我与OpenAI(11.6更新)

2024.11.6更新：

和OpenAI拉锯了半个月，他们终于把误扣我的钱退回来了。刚开始他说不退的，根据他们平台的规则，没有退款这种说法，然后我就据理力争。我说你乱扣的为啥不退。然后他查了一下确实多扣了我3.63刀，然后给我退回来了。

(OpenAI表示同意退款)

2024.10.10更新：

OpenAI目前给我的官方答复是，他们确实承认网站有存在Bug，但是至于退不退款，目前还不明确，他应该是以为我要把钱退到银行卡所以被拒绝了，实际上我的诉求只是，把误扣的那笔钱，返回到我的API账户中。

(OpenAI官方社区的答复，他们承认API调度有问题)

(OpenAI官方工程师答复，表明根据服务条例不接受退款)

事情原委：

2024年10月9日凌晨，我发现我的AI网站用不了了，显示余额不足，无法返回数据。我不是有一个可以聊天的AI站嘛，免费给大家用的。只不过说是免费，实际后台扣的还是我美元卡账户。

(我的网站后台显示，9月份多出来3.58刀的费用)

这个公益活动我一直持续做了一年多。直到今年9月份，我收到一笔意外账单。我的第一个反应就是，我的网站又被黑客攻击了。因为去年我是真心被黑客打怕了。我在留澳洲期间，花了大量的功夫，提升网站安全性，增加备份频率等。你别看七彩云盘好像和三年前没啥两样。实际的程序复杂度最起码是前年的100多倍。真的毫不夸张。现在的七彩云盘一共有三大防线。Docker虚拟化技术，Windows服务器系统，离线磁盘备份（直接断备份盘电，实现物理隔绝），我倒不是说黑客怎么样也攻不进来，我的意思是困难度比前年增加了不少。之前完全是我大意了。

我们回归正题，今天我想说什么呢，就是说在我重重封锁之下。你要实现盗刷我账户，无非就是绕过我的防御。直接找出我的后台密钥来，这是唯一的办法。而现在网络流行的渗透技术叫正则脚本匹配符技术。具体的细节我不能透露。总之呢，我是被打的一头雾水。我的账单显示9.10-9.16期间，访问量激增，一下就把我信用卡给干没了。这其中最离谱的就是，我对后台做了限制，因为我早料到会有意外情况发生。就是随时做好拉闸的准备。我为我的账户设置了，每月支出限额。这次“攻击”直接把我限额干没了。这就让我莫名其妙。你能偷得了我密钥，你还能突破我限额？这是啥原理，想到这我越想越不明白。

刚开始我其实是有一种猜测。都说家贼难防。莫非，我朋友圈里真有高手？这也太厉害了，绕云盾窃密钥，开限额。原理是什么？我都不知道，难道是超出我的能力范畴了。会有这种想法，因为我去年网站被打，大家都知道换了个域名。说实话，我的站本来平时访问量就不高。流量基本都来自我的朋友圈和我身边的人，你说我意外被打了一次，我信。一年连着打我两次，有时候不得不怀疑啊，究竟是谁潜伏在我身边这么厉害。

就在我一个个排查的时候，更多是在网上搜解决办法，看看有没有其他大佬的站也有同样遭遇的，想办法把钱Argue（争辩）回来，结果华人区搜了一圈都没有。原因就是因为这件事太突然，你想我9月份被打，现在才10月份，只过了一个月。网上哪有那么快出结果的。所以我就在想老外区会不会有。

然后我就用英文搜了一下，果然，还不少。很多老外发帖说网站莫名其妙被扣费的，经过一番查找，我这里直接说结论。下面的图片为了不改变原意所以是英文。

(很多老外表示有同样被误扣费的遭遇)

总结一句话就是，OpenAI官方出Bug了，计费系统出问题，导致很多人莫名其妙被扣费，有的人一夜之间被扣几百美金的都有。看到这，你说谁能想得到，这么大个公司，出这种问题。

不幸中的万幸，我从去年起就一直很注重网站安全问题。就拿我的AI站来说，其他站点我就不逐一分析了，我的AI站，做了三道限制，首先第一道，模型限制，我的网站指定了，你只能使用GPT-3.5版本，因为这是最便宜的，我本来就不收费，只是做公益，所以我在程序上做了第一道限制，屏蔽了除3.5以外其他所有的OpenAI模型，第二道限制，我的AI站后端程序是虚拟容器网，密钥保存通过特殊渠道实现，RSA2048位加密，想突破这道关卡。难上加难。第三道，就是我之前讲过的，最坏的结果。哪怕你盗刷了我的账户，我也设置了每月支出限额，消费超过我限制的额度，理论上来说OpenAI会拒绝所有请求。但这些全都被突破了，所以刚开始面对这账单，我就一脸懵逼。

我还在想，这咋实现的倒是，现在清楚了，明天去发封邮件给OpenAI，把我的钱要回来。

这就像我告诉你说，V信出Bug了，你钱没了，谁能信啊。可就这种千亿分之一几率的事情，也发生了。