https://www.elliot98.top/tags/api/Recent content in API on Lutong's HomepageHugozh-cnSat, 09 May 2026 00:00:00 +0000https://www.elliot98.top/post/nic/llm-proxy-detection-blog/Sat, 09 May 2026 00:00:00 +0000https://www.elliot98.top/post/nic/llm-proxy-detection-blog/<h2 id="从-30-亿-tokens-说起">从 30 亿 tokens 说起</h2> <p><a href="https://llm.ustc.edu.cn">llm.ustc.edu.cn</a> 这个平台——它为全校师生免费提供 DeepSeek、Qwen、GLM 等主流大模型 API 服务，光一天就跑掉 30 亿 tokens。</p> <p>30 亿。一天。</p> <p>这是个甜蜜又痛苦的数字。甜的是大家真的有在用 AI 做事。痛苦的是——<strong>算力有限，这些 API 本来只打算给校内师生用的。</strong></p> <p>但现实总是很骨感。总会有人把 API Key 丢给校外的朋友，或者搭个 nginx 转发一下，变成&quot;公共代理服务&quot;。你也许甚至能在闲鱼上搜到有人在卖&quot;中科大 API 代理&quot;。</p> <p>所以问题就变成了：<strong>我怎么知道一个 API 请求是校内师生自己用的，还是被二次转发的？</strong></p> <p>这就像当上了&quot;API 房东&quot;，却发现有租客在当&quot;二房东&quot;。我们要做的就是——<strong>抓二房东。</strong></p> <hr> <h2 id="检测思路">检测思路</h2> <p>理想很丰满，现实很丰满——我们从三个层面来干这事：</p> <table> <thead> <tr> <th style="text-align: left">层面</th> <th style="text-align: left">检测对象</th> <th style="text-align: left">一句话原理</th> </tr> </thead> <tbody> <tr> <td style="text-align: left"><strong>🔒 TLS 层</strong></td> <td style="text-align: left">JA4 指纹</td> <td style="text-align: left">每个 TLS 库握手方式不一样，像指纹一样独特</td> </tr> <tr> <td style="text-align: left"><strong>📨 HTTP 层</strong></td> <td style="text-align: left">请求头特征</td> <td style="text-align: left">User-Agent 和各类头是客户端的身份证</td> </tr> <tr> <td style="text-align: left"><strong>💬 Prompt 层</strong></td> <td style="text-align: left">文本前缀聚类</td> <td style="text-align: left">不同用户写 prompt 的风格不一样</td> </tr> <tr> <td style="text-align: left"><strong>🌐 网络层</strong></td> <td style="text-align: left">IP 属地</td> <td style="text-align: left">校内 IP 还是境外 IP，一目了然</td> </tr> </tbody> </table> <p>做了个 11 页的完整报告，这里挑干货说。</p>