一位 OpenAI 早期 Plus 用户发帖求助,其账号因绑定的虚拟号码已过期无法接收短信,导致在使用 macOS 客户端及 CLI 网关调用 Codex 功能时陷入强制短信二次验证(2FA)的死循环。现状显示,该账号在网页端可通过 Passkey 完美登录,iOS 客户端亦能正常查看额度,唯独 macOS 端无论是升级新版客户端还是通过本地代理访问,均被强制要求短信验证,官方客服亦表示无法解绑旧号或修改验证方式。为突破这一限制,用户计划放弃官方客户端,转而从网页端抓取登录成功后的长效 Refresh Token(即 rt.1 开头凭证)和 ID Token,将其注入本地网关配置以实现无感刷新。然而,技术实施面临两大阻碍:一是 ChatGPT 网页实施了严格的 CSP(内容安全策略),导致控制台脚本注入失效;二是 OAuth 授权流程中的关键 Token 下发请求涉及 302 重定向,响应内容在 Network 面板中被瞬时消费,无法直接抓取明文。该求助旨在寻找能绕过 CSP 限制或捕获重定向数据的浏览器插件或代理规则,以解决凭证提取难题。
事件分析
💡 核心观点:随着客户端风控升级与网页 CSP 封堵,通过提取长效 Token 绕过官方账号验证门槛正变得越来越难。
原文链接:Linux.do

评论前必须登录!
立即登录 注册