你有没有想过,用“五菱宏光”的价格,能不能开走“法拉利”?
在微软的 Copilot 世界里,答案是:不仅能,还能一直开。
最近,GitHub 上一个关于 VS Code Copilot 的 Issue 炸了锅。有人发现了一个极其离谱的计费漏洞,让你能零成本狂薅顶级大模型的羊毛。
最夸张的是,当有人好心去报漏洞时,微软安全中心的回应简直让人“大跌眼镜”。## 离谱的“免费午餐”:3小时只花3次钱
事情是这样的。
Copilot 现在的计费逻辑是按“次”收费。你想用那个最聪明、最贵的 Opus 4.5?没问题,但一次请求就要扣掉你 3 个“高级请求额度”。
听起来很合理对吧?用多少付多少。
但有人发现,这个系统里有一个巨大的“后门”。
只要你利用好“子代理”和“工具调用”这两个功能,就能把计费系统玩弄于股掌之间。
特洛伊木马:免费模型指挥“昂贵工人”这个漏洞的操作逻辑,简单得像个恶作剧。
你不需要直接去调用那个收费的 Opus 4.5。
你只需要找一个 Copilot 里免费的模型——比如 GPT-5-mini,把它当成“包工头”。
然后,你写一段简单的指令,告诉这个免费的“包工头”:
“别干活,去叫那个叫‘opus-agent’的家伙来干,他是专家。”
有意思的来了:
- 你的请求是发给免费模型的,不扣费。
- 免费模型去调用子代理,这个动作本身也不扣费。
- 但是,这个子代理被定义成了“Opus 4.5”。
- **昂贵的 Opus 4.5 真的在干活,但账单上显示你只用了免费的 GPT-5-mini。**这就好比你走进餐厅,点了一杯免费的白开水,然后让服务员把后厨最贵的牛排端上来,最后结账时只收了白开水的钱。
更狠的招数:无限循环刷爆算力
如果说上面的操作还是“小偷小摸”,那下面这个简直就是“明抢”。
另一位测试者发现,只要配合一点点脚本技巧,就能把这个漏洞放大到极致。
你可以写一个脚本,让模型在一个死循环里不断调用自己。
在测试中,有人仅仅发送了一条消息,就让程序跑了整整 3 个多小时。这期间,系统疯狂地调用了数百次 Opus 4.5 子代理,处理了数百个文件。
而结果呢?
只扣除了 3 个“高级请求”额度。
如果不手动停止,这个程序估计能跑到天荒地老。
老实讲,这种级别的计费漏洞,出现在微软这种体量的公司身上,挺让人意外的。
官方回应:这不算“安全漏洞”
最戏剧性的一幕来了。
发现漏洞的人是个“白帽子”,他没想着去薅羊毛,而是第一时间把这个问题提交给了微软安全响应中心(MSRC)。
编号是 VULN-172488。你猜微软怎么说?
他们拒绝了。
MSRC 坚称:“绕过计费不属于安全漏洞的范畴。”
他们还多次指示报告者,把这当成一个公开的 Bug 提交,而不是安全问题。
Note: Initially submitted this to MSRC (VULN-172488), MSRC insisted bypassing billing is outside of MSRC scope and instructed me multiple times to file as a public bug report.这回应,多少有点“死鸭子嘴硬”的味道。
在评论区,有人直接嘲讽:
“Good job, Microsoft.”
还有人调侃说:“为什么要报告?既然他们已经关了你的第一个 Issue,直接享受免费乘车不好吗?”
核心问题:客户端逻辑的“阿喀琉斯之踵”
这个事件暴露了一个很深层的行业问题。
现在的 AI Agent(智能体)架构,为了追求响应速度和灵活性,把太多的业务逻辑放在了客户端。评论里有大神指出:
“我已经确认,许多 AI Agent 和 Agentic IDE 都是在本地设备上实现业务逻辑和防护措施的。”
这意味着什么?
意味着只要用户稍微懂点技术,就能在本地修改请求,绕过服务器端的限制。
这就像把保险柜的钥匙挂在了门把手上,然后贴了一张条“请勿乱动”。
另外,Copilot 这种“按次付费”的模式,在 Agent 时代显得越来越不合时宜。
Agent 的特点是自主规划、多步调用。如果还按“次”算钱,要么是厂商亏死,要么是用户被坑死。
正如一条高赞评论所说:
“按次计费显然是不可持续的……系统正越来越需要被基于使用量的计费(按 Token 计费)所取代。”
写在最后
微软
参考链接:
https://github.com/microsoft/vscode/issues/292452