訂閱不等於省錢:我把 Grok 4.5 接進 Claude Code 的一趟摸索,與一次資安自審
一個被忽略的計費陷阱:訂閱給你的是官方 App 手動用的額度,多數第三方工具接模型走的是計量的 API。這篇記錄我想把 Grok 4.5 接進 Claude Code 又想吃訂閱的摸索、發現一條可行但灰色的路、以及按下安裝前對一個要握我帳號的第三方工具做的四步資安自審。技術科普與實作心得,非操作教學。

山有小口,彷彿若有光。便捨船,從口入。
初極狹,才通人;復行數十步,豁然開朗。
—— 陶淵明《桃花源記》(東晉,約西元 421 年)
大部分「省錢」的直覺都是錯的。你以為綁了訂閱帳號就不花錢,結果帳單照跳——因為你走的根本是另一條計費的門。這篇記錄我把 Grok 4.5 接進 Claude Code 的一趟摸索:一個被忽略的計費陷阱、一條可行但灰色的路、以及按下安裝前對一個第三方工具做的資安自審。純技術心得,不是操作教學。
一、被忽略的那道門:訂閱 vs API 計費
事情從一句話開始:「就算你綁了訂閱帳號,在第三方工具裡用,它走的一樣是 API,額度燒得比你想的快很多。」
這句話點破一個很多人沒分清的機制。今天的 AI 服務通常有兩條計費門:
- 訂閱門:你付月費(像各家的月訂閱),拿到的是「在官方 App、官方 CLI 裡用」的額度。
- API 門:你拿一把 API key,按 token 計量付費,一塊錢一塊錢地扣。
關鍵是:大部分第三方工具(各種 agent CLI、IDE 外掛)接模型走的是 API key,不是你的訂閱權益。 所以「我明明訂閱了」跟「這個工具幫我省錢」是兩件事——工具綁的是 key,計費照跑。
一個生活比喻:你辦了健身房的吃到飽月費,但你去的是隔壁按次計費的私人教練工作室。兩邊都能運動,帳單完全不同。
二、我想要的,跟它為什麼難
我用 Claude Code(一個很好用的終端 AI 編碼工具)當日常。Grok 4.5 剛發布,主打「編碼能力接近頂規、但更便宜」,我想試試把它接進來用。
單純「接進去」不難——Claude Code 允許你把後端指到一個相容的中轉服務,社群早有現成工具能把它導去別家模型。真正難的是我的貪心版本:我想接 Grok 4.5,而且吃我的訂閱、不要另外燒 API 錢。
難點就在第一節那道門:訂閱的憑證(OAuth 登入)通常被鎖在官方 App。第三方工具構不構得到訂閱那條門,是整件事的成敗關鍵。我一開始的判斷是「八成辦不到,OAuth 會被鎖死在第一方」。
我判斷錯了。
三、查證:有一條路,但它是灰色的
認真查下去,發現有個開源中轉工具(社群星數很高)做了一件事:借用官方編碼 CLI 的 OAuth 授權面登入,拿到的 token 打官方推論端點時,吃的是訂閱配額、不扣 API 餘額。 而且已經有人實跑數週,明確說「留在訂閱方案裡,不是用 API token 那條」。
聽起來很美,但我踩了剎車,因為它是灰色地帶:
- 官方只認可第一方或合作夥伴用這條 OAuth 面。第三方中轉是借道。
- 這種 allowlist 官方隨時可以收緊(這工具的社群就記錄過,某段時間只開放給最高階訂閱者,後來才放寬)。
- 而且它要握著你帳號等級的 OAuth token——那比一把 API key 權限大得多。
於是我沒有急著裝。我先做了一件更重要的事。
四、按下安裝前:怎麼自審一個要握我帳號的第三方工具
(編按:下面這段才是這篇真正想留給你的東西。)
任何要拿你憑證的第三方工具,裝之前都值得問四個問題。我把整個原始碼拉下來,逐一驗:
① 它跟哪些伺服器講話? 把所有對外網址掃一遍。理想狀態:登入只連官方授權網域、推論只連官方推論網域,加上一個本機回呼位址。任何冒出來的陌生第三方網域,都是紅旗。
② 我的 token 存在哪、權限多嚴? 找到寫檔的程式碼,確認 token 存本機、目錄權限鎖成只有本人可讀。順帶確認:它在授權前會不會檢查端點是不是官方(好的工具會拒絕非官方、非加密的端點)。
③ 它會不會把 token 或我的內容偷送別處? 這類中轉工具本質上會看到你所有往來(設計如此)。所以要確認它只是轉發到官方端點,沒有把你的內容 forward 到第三方。搭配一個關鍵動作:啟動後實際用系統工具看它連了哪些位址——程式碼講一套、執行時連哪裡是另一回事,要眼見為憑。(我就這樣抓到一個無害的背景行為:它每隔幾小時去 ping 一個版本檢查端點,不帶任何憑證。無害,但我照實記下來,沒藏。)
④ 有沒有辦法把非必要的對外行為關掉? 翻設定與旗標,把「自動更新」「遠端管理面板」這類非核心、會回連的功能全關,攻擊面越小越好;服務只綁本機、不對外開埠。
這四步不是什麼高深流程,是任何人裝一個要碰帳號的工具前都該做的基本功。差別只在於——大多數人省略了它。
五、實作與卡關:誠實比漂亮重要
自審過關後才動手:用原始碼自己編譯(可逆、不裝來路不明的二進位)、寫一份最小設定(只綁本機、關掉所有非必要對外功能)、跑一次啟動測試確認它只在本機聽、沒亂連。
然後撞牆了,而且是漂亮的一堵牆:
最後一步 OAuth 登入,只能真人在那台電腦前用瀏覽器做。 原因很具體——OAuth 的回呼位址被寫死成「本機」,你在別的裝置上登入,授權碼回不到那台電腦;而想用自動化瀏覽器代跑,會直接被官方的反機器人機制擋下。
這裡有個更大的體會:很多事情卡住,不是因為你不夠聰明,是因為它被設計成需要一個真人在場。 認清這條界線、老實說「這步只能你自己做」,比硬湊一個看起來自動、實際脆弱的方案好得多。
六、三個帶得走的心得
① 訂閱 ≠ 管線可用。 訂閱給你的是「官方 App 手動爽用」的額度;要餵給自動化流程,多半還是得走計量的 API。想省錢,先搞清楚你的用法是「手動」還是「自動」——它們該走不同的門。
② 要碰你帳號的第三方工具,裝之前先自審。 四個問題:連哪些伺服器、token 存哪、會不會外送、能不能關掉多餘的對外行為。花十分鐘讀原始碼+啟動後實際看網路連線,勝過事後後悔。
③ 灰色地帶要誠實標註,別當地基。 借道訂閱這種方法,官方隨時能收緊。它可以是「省錢的加值通道」,但任何關鍵、要長期穩定的用途,還是該走官方支援的路。把它的脆弱性寫在明處,是對自己也對讀者負責。
本文純為個人技術摸索與資安思辨的紀錄,非操作教學。作者不鼓勵、不建議任何人違反任何服務條款或計費機制。 文中做法很可能違反服務供應商的使用條款,並可能導致帳號停權或求償;官方政策亦隨時可能改變。是否嘗試、以及一切後果,均由讀者自行負責。