# 訂閱不等於省錢:我把 Grok 4.5 接進 Claude Code 的一趟摸索,與一次資安自審 > 一個被忽略的計費陷阱:訂閱給你的是官方 App 手動用的額度,多數第三方工具接模型走的是計量的 API。這篇記錄我想把 Grok 4.5 接進 Claude Code 又想吃訂閱的摸索、發現一條可行但灰色的路、以及按下安裝前對一個要握我帳號的第三方工具做的四步資安自審。技術科普與實作心得,非操作教學。 Published: 2026-07-09 Locale: zh-TW Tags: grok, claude-code, ai-tooling, security-audit, subscription, education TL;DR: ① 訂閱 ≠ 省錢:訂閱是『官方 App 手動用』的額度,多數第三方工具接模型走的是計量 API,帳單照跳;② 想在 Claude Code 裡用 Grok 4.5 又吃訂閱,有一條借第三方中轉工具的路——可行但灰色,官方隨時能收緊;③ 要握你帳號 OAuth token 的第三方工具,裝前先自審四問:連哪些伺服器、token 存哪、會不會外送、能不能關掉多餘對外行為;④ 最後卡在 OAuth 只能真人在電腦前做——認清這條界線比硬湊偽自動化好。 ![寫實魔幻風格油畫封面:一葉扁舟從幽暗狹窄的山口駛入,前方豁然開朗、桃林夾岸落英繽紛——初極狹,才通人,復行數十步,豁然開朗](/covers/grok-claude-code-subscription-audit-cover.png) > *山有小口,彷彿若有光。便捨船,從口入。*
> *初極狹,才通人;復行數十步,豁然開朗。*
> —— 陶淵明《桃花源記》(東晉,約西元 421 年) > 大部分「省錢」的直覺都是錯的。你以為綁了訂閱帳號就不花錢,結果帳單照跳——因為你走的根本是另一條計費的門。這篇記錄我把 Grok 4.5 接進 Claude Code 的一趟摸索:一個被忽略的計費陷阱、一條可行但灰色的路、以及按下安裝前對一個第三方工具做的資安自審。純技術心得,不是操作教學。 ## 一、被忽略的那道門:訂閱 vs API 計費 事情從一句話開始:**「就算你綁了訂閱帳號,在第三方工具裡用,它走的一樣是 API,額度燒得比你想的快很多。」** 這句話點破一個很多人沒分清的機制。今天的 AI 服務通常有兩條計費門: - **訂閱門**:你付月費(像各家的月訂閱),拿到的是「在官方 App、官方 CLI 裡用」的額度。 - **API 門**:你拿一把 API key,按 token 計量付費,一塊錢一塊錢地扣。 關鍵是:**大部分第三方工具(各種 agent CLI、IDE 外掛)接模型走的是 API key,不是你的訂閱權益。** 所以「我明明訂閱了」跟「這個工具幫我省錢」是兩件事——工具綁的是 key,計費照跑。 一個生活比喻:你辦了健身房的吃到飽月費,但你去的是隔壁按次計費的私人教練工作室。兩邊都能運動,帳單完全不同。 ## 二、我想要的,跟它為什麼難 我用 Claude Code(一個很好用的終端 AI 編碼工具)當日常。Grok 4.5 剛發布,主打「編碼能力接近頂規、但更便宜」,我想試試把它接進來用。 單純「接進去」不難——Claude Code 允許你把後端指到一個相容的中轉服務,社群早有現成工具能把它導去別家模型。真正難的是我的貪心版本:**我想接 Grok 4.5,而且吃我的訂閱、不要另外燒 API 錢。** 難點就在第一節那道門:訂閱的憑證(OAuth 登入)通常被鎖在官方 App。第三方工具構不構得到訂閱那條門,是整件事的成敗關鍵。我一開始的判斷是「八成辦不到,OAuth 會被鎖死在第一方」。 **我判斷錯了。** ## 三、查證:有一條路,但它是灰色的 認真查下去,發現有個開源中轉工具(社群星數很高)做了一件事:**借用官方編碼 CLI 的 OAuth 授權面登入,拿到的 token 打官方推論端點時,吃的是訂閱配額、不扣 API 餘額。** 而且已經有人實跑數週,明確說「留在訂閱方案裡,不是用 API token 那條」。 聽起來很美,但我踩了剎車,因為它是**灰色地帶**: - 官方只認可第一方或合作夥伴用這條 OAuth 面。第三方中轉是**借道**。 - 這種 allowlist 官方**隨時可以收緊**(這工具的社群就記錄過,某段時間只開放給最高階訂閱者,後來才放寬)。 - 而且它要握著你**帳號等級的 OAuth token**——那比一把 API key 權限大得多。 於是我沒有急著裝。我先做了一件更重要的事。 ## 四、按下安裝前:怎麼自審一個要握我帳號的第三方工具 (編按:下面這段才是這篇真正想留給你的東西。) 任何要拿你憑證的第三方工具,裝之前都值得問四個問題。我把整個原始碼拉下來,逐一驗: **① 它跟哪些伺服器講話?** 把所有對外網址掃一遍。理想狀態:登入只連官方授權網域、推論只連官方推論網域,加上一個本機回呼位址。任何冒出來的陌生第三方網域,都是紅旗。 **② 我的 token 存在哪、權限多嚴?** 找到寫檔的程式碼,確認 token 存**本機**、目錄權限鎖成**只有本人可讀**。順帶確認:它在授權前會不會檢查端點是不是官方(好的工具會拒絕非官方、非加密的端點)。 **③ 它會不會把 token 或我的內容偷送別處?** 這類中轉工具本質上會看到你所有往來(設計如此)。所以要確認它**只是轉發到官方端點**,沒有把你的內容 forward 到第三方。搭配一個關鍵動作:**啟動後實際用系統工具看它連了哪些位址**——程式碼講一套、執行時連哪裡是另一回事,要眼見為憑。(我就這樣抓到一個無害的背景行為:它每隔幾小時去 ping 一個版本檢查端點,不帶任何憑證。無害,但我照實記下來,沒藏。) **④ 有沒有辦法把非必要的對外行為關掉?** 翻設定與旗標,把「自動更新」「遠端管理面板」這類非核心、會回連的功能全關,攻擊面越小越好;服務只綁本機、不對外開埠。 這四步不是什麼高深流程,是任何人裝一個要碰帳號的工具前都該做的基本功。差別只在於——**大多數人省略了它。** ## 五、實作與卡關:誠實比漂亮重要 自審過關後才動手:用原始碼**自己編譯**(可逆、不裝來路不明的二進位)、寫一份最小設定(只綁本機、關掉所有非必要對外功能)、跑一次啟動測試確認它只在本機聽、沒亂連。 然後撞牆了,而且是漂亮的一堵牆: **最後一步 OAuth 登入,只能真人在那台電腦前用瀏覽器做。** 原因很具體——OAuth 的回呼位址被寫死成「本機」,你在別的裝置上登入,授權碼回不到那台電腦;而想用自動化瀏覽器代跑,會直接被官方的反機器人機制擋下。 這裡有個更大的體會:**很多事情卡住,不是因為你不夠聰明,是因為它被設計成需要一個真人在場。** 認清這條界線、老實說「這步只能你自己做」,比硬湊一個看起來自動、實際脆弱的方案好得多。 ## 六、三個帶得走的心得 **① 訂閱 ≠ 管線可用。** 訂閱給你的是「官方 App 手動爽用」的額度;要餵給自動化流程,多半還是得走計量的 API。想省錢,先搞清楚你的用法是「手動」還是「自動」——它們該走不同的門。 **② 要碰你帳號的第三方工具,裝之前先自審。** 四個問題:連哪些伺服器、token 存哪、會不會外送、能不能關掉多餘的對外行為。花十分鐘讀原始碼+啟動後實際看網路連線,勝過事後後悔。 **③ 灰色地帶要誠實標註,別當地基。** 借道訂閱這種方法,官方隨時能收緊。它可以是「省錢的加值通道」,但任何**關鍵、要長期穩定**的用途,還是該走官方支援的路。把它的脆弱性寫在明處,是對自己也對讀者負責。 --- *本文純為個人技術摸索與資安思辨的紀錄,非操作教學。**作者不鼓勵、不建議任何人違反任何服務條款或計費機制。** 文中做法**很可能違反服務供應商的使用條款,並可能導致帳號停權或求償**;官方政策亦隨時可能改變。是否嘗試、以及一切後果,均由讀者自行負責。*