25个免费试用用户中,5个在真正在用产品,1个付费,另外19个都是欺诈者。
作者|王博 苏霍伊
“偷token的贼”来了。
他们没有偷信用卡,也没有攻破数据库。
他们只是注册了AI产品的免费试用账户,一个邮箱、一个IP地址、一台设备,就足够让他们进入系统。随后,他们开始高速消耗AI token(词元):生成文本、调用模型、测试接口、批量运行任务。等到平台察觉异常,或者月底账单出现,他们就会离开,换一个身份,进入下一个平台。
在SaaS时代,这类行为最多被叫作“薅羊毛”。但在AI时代,它变成了一门更昂贵的生意。因为每一次调用模型、每一次生成文本、图片、代码或语音,背后都是真实的推理成本。
据可编程金融服务公司Stripe统计,AI公司每六次用户注册中就有一次涉及多账户滥用,而免费试用滥用行为在过去六个月内翻了一倍多。
“多账户滥用”的统计数据
“他们就是在吃‘霸王餐’。”艾米莉·桑兹(Emily Glassberg Sands)就坐在「甲子光年」对面,很直接地评价这些“偷token的贼”。
Stripe数据与AI负责人艾米莉·桑兹(Emily Glassberg Sands),图片来源:「甲子光年」拍摄
“算力是新的现金(Compute is the new cash)。”作为Stripe数据与AI负责人,艾米莉·桑兹很少用夸张的词。她是哈佛大学经济学博士,2021年加入Stripe之前,在Coursera做了七年数据科学副总裁。
如今,她在Stripe负责数据科学、增长与机器学习基础设施团队,主导了Radar从传统交易反欺诈向token盗用防护的扩展,也是Stripe Signals可编程风控产品的架构者。
和桑兹聊过后,「甲子光年」发现,她说话的方式更像一个经济学家:先看成本结构,再看激励机制,最后看系统会被什么样的人利用。在她看来,AI行业眼下遇到的许多问题,都可以从一个简单变化开始理解:软件的边际成本,被大模型重新拉回了现实世界。
那些“偷token的贼”并没有偷走AI公司账户里的余额,而是瞄准了算力消耗。
以往,金融服务公司要识别的是一张被盗刷的信用卡、一笔异常交易、一次可疑拒付。现在,它必须更早地判断一个人:他刚刚注册,没有付款,没有填入信用卡信息,甚至还没有表现出传统意义上的交易行为。那么,他到底是一个未来的客户,还是一个准备消耗算力后离开的“偷token的贼”?
过去一个月,Stripe的反欺诈系统Radar为八家高增长的AI公司拦截了超过330万次高风险注册,抓住“偷token的贼”正是桑兹的团队要做的事情。
1.25个免费试用用户,只有1个愿意付费
4月29日,Stripe在旧金山举办年度大会Stripe Sessions。这是一场信息量十分密集的发布会,Stripe一次推出了288项新产品和功能。
Stripe联合创始人兼首席执行官帕特里克·科里森(Patrick Collison)在发布会上说,AI是自互联网以来对经济最大的“平台变革”。他还判断,在不远的将来,Agent将占据大部分的线上交易。
这样的表述容易让人联想到新的购物入口、新的钱包、新的协议、新的商业增长。但是新入口打开之后,最先冲进来的不一定都是客户。
还有“偷token的贼”。
“每一家AI公司,OpenAI、Anthropic、ElevenLabs、Cursor,还有很多其他公司,”桑兹说,“我们每一次与这些AI公司沟通,他们都会反映自己遇到的欺诈难题。”
AI公司的增长速度太快,产品形态变化太快,欺诈方式也跟着变快。Stripe过去十多年建立的反欺诈系统Radar,原本主要守在交易环节附近。现在,风险提前出现了。
这些AI公司告诉Stripe,Radar在交易环节很好用,但真正烧钱的地方已经不在交易环节,而是在前端漏斗,他们需要在用户注册时就知道应该直接屏蔽掉哪些用户。
这句话几乎概括了AI风控和传统支付风控最大的不同点。
信用卡欺诈通常发生在支付环节。系统至少可以看到支付凭证、卡号、金额、地区、商户、历史拒付记录。而token盗用发生得更早,用户刚刚进入系统时,平台能看到的常常只有设备、IP、邮箱以及少量的行为信号。
桑兹的团队在调研中发现,一些AI产品的免费试用用户数量和实际付费用户数量的比例十分夸张。“通常是5个人试用,其中1个会付费。”桑兹告诉「甲子光年」,“但是一些AI产品案例里,25个免费试用用户中,5个在真正在用产品,1个付费,另外19个都是欺诈者。”
这是一种更隐蔽的损失。
它伪装成增长数据,进入注册曲线、试用曲线和活跃曲线。直到公司去看成本、转化和账单,才发现大量所谓“用户”从一开始就没有付费意图。
正因如此,需要很快构建并把“针对多账户滥用、免费试用滥用、不付款滥用”等全新的反token滥用AI模型推向市场。“一方面是因为技术已经具备,另一方面是因为用户的需求实在太迫切了。”桑兹说。
那么,如何在一个用户还没有付款之前,就知道这个人是否值得信任?
2.一个新注册用户,在Stripe那里并不陌生
对一家刚成立的AI公司来说,一个新注册用户就是一个陌生人。
他从哪里来?是否会付费?有没有创建过大量账号?有没有在其他AI服务里拒付?AI公司很难知道。它只能看到自己的产品、自己的漏斗、自己的支付记录。
但Stripe看到的是另一张图谱。
Stripe可以说是互联网经济背后的“金融操作系统”。从收款、计费、风控到公司注册,500万家企业的资金在Stripe的系统里流进流出,其客户包括Amazon、Apple、Google、OpenAI、Anthropic等美国科技公司以及月之暗面、Minimax等中国科技公司,覆盖全球50多个国家和地区。
根据Stripe 2025年度公开信的数据,2025年在Stripe上运营的企业产生了1.9万亿美元的总交易额,比2024年增长34%,约相当于全球GDP的1.6%。
在交易层面,Stripe的反欺诈系统Radar已有十多年的积累,他们也已经构建了一张全球客户图谱,基本上可以对每一位客户、用户作为一个独特的节点进行识别,并观察他们在整个生态系统中的交易情况。
这意味着,一个人第一次登录某款AI产品,对这家AI公司来说可能是陌生的,但对Stripe来说,这个人可能已经在别的产品、订阅、交易里留下过痕迹。
桑兹用Link举例。Link是Stripe的消费者钱包,拥有约2.5亿用户。她说,在不少AI公司里,Link承担了相当比例的交易流转,比如AI应用开发平台Lovable 58%的收入都是通过Link流转。对Stripe来说,这让它更容易区分哪些人是正常用户,哪些人可能是滥用者。
“对于AI领域中的任何一位好客户,我们几乎可以肯定之前已经见过他;对于任何一位不好的客户,我们也几乎可以肯定之前见过。”桑兹告诉「甲子光年」。
作为Stripe的反欺诈系统,在Stripe年度大会Sessions上,Radar也被推到了一个新的位置。
按照桑兹的介绍,这次更新主要有三层。
首先,Radar的防护范围从传统交易环节,向AI公司的增长漏斗两端延伸。它既要在上游识别“多账号注册”——那些反复领取免费额度、滥用免费试用的用户;也要在下游拦截她所说的“Dine and Dash”,也就是用户大量消耗token后,在账单到期时拒绝付款的“吃霸王餐”行为。
按需付费,防止滥用
第二,Radar的覆盖范围也从卡支付继续扩展到更多支付方式。过去,Radar主要保护银行卡交易,后来扩展到美国的ACH银行转账和欧洲的SEPA银行转账,而这一次,Stripe希望把这种风控能力覆盖到所有支付方式上。桑兹说得很直接:“欺诈者不会因为支付方式不同就停下来,所以我们也不能。”
Radar已扩展至更多的支付方式
第三,Radar开始通过API向外开放。对于那些同时使用多个支付处理商的大型商家来说,欺诈并不会因为交易不在Stripe上处理就自动消失。因此,Stripe把Radar做成API,让商家也可以用它筛查其他支付处理商上的交易风险。
Radar通过API向外开放
这意味着,Radar不再只是Stripe支付链路里的一个反欺诈工具,而是在向一套更通用的风险识别基础设施演进:它既要保护AI公司最早的注册入口,也要覆盖更复杂的全球支付网络,还要在Stripe之外继续发挥作用。
免费使用滥用增长
部署Radar后,免费试用滥用情况下降
桑兹告诉「甲子光年」,Stripe用的反token滥用AI模型依然是Transformer架构,每个模型大约配两到三位数据科学家和机器学习工程师。模型会根据拦截位置不同而变化:注册时的多账户滥用,试用阶段的转化判断,账单周期的不付款滥用,都需要不同信号。
不过,团队没有把重点放在模型本身。
“任何人都能搭一个Transformer。”她说,“Stripe的模型之所以有效,主要是因为我们网络的规模和密度。”
AI公司拥有产品行为数据,模型公司拥有推理能力,云厂商拥有算力资源。而Stripe拥有的是一张跨商户、跨行业、跨国家的商业行为网络。这个网络过去用于判断交易风险,现在开始被用来判断一个用户在交易之前是否可信。
在互联网和移动互联网支付时代,风控更像守门员,站在收银台旁边。
而在AI时代,它越来越像门口的保安,要在一个人走进店里、开始消耗商品之前,先判断他是不是会付钱。
但还有一个棘手的问题,这个消耗大量token的用户,可能不是一个真实的人,而是Agent。
3.抓不住贼,AI公司就会走上老路
桑兹告诉「甲子光年」,到目前为止,Stripe解决的更多是“个人”层面的token欺诈。这些用户往往会用一些脚本,也会用到一些AI技术,但他们本质上还是一个真实人类用户在滥用。
“我们也必须为Agent的世界做好准备,”桑兹说,“如果Agent沦为滥用者,或者Agent被恶意利用,那么这些问题只会加速恶化,我们必须走在前面。”
对Stripe来说,今天需要被识别的,是一个刚刚注册、准备滥用免费额度的人;明天需要被识别的,可能是一个代表用户下单、调用API、购买数据或配置服务的Agent。前者是风险,后者是增量。两者共同指向同一个问题:当AI开始进入交易系统,商业基础设施必须先回答“谁被授权、谁值得信任、谁正在滥用”。
这也是Agentic Commerce被Stripe反复强调的原因。
所谓Agentic Commerce(智能体商务),本质上是一种新的交易范式:AI不再停留在推荐、搜索和比价环节,而是在获得用户授权后,直接代表用户完成下单、支付与交易执行。商业系统正在从“以人为操作中心”,转向“为智能体设计”的新阶段;交易的发生位置也随之迁移,机器开始成为真正意义上的交易参与者。
桑兹还表达了一层担忧,如果AI公司控制不住这些“偷token的贼”,在经济损失之外,可能会因此改变其增长方式。
“这些公司会重新走上六个月前,也就是我们做出这些方案之前的老路:关闭开放访问,关掉个人开发者、个人消费者的入口,把火力完全集中在跟销售团队当面谈的大企业客户上。”
过去两年,AI产品之所以快速扩散,很大程度上依赖开放入口。普通用户可以直接试用,开发者可以迅速接入,小团队可以用很低成本测试新产品。免费试用、按量付费、产品驱动增长,让AI工具以极快速度进入市场。
但开放入口天然脆弱,它欢迎真实用户,但防不住滥用者。它让好产品更快找到目标客户,也让一些恶意用户更容易消耗成本。如果无法区分二者,平台最安全的选择就是收紧入口。
某种程度上来说,这会改变AI的扩散路径。在桑兹看来,这对经济不利,因为会降低AI采用速度;对Agent也不利,因为Agent“永远不会跟一个销售坐下来签一份为期一年、十万美元的合同”。
“解决token盗用,部分意义就在于确保AI公司能够继续保留freemium、免费试用、按量付费、产品驱动增长这些模式,而不是被迫只剩‘销售驱动的企业市场’这一条路。”桑兹说。
一位熟悉SaaS行业的资深投资人告诉「甲子光年」,传统订阅模式在AI生产力场景里会暴露出新的不合理性:同样付一笔月费,低频用户和高频用户消耗的资源完全不同,后者实际上在持续占用更多算力成本,而这些成本会被摊入整体定价中,最终由低频用户共同承担。
在互联网时代,这种模式并不难成立。因为服务一个额外用户的边际成本接近于零,免费增值、分层套餐、包月订阅,都可以成为增长工具。但到了AI时代,模型调用更像电力消耗:只要使用,就有对应的算力成本。
这让token计费不只是一个技术计量方式,而成为AI商业模式重构的起点。它遵循的是“用得多、付得多”的原则,也让那些试图在付费前恶意消耗算力的人或者Agent,变成AI公司必须尽早识别的风险。
在未来的Agentic Commerce里,交易可能更碎、更快、更频繁。一个Agent要购买数据、调用API、订阅工具、配置服务,它不会像企业采购那样经历销售、合同、法务、审批。它需要的是可调用的接口、可授权的钱包、可结算的微支付,以及能实时识别风险的系统。
如果AI公司因为欺诈压力而关掉开放入口,Agentic Commerce也很难真正运转起来。
所以,抓住“偷token的贼”是Agentic Commerce的前提。一个系统只有能分辨谁在滥用,才敢把入口继续打开。
4.不仅仅是AI公司要防贼
今天,token盗用看起来还是AI公司的遇到的麻烦。
OpenAI、Anthropic、ElevenLabs、Cursor这类公司最先感受到压力,因为它们的产品直接以模型推理为核心成本。它们越开放,越容易被滥用;越成功,越容易吸引窃贼。
但桑兹不认为这个问题会长期停留在少数AI公司身上,“可能12个月还是18个月之后,每一家公司都将变成一家AI公司,每一家公司都会把AI嵌入自己的产品和服务中。”
她接着列举:传统零售会是AI公司,传统SaaS会是AI公司,平台和市场也都会是AI公司。
这句话的意思是,token成本、AI风控、Agent支付,未来都会从少数前沿公司的特殊问题,变成更多企业的普通问题。
当客服由AI完成,推荐由AI生成,采购由AI辅助,销售由AI代理,企业会开始面对同一组新问题:哪些调用是真实需求,哪些是滥用?哪些用户值得放行,哪些需要额外验证?哪些Agent被授权购买?哪些Agent正在制造风险?
这些问题听起来没有模型能力那么耀眼,却更接近商业系统的底层。
AI公司过去几年最关心的是模型参数、推理、多模态、上下文窗口、成本下降。现在,更多公司开始遇到另一些问题:谁来付钱?怎么定价?怎么防欺诈?如何授权?如何结算?如何让开放入口不被滥用摧毁?
桑兹的团队恰好站在这些问题的交叉点上:既看见AI公司的增长,也看见增长背后的成本;既看见Agent Commerce的未来,也看见Agent被滥用之后可能制造的风险;既要让更多交易发生,也要保障交易安全进行。
AI经济要继续开放、增长和交易,但第一步也许很朴素:先抓住那些“偷token的人”。
(封面图来源:AI生成,文中未注明来源配图来自:Stripe)
热门跟贴