Stripe 在 Sessions 2026 宣布 Radar 擴展到 token theft。這是一個很有代表性的變化:AI 產品的詐欺不只發生在付款環節,也會發生在使用量環節。
過去電商防詐主要防的是盜刷、退款濫用、假交易。AI 產品還多了一種風險:攻擊者不一定要偷錢,只要偷你的 tokens、免費額度和推理成本,就能造成損失。
Token theft 是什麼?
Token theft 可以理解為「偷用 AI 成本」。
常見形式包括:
- 建立大量假帳號領取 signup credits。
- 濫用 free trial。
- 使用自動化腳本消耗模型額度。
- 偷 API key 後大量呼叫。
- 用 stolen cards 開付費帳號後爆量使用。
- 透過多帳號輪流消耗免費方案。
- 在取消付款前用完高成本生成額度。
對 AI 公司來說,這些行為會把模型成本、搜尋成本、語音或影片生成成本轉嫁到自己身上。
Stripe 公布了哪些訊號?
Stripe 官方提到,在使用 Stripe 的 AI services 中,每六個 attempted sign-ups 就有一個由 bad actor 發起;free trial abuse 在過去六個月增加超過兩倍。
Stripe 也表示,Radar 現在會即時評估 sign-ups 和 usage,並使用 Stripe network signals。官方指出,在八家高成長 AI businesses 中,Radar 上個月阻擋超過 330 萬個 risky sign-ups。
這些數字代表 token theft 已經不是邊緣問題,而是 AI 產品成長時必然遇到的風險。
為什麼 AI 產品更容易被濫用?
AI 產品有幾個特性會放大詐欺:
| 特性 | 風險 |
|---|---|
| 免費試用常見 | 大量假帳號可領額度 |
| 邊際成本高 | 每次濫用都會燒模型成本 |
| agent 可高速執行 | 短時間內耗盡大量 tokens |
| 生成媒體昂貴 | 圖像、語音、影片更容易虧損 |
| API 可自動化 | 攻擊者可用腳本放大濫用 |
傳統 SaaS 的 free trial 被濫用,多半只是多一個帳號。AI 產品的 free trial 被濫用,可能是立刻燒掉真金白銀。
AI 產品該怎麼防?
基本做法不只是加 CAPTCHA。應該建立 usage-aware fraud control。
建議:
1. signup 階段做風險評分。
2.免費額度分段釋放,不一次給滿。
3.高成本功能需要電話、付款方式或額外驗證。
4.API key 設定速率與用量上限。
5.依模型成本設定不同 quota。
6.監測異常 prompt pattern、請求頻率與地理來源。
7.將 payment risk 和 inference usage 放在同一張圖。
8.對 agent workflows 設定每任務成本上限。
AI 風控要看「使用量是否合理」,不只是「付款是否成功」。
和 streaming payments 的關係
Token theft 和 streaming payments 是同一枚硬幣的兩面。
Streaming payments 解的是:如何讓真實使用者的 token 使用即時變成收入。
Token theft 防的是:如何避免惡意使用者把 token 使用變成純成本。
如果沒有風控,usage-based pricing 也會被濫用;如果沒有即時計費,高成本使用又會壓縮毛利。
官方來源
結論
Token theft 會成為 AI 產品很常見的風險類型。
未來 AI startup 不只要看 MAU、ARR 和 conversion,也要看每個 signup 的推理成本風險。產品成長越快,越需要把 Radar 類型的 fraud signal、usage cap、token metering 和模型成本控管放在一起設計。