一则来自开发者社区的漏洞报告,将 AI 应用商业化体系中的“隐形基础设施”推到了台前:订阅验证。报告指出,iOS 端 ChatGPT 应用在 Apple Pay 收据校验流程中存在逻辑缺陷,允许用户复用同一份有效收据,在多个账号上重复激活 Plus 订阅。
这并非传统意义上的前端漏洞,而是发生在AI 产品后端验证链路中的身份绑定缺失。对于依赖订阅收入支撑模型推理成本的 AI 公司而言,这类问题的影响,远不止“被薅羊毛”。
根据披露信息,当前验证流程大致分为两步:
问题出在第二步:系统未校验该收据所属的 Apple ID 与当前 OpenAI 账户之间的关联关系。
这意味着,只要一份收据在加密层面是合法的,就可以被任意账户复用。攻击路径也因此变得极其简单:
本质上,这是一个典型的“认证通过但授权失效”的问题,即 Authentication 正确,但 Authorization 设计缺失。
在传统 SaaS 中,订阅系统通常围绕“单账号—单付费关系”设计;但在 AI 应用中,情况更复杂,原因包括:
AI 应用往往同时支持:
这导致后端需要处理多种收据格式与验证接口,例如 Apple 的 verifyReceipt API。不同平台的身份体系(Apple ID、Google Account、应用账号)天然割裂,增加了绑定复杂度。
与传统软件不同,AI 服务的核心成本来自推理调用(inference)。每一个 Plus 用户,都会持续消耗:
一旦订阅被“复制”,成本会按调用次数线性甚至指数级增长,而收入却不会同步增加。
在 AI 工程趋势中,越来越多用户通过 Agent 或脚本自动调用模型 API。如果漏洞允许批量创建“免费 Plus 账号”,这些账号可能被用于:
从而将单点漏洞放大为系统性资源消耗问题。
从工程角度看,一个健壮的订阅系统,至少需要三层约束:
验证流程不应仅检查收据有效性,还需建立映射关系,例如:
这可以通过服务端存储收据哈希与账户映射实现。
每张收据应具备“消费状态”:
这类似于兑换码系统中的幂等性设计,需要在后端引入状态锁或事务机制,防止并发重复使用。
引入额外信号进行风控,例如:
这些特征可以输入到风控模型中,进行异常检测或自动限流。
这一漏洞背后,反映的是 AI 商业模式的一个结构性问题:成本高度集中在后端,而安全却分布在前后端多个环节。
具体来说:
任何一个环节的缺陷,都可能被放大为长期成本泄漏。
这也是为什么越来越多 AI 公司开始将“安全工程”与“AI 工程”并列,甚至引入专门的 FinOps(成本优化)与 SecOps(安全运营)团队。
在模型能力快速演进的背景下,AI 应用开发往往优先关注:
而订阅系统、权限控制、风控机制等,被视为“外围模块”。但此次事件说明,这些模块实际上是AI 产品可持续运行的核心基础设施。
对于开发者和平台而言,有几个值得重视的方向:
在传统互联网应用中,一个订阅漏洞通常意味着短期收入损失;但在 AI 时代,它更可能演变为算力资源被持续消耗的入口。
当模型推理成为“计费单位”,任何绕过付费机制的路径,都会直接转化为基础设施压力。如何在开放体验与严格控制之间取得平衡,将成为 AI 应用走向规模化的关键课题。