哈喽,大家好!
不知道最近大家有没有发现一件事,最近网上各种ChatGPT 几块钱就能充值Plus 以及Pro泛滥。
某鱼、某宝、拼XX上,搜一下“GPT Plus代充”,跳出来的价格一个比一个离谱——20块、15块、甚至9块9。
月费原本140多人民币的Plus,土区便宜点也要85左右,Pro更是要200美金。
凭什么有人能卖到十几块?
还写着“秒到账”“稳定一个月”“失效包退”。
看着巨香,对不对?
我告诉你,这根本不是商家在做慈善,也不是什么内部渠道。
其实这是只不过是利用了ChatGPT的支付漏洞而已,目前该漏洞已经被报告给OpenAI 官方了,漏洞原文地址:
https://community.openai.com/t/security-report-apple-pay-receipt-validation-does-not-bind-to-purchaser-apple-id-potential-subscription-bypass/1379167?utm_source=chatgpt.com
下面来看看这个漏洞的原理吧!
一、一张“小票”,卖给无数人
先问你一个问题:
如果你拿着别人超市购物的小票,去柜台领同样的商品,你觉得能成功吗?
正常情况肯定不行——柜员会核对小票上的购买人、时间,甚至要你看会员卡。
但OpenAI在验证iOS内购的时候,偏偏就犯了这个低级错误。
正常开通Plus的流程是这样的:
- 你在ChatGPT App里点“订阅”
- 跳转App Store完成支付
- Apple生成一张内购收据(电子小票)
- ChatGPT App把这张收据+你的账号令牌,一起发给OpenAI
- OpenAI验证通过 → 开通会员
逻辑没问题对吧?
但漏洞出在第5步——OpenAI验证时偷了懒。
他们只检查两样东西:
- 收据是不是Apple官方生成的(没被篡改)
- 你的账号令牌是不是有效的(账号没过期、没退出)
至于这张收据对应的Apple ID,和你这个ChatGPT账号有没有绑定关系——OpenAI压根不查。
这就好比:
柜员只看小票是真的假的,既不核对购买人,也不看你的身份证,只要小票是真的,就直接把商品递给你。
商家就是靠这个漏洞,一张85块的土区收据,反复卖给几十上百个人。
二、代充商家的四步“印钞术”
具体怎么操作的?我给你拆开讲,一点都不高科技。
第一步:搞一张低价收据
商家注册一个土耳其区Apple ID。
为什么是土耳其?因为土耳其里拉贬值厉害,ChatGPT Plus在那里只要499里拉,折合人民币85块左右,比美区(140+)便宜近一半。
充好礼品卡,正常付款,拿到一张合法的、真实的Apple内购收据。
成本85块。
第二步:拦截收据,不让它自动上报
正常情况下,付完钱后,Apple会把收据存到手机里,ChatGPT App会自动把它发给OpenAI,然后你的临时账号就被绑定了。
商家不会让这件事发生。
他们用代理工具(比如Charles Proxy、Mitmproxy) 或者越狱后的Hook工具,在收据即将发送的那一刻拦截下来。
这样收据就不会和任何一个账号绑死。
第三步:导出收据
拦截成功后,收据被保存成一段base64编码的文本。
这一步不需要高深技术,网上教程一大堆,甚至有人专门写好了自动化脚本。
第四步:反复代充,一本万利
最关键的一步来了。
商家拿到这张收据后,开始接单。
客户下单 → 提供自己的ChatGPT账号令牌(或者账号密码) → 商家把同一张收据和客户的令牌一起发给OpenAI → OpenAI验证通过 → 客户账号秒开Plus。
客户改完密码,令牌失效。
但那张收据还在商家手里。
然后下一个客户来了,同样的操作,同样的收据,再次开通。
一张85块的收据,可以充几十个、上百个账号。
卖20块一个,充10个就回本,剩下的全是纯利润。
这就是“几块钱、十几块钱代充”的真相。
三、你买的不是会员,是三颗雷
到这里,可能还有人觉得:
“反正能用就行,管他什么漏洞,便宜才是硬道理。”
那我告诉你,你买的不是便宜,是三颗定时炸弹。
雷一:随时失效,钱白花
OpenAI不是不知道这个漏洞。
官方社区早有人爆料过,只是目前个人Plus订阅收入对OpenAI来说不值一提,他们懒得花大力气去修。
但“懒得管”不等于“永远不管”。
一旦OpenAI某天更新了验证逻辑,开始校验Apple ID和ChatGPT账号的绑定关系——
所有通过漏洞代充的Plus,会在同一时间批量失效。
到时候你找商家退款?
人家店铺一关,换个马甲继续卖,你连人都找不到。
雷二:账号可能被永久封禁
OpenAI对异常行为的容忍度其实很低。
批量代充用的都是同一张收据,虽然目前验证不严格,但服务器日志里请求特征、时间戳、收据复用次数这些数据,他们全都记录着。
哪天想清算了,一查一个准。
轻则Plus会员被取消,重则整个ChatGPT账号被永久封禁。
你账号里存的对话记录、训练过的GPTs、甚至绑定的API密钥,全都没了。
雷三:隐私泄露风险极高
代充流程里,你必须把自己的账号密码或者令牌交给商家。
你说你改完密码就安全了?
太天真了。
商家用的代理工具、Hook脚本,很多来自不明渠道,里面有没有后门?你的令牌有没有被额外保存?你的邮箱、手机号有没有被关联到别的数据库?
你永远不知道,为了省那几十块钱,你把自己的账号信息交到了谁手里。
四、OpenAI为什么不修这个漏洞?
很多人想不通:这么明显的漏洞,OpenAI这么大公司,怎么就不修?
原因其实很简单:
个人Plus订阅收入,对OpenAI来说真的不值一提。
OpenAI现在的收入大头是什么?
- API调用(企业、开发者)
- ChatGPT Team/Enterprise 企业版
- 大客户定制方案
个人每月20美金的Plus,扣除支付渠道费、税费,再摊上各种代充、黑卡、退款损失,可能连5%的利润都不到。
花大量工程师时间去堵一个“不影响企业客户、不影响API收入”的漏洞,性价比太低。
所以他们现在的态度就是:知道有漏洞,但暂时懒得管。
但这不代表永远不管。
哪天财报不好看了,或者企业客户开始拿这个事施压了,分分钟就能堵上。
到时候哭的是谁?是那些贪便宜买代充的普通用户。
五、别交智商税了,踏踏实实走官方渠道
我知道很多人会说:
“官方太贵了,一个月140多,用不起。”
那我说几句实在话:
1. 真的需要Plus吗?
如果你只是日常聊天、查资料、写文案,免费版GPT-4o mini和GPT-4o(有次数限制)其实够用了。
很多人买了Plus,一个月也用不了几次联网搜索和文件上传。
2. 嫌贵可以拼车
找3-4个信得过的朋友,合租一个Plus账号,平摊下来每人每月30-40块。
注意是信得过的人,不要找陌生人拼车,一样有隐私风险。
3. 土区自己开
花点时间研究一下土耳其区Apple ID的注册和礼品卡充值,每月85块,官方渠道,安全稳定。
4. 实在预算有限,国内大模型也不差
通义千问、Kimi、Deepseek……这些国内大模型在很多场景下已经非常好用了,关键是免费。
总结
其实呢,这个漏洞其实从2025年年底就开始跑了,到现在已经好几个月了,目前呢Openai已经开始对于这种账号大批量的清退了,预计这个漏洞周末就会补上。
所以那些几块、十几块的GPT Plus代充,不是技术红利,不是内部渠道,更不是商家做慈善。
它是拿你的账号安全、隐私数据,去赌OpenAI今天不封、明天不封、后天也不封。
赌赢了,你省几十块。
赌输了,账号没了,隐私可能泄露,钱也白花了。
这个智商税,真的没必要交。
欢迎在评论区留言,我会及时回复。别忘了点赞+转发哦,下期见~
