輿論軒然大波。

5 月 15 日支付寶公開回應稱，該用戶資金被劃轉是“正常執行用戶賬戶下達的支付指令”，且該用戶賬戶“存在與他人共用嫌疑”。

事件中，用戶自述多次遭遇賬號被頂號，隨后立即聯系支付寶客服掛失并關閉支付功能。然而兩天后，資金仍被轉出。最匪夷所思的是，這些錢并非轉入個人賬戶，而是全部以慈善捐款的形式，轉給了多家公益組織。

常理而言，賬戶處于凍結狀態時，在用戶提交材料、平臺完成解封前，應無法進行任何形式的轉出。

但在這起事件中，支付寶并未按常理出牌。

央行上海分行在接到用戶舉報后，于 2 月 27 日認定支付寶未及時向金融消費者披露服務特性，存在合規問題。

諷刺的是，約在三個星期前，螞蟻集團旗下“現金奶牛”螞蟻消金公布了 2025 年的財務數據， 全年營收 215.60 億元，同比暴漲 41.7%。螞蟻集團更是將全年營收的超 15% 投入了 AI 研發。

有道是能力越大，責任越大。

作為國民級應用、作為消金王者，螞蟻集團在賺得盆滿缽滿、大舉進軍 AI 的 2026 年，卻連賬戶關閉支付功能后資金不應被隨意轉走，這樣最基礎的安全規則都沒能做好，導致用戶遭受巨額損失。

一邊是 289.8 億砸向 AI 的豪氣，一邊卻是用戶三年維權的無奈。

螞蟻貢獻了一場殘忍的荒誕劇。

深夜“捐贈”迷局

2023 年 10 月 19 日，用戶蘭某發現其綁定手機號 136*0044 的支付寶賬戶被他人擠下線，出現了異常登錄的情況。隨后，她立即聯系支付寶客服，按照指引主動關閉了賬戶的全部支付功能。

據用戶自述，當時客服提示類似“掛失成功，誰也動不了你的錢”。

由于運營多家淘寶店鋪，蘭某的支付寶賬戶內留存有大量周轉資金。據悉，這些資金主要來自店鋪銷售回款、信用卡周轉及親友借款。

對淘寶商家而言，將資金留在支付寶更為便捷。收款、支付貨款、購買廣告、處理退款、繳納保證金等操作均可在同一平臺快速完成，無需反復提現轉賬，大幅提升資金流轉效率。

但兩天后的 10 月 21 日，在凌晨 3:37 至早上 7:01 這三個半小時內，蘭某稱其支付寶賬戶中的資金被連續 6 筆轉走，總計涉事金額近 184.7 萬元。

根據當前披露出的轉賬記錄顯示，轉賬發生在后半夜，即使受害人因工作需要可能有熬夜習慣，在這個點也較可能已經睡下。

先轉出 5 元，或許是在試探捐款這條路徑能否可用。緊接著的 1000 元轉賬，頗有二次確認和試探系統是否處罰預警的意圖。再確認沒有其他阻攔后，賬上的 184 萬元被一筆轉出。

凌晨“突襲”，兩分鐘內“結束戰斗”，如果涉嫌犯罪，受害人幾乎沒有任何反應時間。

然而隨后各方表態讓此次事件蒙上了一層神秘面紗。

蘭某向當地警方報案。警方表示證據不足、定性困難，未予立案，蘭某隨即開始了長達三年的維權。

支付寶方面起初稱捐款行為一切正常，但在 5 月 15 日的回應中承認了賬戶存在“共用風險”，即有第二或更多人可以使用賬戶，并稱該事件可能涉及犯罪。

央行上海分行指出 184 萬余元的捐款，主要是在電腦端驗證支付密碼完成，部分轉賬還涉及人臉識別。

收到款項的大頭，中國鄉村發展基金會表示，收到的 184 萬已用于“捐一元獻愛心送營養”項目并執行完畢。如有公安或法院正式證據證明非自愿，可配合核實退款。

至此，這件事徹底成了羅生門。

操作捐款的目的是什么，泄憤，還是破壞受害者的生意？央行上海分行指出的人臉識別問題，操作者是如何應付的？這件事情有沒有涉及犯罪？

然而無論當天到底發生了什么，支付寶賬戶在被凍結后仍能轉出資金，這嚴重背離了凍結應有的資金和賬戶的防護作用，并直接導致了此次 184 萬元的損失。

當然，對于支付寶來說幸運的是，用戶用自己的 184 萬幫其捉了 Bug。

如果這是在法院或公安機關依法下達正式凍結指令的情況下，資金仍能通過特殊通道轉出，那么后果將遠比現在嚴重。

AI 時代的荒誕劇

凍結，顧名思義，需要賬戶服務提供方將賬戶保持在完全凍結、不可操作的狀態。

螞蟻本身也確實具有處理賬戶使用日常問題的能力，否則阿里電商、乃至其他延伸生態的成功也將不復存在。

眾所周知，支付寶誕生于阿里淘寶生態。在“萬能的淘寶”時代，退款、凍結、擔保交易等功能早已是平臺的基本操作。因此理論上，任何人私自劃走已凍結賬戶的資金幾乎不可能發生。

那么為什么 184 萬仍能被劃走？

公益捐贈功能作為支付寶后期新增的獨立業務模塊，推出時間遠晚于支付寶主支付系統。支付寶 2003 年 10 月在淘寶上線，2004 年 12 月開始獨立運營。而公益捐贈相關功能主要在 2014 年后逐步開發優化，在 2018 年 1 月公益賬戶才在支付寶中獨立上線。

當系統越來越龐大，功能越來越多時，功能模塊之間的交互也更加復雜，因此需要修補的規則漏洞也隨之增加，最終積累成了難以徹底清理的規則屎山。

這一點也得到了央行上海分行的調查印證。上海分行指出，關閉支付功能后，消費、轉賬等常規場景被限制，但公益捐贈場景仍保留了付款功能，且支付寶未對這一重要例外進行充分告知，存在合規問題。

相似的事情也發生在免密支付、商戶自動扣款等其他功能。

（圖源：黑貓投訴）

用戶因不知情、未授權的情況下被自動扣款，免密支付無法關閉等相關投訴層出不窮。

海因里希安全法則認為，每 1 起重大事故的發生，背后往往伴隨著 29 起輕微事故，以及 300 起未造成傷害的潛在隱患。

（圖源：黑貓投訴）

有意思的是，在黑貓投訴上，也出現過與此次 184 萬事件類似的情況。

有用戶反映稱，自己支付寶賬戶凍結后，仍能在乘坐公交后從賬戶余款中扣款成功。另一位用戶表示，在其銀行卡被凍結，銀行賬戶只進不出的情況下，花唄依然可以從該賬戶上扣款。

這些看似不起眼的小額扣款案例，早已暴露了支付寶在賬戶凍結與權限管理上的問題。

那么，回過頭來重新審視這次事件，正是因為通常情況下賬戶被凍結時，大多用戶只是乖乖等待解封，或嘗試自己控制賬戶里的錢，像這樣的極端操作極為罕見，所以這個隱藏的漏洞長期未被充分發現和重視。

184 萬元對于普通商戶而言是滅頂之災，但對于日進斗金螞蟻來說，卻連掛上小數點后兩位都不配。

4 月 20 日，螞蟻消金發布 2025 年度財務報告，全年營收 215.60 億元，較 2024 年的 152.13 億元大幅增長 41.7%，表內貸款余額高達 3,136 億元。

而據 5 月 13 日阿里財報數據，2025 年阿里巴巴從螞蟻集團獲得收益為 50.48 億元。由此推算螞蟻集團2025年全年利潤約 153 億元，平均每天凈盈利近半個小目標。

而讓螞蟻去年看起來勉強沒那么賺錢的原因是其在 AI 上的大筆投資——2025 年研發總投入達 289.8 億元，占總營收比重超過 15%。

在老本行方面，螞蟻推出了支付智能體 AI 付，讓用戶可通過一句話完成搜索、下單和支付。據螞蟻集團宣稱，其在 2026年春節期間支付筆數峰值達到 1.2 億。此外，螞蟻還推出了螞蟻阿福，定位為 AI 健康管理工具，提供健康問答、就醫助理、情緒陪伴以及長輩模式等功能。螞蟻集團對螞蟻阿福期待頗高，試圖通過其打造“第二個支付寶”。

然而，當螞蟻在 AI 賽道全力奔跑、展現科技雄心之時，其最基礎的賬戶安全與規則治理卻依然漏洞頻出，導致了用戶賴以為生的 184 萬在本應被凍結的賬戶中莫名消失。

AI 時代的華麗技術外衣與陳年漏洞規則屎山形成了極具諷刺意味的割裂。

這何嘗不是一種荒誕的藝術。