OpenAI 账号死锁二验:开发者试图通过提取 Session Token 绕过登录墙

一位 OpenAI 早期 Plus 用户发帖求助,其账号因绑定的虚拟号码已过期无法接收短信,导致在使用 macOS 客户端及 CLI 网关调用 Codex 功能时陷入强制短信二次验证(2FA)的死循环。现状显示,该账号在网页端可通过 Passkey 完美登录,iOS 客户端亦能正常查看额度,唯独 macOS 端无论是升级新版客户端还是通过本地代理访问,均被强制要求短信验证,官方客服亦表示无法解绑旧号或修改验证方式。为突破这一限制,用户计划放弃官方客户端,转而从网页端抓取登录成功后的长效 Refresh Token(即 rt.1 开头凭证)和 ID Token,将其注入本地网关配置以实现无感刷新。然而,技术实施面临两大阻碍:一是 ChatGPT 网页实施了严格的 CSP(内容安全策略),导致控制台脚本注入失效;二是 OAuth 授权流程中的关键 Token 下发请求涉及 302 重定向,响应内容在 Network 面板中被瞬时消费,无法直接抓取明文。该求助旨在寻找能绕过 CSP 限制或捕获重定向数据的浏览器插件或代理规则,以解决凭证提取难题。

事件分析

该案例深刻反映了 AI 账号管理中的“单点故障”风险,即依赖虚拟接码平台注册的账号在号码回收后将面临严重的身份死锁问题。技术上,这揭示了 OpenAI 不同客户端(macOS 与 Web/iOS)之间风控策略的不一致性,桌面端对本地环境的指纹识别似乎更为敏感。更重要的是,随着厂商加强安全防护,传统的“抓包提取 Token”方案正面临巨大挑战:网页端的 CSP 策略和 OAuth 流程的重定向机制有效阻断了明文凭证的直接获取。这表明,试图通过提取官方 Token 来绕过客户端登录墙的“野路子”正变得越来越窄,未来开发者在依赖此类服务时,必须更加注重账号注册源的正规化或寻找更稳定的 API 接入方案,而非在风控对抗中消耗精力。

💡 核心观点:随着客户端风控升级与网页 CSP 封堵,通过提取长效 Token 绕过官方账号验证门槛正变得越来越难。

原文链接:Linux.do

C code80.ai · AI 编码 API 聚合 Claude / GPT 多模型统一接入,稳定不限速,按量计费,几行配置接入 Claude Code。 了解一下 ›

抢沙发

评论前必须登录!

立即登录   注册