所有 AI 初创都要警惕!上线 15 天被盗刷 1000+ 账号的血泪排查实录

Nexu 是一个一键安装的开源 OpenClaw 桌面客户端,让你用 AI 掌控一切——在本地。 GitHub:https://github.com/nexu-io/nexu ⭐ 觉得有用的话,点个 Star 就是最大的支持。

我们在做 Nexu(龙虾 🦞),一个可以一键安装的 OpenClaw 桌面客户端,开源在 GitHub 上。

产品上线后增长一直在跑。新用户注册时会赠送免费积分,可以用来调用平台上的各种大模型。

某天做用户数据清洗的时候,我们注意到一件事——有一个从没见过的邮箱域名,注册用户数异常地高。超过了很多企业域名,稳居域名排行榜前列。

这篇文章完整记录了我们从**「发现异常 → 多维度下钻 → 建立基线 → 得出结论」**的全过程。我们还把整套排查方法做成了一个开源 Skill,文末可以直接安装使用。做 SaaS 的朋友,尤其是带免费额度模式的产品,可能会有共鸣。

01 / 一个不该出现在排行榜上的域名

按邮箱域名聚合排序,排在前面的都是常客——gmail.com、qq.com、各种公司域名。

但有一个域名卡在了很前面的位置(出于脱敏,下文统一称为 xx.love)。它名下的注册用户超过 1000+

一个从没听过的域名,注册量却比很多企业域名还高。这本身就是一个值得深挖的信号。

简单查了一下这个域名的背景:

  • 2026 年初注册,WHOIS 隐私保护,看不到注册人
  • DNS 托管 Cloudflare,配了 MX 记录——有邮件收发能力
  • 没有 A 记录,没有网站,没有 ICP 备案

一个专门用来收发邮件、但不做任何公开网站的域名。记住这个特征,后面会用到。

02 / 两个截然不同的阶段

把这 1000+ 个账号按注册时间排开,不是均匀分布,而是明显分成了两个阶段

第一阶段(Day 1 ~ Day 7):小规模试探

每天个位数到几十个,总共约 150 个。邮箱前缀风格多样——有看起来像人名的(linlong、wuyan),有明显手敲测试的(ooo、qwe),也有混合字符串。不统一,像是在摸索。

第二阶段(Day 8 之后):大规模放量

单日涌入 700+,前缀几乎清一色变成了 6 位字母数字随机串(如 01mh07、x9k2p3)。10 分钟窗口里多次出现 16~18 个账号的密集注册,注册间隔中位数约 37 秒

这不是规模变大了,是命名策略发生了切换——从"人在键盘前敲"变成了"脚本在跑"。

03 / UA 指纹也在同步切换

如果只看注册行为可能还不够,但 User-Agent 的变化进一步印证了阶段切换。

  • 第一阶段:几乎全部是 Chrome N(Windows)
  • 第二阶段:主力 UA 切换到 Chrome N+1(Windows)

而且邮箱前缀模式和 UA 之间存在配套关系:

  • 「类人名」「5 位」「7 位」前缀 → 基本全对应 Chrome N
  • 「6 位随机串」前缀 → Chrome N+1 占绝对主体

前缀切换和 UA 切换是同步发生的。更像是注册环境整体做了一次升级替换。

04 / 和全量用户一比,差距就暴露了

但和全量用户放在一起比,差异就暴露了。

维度 可疑域名 全量用户
Session 结构 几乎全是单 session 常见多 session
多 IP / 多 UA 切换 基本没有 明显存在
UA 丰富度 ~1000+ session / 3 种 ~4000 session / 190 种
注册→首次使用 ~5 小时 ~8 分钟
有 usage 的比例 73.8% 81.4%

环境高度收敛。 正常用户群里换设备、换浏览器是常事——4000 个 session 对应 190 种 UA。而可疑域名这边,1000+ 个 session 只出现了 3 种 UA,集中度差了两个数量级。

先备号,再启用。 普通用户注册后中位数 8 分钟就开始用;这批账号中位数要 5 个小时。不是不用,而是更像"先把号建好,回头再择时启用"。

部分投入使用。 73.8% 的账号最终确实产生了 API 调用——这不是纯废号,而是一个有选择地启用的账号池。

05 / 不只是刷数据,是真的在消耗资源

如果这些账号只是注册了放着,那损失还好。但实际情况是——它们在大规模调用 API。累计消耗了数十亿 Token,覆盖平台上大部分主流模型,推理成本不是一个小数目。

而且调用分布不是集中在一两个模型上,而是广泛地覆盖了多个模型——从几千到几万次调用不等。

这不是「注册领积分然后走人」。是系统性地消耗平台的 API 资源

06 / 技术复盘:四个值得带走的方法论

🔍 永远要建基线

很多指标单看没意义。"注册后很快建了 session"听起来正常——但全站 80% 的用户都这样。只有和基线对比,才能区分"正常"和"异常"。

📊 交叉分析 > 单维度判断

单看前缀、单看 UA、单看注册时间,每个都能解释成"巧合"。但当三个维度同步切换,巧合的概率就趋近于零。

⏱ 把时间线拉开看

聚合数据会掩盖阶段性变化。按天甚至按小时拆开,才能看到"试探 → 放量"的切换点。

🎯 克制比定性更有说服力

我们全程没有说"这是恶意攻击"。我们只说了数据呈现的模式。克制的结论反而更有说服力——因为事实本身已经够清楚了。

07 / 结论

这个可疑域名下的 1000+ 个账号,是一组高度同质化、批次化、流程化的账号群。

  • ✅ 存在明显的"试探 → 放量"两阶段切换
  • ✅ 前缀模式、UA 指纹、注册节奏三个维度同步变化
  • ✅ 和全量用户对比,环境收敛度、激活时间、session 结构均显著偏离
  • ✅ 更像「先建号池、再分批启用」的模式,而非简单的垃圾注册

对早期 SaaS 产品来说,这类批量注册未必立刻致命。但它的影响是实打实的——被薅走的 API 成本、被污染的增长数据、以及放任不管后可能的规模化升级。 越早建立异常检测能力,越早止损。

08 / 我们把排查方法做成了开源 Skill

上面这套排查流程,我们整理成了一个可以直接用的开源 Skill:abuse-hunter

安装方式很简单,在 Nexu 里输入:

/skill install https://github.com/nexu-io/harness-engineering-guide/tree/main/skills/abuse-hunter

装好后,一句话启动排查:

帮我排查一下最近注册量异常高的邮箱域名,看看有没有批量刷号

它会自动跑完 6 步排查,输出一份带评分的报告:

  • 邮箱域名聚类 — 找出注册量异常高的域名
  • 注册节奏分析 — 是自然增长还是批量注入
  • 前缀模式识别 — 人工创建还是程序生成
  • UA 指纹对比 — 环境多样性 vs 收敛度
  • 激活时间分析 — 注册即用还是先备号再启用
  • 积分消耗统计 — 量化实际经济损失

最终输出 12 分制综合评分 + 处置建议。还附带一个 Python 脚本,导出 CSV 也能离线跑。

🔗 abuse-hunter Skill:https://github.com/nexu-io/harness-engineering-guide/tree/main/skills/abuse-hunter

📘 Harness Engineering Guide — Harness 工程的系统实战教程:https://github.com/nexu-io/harness-engineering-guide

09 / 关于 Nexu

Nexu 是一个可以一键安装的 OpenClaw 桌面客户端,让你在本地用 AI 操控一切。

不管你用微信、飞书、钉钉、企微、QQ、Slack、Discord、WhatsApp 还是 Telegram,Agent 就在你的聊天窗口里——帮你写代码、改 Bug、跑自动化、管日程、做调研。

🦞 Nexuhttps://github.com/nexu-io/nexu

如果你对 AI Agent 的落地实践感兴趣——无论是技术架构、产品设计还是增长风控——欢迎 Star ⭐,也欢迎提 Issue 或 Discussion 一起交流。