2026年5月30日 · TrueLLMs

脱敏实测：一次中转站 token 计费注水审查

一次脱敏的 /vet 差分模式审计：某第三方中转站是真 Claude tokenizer、能力无退化，但每请求固定多报约 +24 个 input tokens。

这是一个脱敏后的 /vet 差分模式实测案例。被测对象是某第三方中转站，通过 OpenAI 兼容接口对外提供 claude-opus-4-8，上游转发官方 Anthropic API。参照侧使用官方 Anthropic key 直连同一声称模型。

结论不是模型偷换。切词器与能力证据都与官方参照一致。问题出在计费：该中转站在每个请求上固定多报 input tokens，对短聊天请求影响很大。

第一轮先暴露了传输层 bug

第一次审计 41/41 请求全失败，没有拿到可用测量。原因不是模型输出，而是请求带 temperature: 0 时，该中转站返回 HTTP 400；其上游官方 Anthropic opus-4-x 在这条路径下拒绝显式的零 temperature。

• 失败形态：所有探针都在进入切词器、能力、计费证据前失败。
• 修法：只有 temperature > 0 时才发送 temperature 字段，两种 API 格式保持一致。
• 经验：OpenAI 兼容但上游是 Anthropic 的中转站很常见，网关小怪癖可能让审计静默变成无数据。

重跑后的证据

修复 temperature 处理后，同一差分审计在切词器、能力与 usage 计费三个方向都拿到了可用证据。

1. 切词器差分：逐探针斜率一致

Claude 切词器闭源，无法在本地做绝对正向确认。这里差分模式是关键：同一组切词器探针对被测中转与官方 Anthropic 参照同时运行，然后比较 prompt_tokens 斜率。

结果逐探针一致：cjk 约 31，emoji 约 52，mixed-rare 约 52，ascii-ctrl 约 28，被测等于参照。这说明用的是真 Claude 切词器，而不是 OpenAI 家族切词器或临时计数器。

2. 能力差分：无退化

能力地板也与官方参照一致。通过率与参照运行一致，在本次抽样的能力题上没有观察到降级。

3. 计费差分：每请求固定 +24 input tokens

usage 计费显示每个请求都有相同的额外 input tokens。短句：10 -> 34。中文短 prompt：22 -> 46。英文长 prompt：63 -> 87。代码 prompt：44 -> 68。delta 恒为 +24。

由于切词器斜率与官方参照一致，这不是切词差异导致的。该模式疑似每请求注入约 24 token 的隐藏 system prompt 并向用户计费；审计无法证明隐藏文本的具体内容。

注：上面的 +24 token / +240% 是 token 数量，不是花费；实际成本 = token 数 × 单价。中转站常以低于官方单价出售（例如 0.6×），所以 token 虚报未必比官方贵。固定注入对短请求影响大，可能反而更贵；对长上下文影响小。是否构成成本掺水，取决于该端点单价与你的 prompt 长度。

风险应该如何报告

• 计费问题应报告为约 +24 input tokens/请求。
• 对短聊天类请求，观察到的超收可达 +240%。
• 对本次样本中的长上下文请求，影响约 +38%。
• 单一聚合百分比，本次约 +58.7%，信息量较低，因为它取决于 prompt 组合。

诚实边界

• 差分一致不等于供应商认证。它只说明本次样本在被测信号上与官方参照一致。
• 对抗性路由仍可能只对测试流量表现正常，而对其它流量走不同路径。
• 本次结论是抽样结论：该运行支持真 claude-opus-4-8、未观察到能力退化、观察到固定计费偏移。
• 固定偏移应视为计费风险，不等于证明隐藏注入的具体文本或业务意图。
• 如果只用绝对模式，本案无法锁定 Claude 切词器身份，因为切词器闭源。
• 差分模式是关键方法：先有可信官方参照，再比较斜率、通过率与 usage 字段。

运行一次差分审计 用官方参照审你自己的中转端点，才能拿到这种级别的证据。