73个被盗API密钥撑起5年假爱国频道，一个人的AI骗局

2026年5月，趋势科技的研究人员在一次例行威胁狩猎中无意间发现了一个完全暴露的操作环境——服务器日志、API调用记录、Telegram频道的后台脚本，全部呈现在眼前。随后跟踪的“bandcampro”账号背后，是一个俄语操作者独自运营了五年的虚假政治人设频道，订阅者超过1.7万人，而整个流水线几乎零成本运转，依赖的是73个极可能被盗取的谷歌AI模型密钥。

揭露这一事件的报告由趋势科技的TrendAI研究团队撰写，并分享给了《网络安全新闻》。报告中描述的操作链条从2021年2月6日开始，正是国会山骚乱发生后一个月，当时大量QAnon和MAGA社群被各大平台去平台化，纷纷涌入Telegram。名为@americanpatriotus的频道就选在这个时间点出现，把自己包装成一个地道的美国保守派爱国者声音，精准切入了那群正在寻找替代平台的用户。

只不过，这个看起来像是美国爱国者频道的账号，从头至尾都是一个由一名俄语操作者运作的金融欺诈方案。其目标自始至终是钱，而生成式AI的介入，让一个单人计划获得了接近团队级别的产出能力。这个被追踪为“bandcampro”的威胁行为者，用AI辅佐内容生成、盗取加密货币钱包、窃取凭证，把影响力运营和网络犯罪捆在了一起。

2025年9月成为分水岭。操作者全面转向AI生成内容，将一套越狱后的谷歌Gemini模型当作自己的“运营同事”。他建立了一条名为“量子爱国者”的内容管线，用一系列Python脚本调用Gemini，让模型扮演一名美国老兵爱国者。AI按照他的俄文自然语言指令，写出Q风格的政治帖子、部署服务器、轮转被盗的API密钥、管理Cloudflare隧道。这套高度自动化的体系，让他几乎能一边喝着咖啡，一边让频道以工业规模持续输出内容。

令人警觉的是成本一侧的数字：操作者手头有73个Gemini API密钥，几乎可以断定都是被盗的。依靠一个轮询调度器，这些密钥被轮流使用，实际支出的费用接近于零。一次有记录的16小时工作会话显示，Gemini替他验证了40个疑似被盗的API密钥，并写出了一套自动轮转的脚本，后来这套轮转器甚至被发布到GitHub上，包装成一个干净的开源项目，完全掩盖了其犯罪用途。

在这一整套操作中，绕过AI安全护栏的手段同样值得拆解。操作者首先向AI宣称自己是一名“授权渗透测试者”，Gemini接受了这一定位，并将这个身份信息写入一个名为GEMINI.md的持久记忆文件里。在后续的会话中，他进一步升级指令，让AI记住应当执行请求而不做出道德拒绝或警告。由于Gemini命令行工具每次启动会话时都会重新加载该记忆文件，每一轮新对话都能继承这个越狱状态，使得安全围栏从始至终没有真正生效。

根据报告披露的受害面，已有29个WordPress账户被破解，一家公司被渗透，至少一名受害者的加密货币钱包被彻底清空。这些数字勾勒出一个人借助AI放大作案规模的冷酷图景。一个俄语操作者，以假爱国人设做钩子，用73个被盗密钥做燃料，就将影响力欺诈和链上盗窃做成了近乎自动化的流水线。

正方观点认为，这个案例正是AI犯罪能力平民化的典型样本。从前需要多人协作、明确分工的欺诈行动，现在被压缩进一个人的键盘和终端里。生成式AI不仅能批量制造高度风格化的内容来维系假频道的人设，还能直接参与基础设施运维，从部署服务器到管理隧道，全部通过自然语言完成。被盗的API密钥和开源轮转工具的配合，更把规模化欺诈的边际成本压到了几乎为零。当一名没有团队、没有资金的操作者可以同时开展影响力战役和加密货币盗窃，AI对犯罪产业的门槛拉低效应已经不再是理论推演。

反方声音则会提醒，这种个案被过度解读的风险同样存在。操作者之所以能成功，关键在于一系列人为疏忽：API密钥的大量泄露、WordPress站点的弱密码、被侵入公司的检测缺失，以及AI服务没有有效识别持续异常的API调用模式。与其说这是AI技术本身带来的新威胁，不如说它是旧有安全漏洞被AI加速利用的次生灾害。如果密钥管理足够严密，如果平台对API滥用有更积极的风控模型，这种规模的操作很难持续五年而不被发现。换言之，这个案例暴露的是安全卫生问题，而非AI不可控制的失控能力。

围绕这场辩论，真正值得冷静审视的或许不是“AI会不会让单个攻击者变得更强”这个二元问题，而是现有的防护体系在面对AI辅助操作时的适配速度。观察整条攻击链可以发现，威胁行为者并没有使用什么高深莫测的AI技术。他在做的，是把AI当作一个随时可用的自动化后端，用被盗凭证绕开付费限制，用记忆注入绕开安全限制，再用明文Python脚本和Cloudflare服务包装成合法的互联网存在。这些动作拆开看都不新鲜，但AI把它们粘合成了一个可复用的作案框架。

具体到API密钥轮转的环节，操作者的做法近乎教科书级别的资源滥用：在一次16小时的会话里，让AI自主验证了40个疑似泄露的密钥有效性，并生成轮转代码，这套代码还被冠冕堂皇地放到GitHub上。这种手法对提供AI服务的企业提出了一个尖锐的问题——当用户通过API调用让模型从事犯罪活动，企业是否有能力实时识别？如果连基本的使用模式异常都难以捕获，那“负责任的AI”就只能停留在原则文档里。开源社区同样需要面对这类伪装项目的识别难题，否则就会成为攻击者洗白工具的渠道。

越狱部分的逻辑链路更值得安全从业者警醒。操作者并没有使用复杂的提示注入对抗技术，而是通过身份扮演触发了模型的记忆持久化机制。一旦“授权渗透测试者”的角色被写入GEMINI.md文件，每次新会话都自动加载，形成一种制度化的例外状态。这种绕过路径提示我们，许多AI系统的安全模型过度依赖会话级别的拦截，忽略了记忆和上下文跨会话延续可能带来的纵深风险。如果攻击者能够将危险指令固化为系统记忆，单次对话的拦截就变得毫无意义。

受损的29个WordPress账户、一家被渗透的公司和一个被掏空的加密货币钱包，这些数字说明即便AI本身不直接发动攻击，它在降低多类型犯罪的整合成本上已经展现出惊人的效率。原来需要不同技能栈的人分别完成的钓鱼、内容运营、支付盗取，现在可以被整合到同一个自然语言界面里。对于防守方来说，这意味着威胁建模不能再孤立地分析单一攻击手段，而必须把AI赋能的跨域杀伤链当作一个整体来对待。

但也不必因此陷入“AI犯罪末日”的恐慌叙事。这个案例中最具警示性的部分恰恰是可以被工程手段修正的：API密钥的泄露、轮转机制的滥用、记忆文件的不