泥潭日报 uscardforum · 内容汇总

Tokenmaxxing用途之一:反编译后audit各种自用的软件

📈 搬砖 作者 Wi-Fi 原帖 #512963 ↗
内容摘要

Tokenmaxxing催生AI辅助反编译审计闭源软件新需求

关键信息与核心观点

  • 应用场景:用户 @Wi-Fi 分享利用高额信用卡额度获取的无限Token进行“Tokenmaxxing”,将AI Agent用于反编译和审计自用的闭源/半闭源软件,以检测后门、恶意代码或逻辑异常 #1
  • 具体案例
    • 插件审计:对某金融类插件进行反编译,重点分析网络请求,生成审计报告,确认安全后安装 #1
    • 解锁工具排查:分析一款来自俄罗斯的未知手机解锁软件,通过Agent理清逻辑后发现软件本身无恶意,失败原因是上游服务器Bug #1
    • GUI工具审查:审计一个GitHub上仅提供二进制文件的本地模型推理框架,确认其仅为Electron壳套开源核心,无异常网络/文件操作,决定使用 #1
  • 技术流程:并非让LLM直接读取二进制,而是由Agent调用专门的反编译/脱壳工具(如针对VB6、加壳软件的工具),再将结果输入AI进行逻辑分析和代码审查 #10, #11

成本与经济效益分析

  • API成本对比:@Wi-Fi 指出使用GPT-5.5 API审计一个小软件花费约$44,而该软件售价仅$5-$10;若让AI修改开源源码自行编译以规避付费,成本约为每月$20 #9
  • 价值主张:虽然API标价水分高,但对于拥有免费/高额Token额度的用户(如Amex持有者),边际成本极低,使得“审计闭源软件”变得经济可行,打破了以往仅依赖开源软件的局限 #1, #9
  • 建议:普通用户若想省钱,可采购低价模型(如Deepseek)而非使用高价美国AI模型 #9

技术限制与注意事项

  • 工具依赖性:LLM本身不具备反编译能力,必须依赖Agent调用外部逆向工程工具;不同环境(如Windows vs Ubuntu)对特定语言(如VB6)或加壳软件的支持程度不同,可能需要配置特定的运行环境 #10, #11, #12
  • AI局限性:AI擅长发现明显的恶意逻辑、网络请求异常和简单混淆代码,但对于隐藏极深的后门或大型复杂项目(如Adobe全家桶)效果有限,主要适用于一人作者开发的小型工具 #1, #7
  • 幻觉风险:在输出伪代码时可能出现Hallucination,需人工复核关键逻辑 #7

社区讨论与衍生话题

  • 开源 vs 闭源:部分用户支持“App Store收费上架但提供源码供自行编译”的模式,认为这比完全闭源更透明;也有观点认为AI时代小工具的护城河难以维持,可能被迫开源或转向本地部署 #5, #6
  • 合规与风险:在公司内部进行此类审计存在法务风险,仅限个人使用;@Wi-Fi 幽默地表示若未来涉及专利无效诉讼,可声称深夜访问学术网站是AI行为而非人类间谍活动 #8, #21
  • Token用量趋势:有用户指出各大公司正在收紧Token Usage,Tokenmaxxing的空间可能逐渐缩小 #15;多数用户日常用量在1B Token以下 #16
原始内容
--- 第 1 楼来自 Wi-Fi 的回复 (2026-06-16 14:23:54 PDT) ---

之前已经有不少讨论在公司内tokenmaxxing如何找用途的帖子(https://www.uscardforum.com/t/topic/509368 https://www.uscardforum.com/t/topic/496841),昨天看到这个https://www.uscardforum.com/t/topic/512800/,在个人生活/学习途中也tokenmaxxing,有感而发,想分享一下我被tokenmaxxing催生的新需求:auditing。 众所周知,code review是很累的,即使是开源软件也不见得有很多双眼睛盯着,可能黑帽比白帽多;闭源软件就更不用说了,肯定有一直没修的陈年酿造bug,而且不管是大企业还是不知名小作者都可能留后门。以前我在电脑和手机上装软件也都比较懒惰,确认是reproducible build的就拉倒。最近有篇论文说AI code review做的比人好,我觉得这个结论本身不见得靠谱,但是侧重点不同,AI牛马不喊累,多加班肯定是好的。 故事源于两年前的这个时候,有人质疑泥潭某插件,为了公众利益我手动https://www.uscardforum.com/t/topic/150382/611了它的代码;代码是obfuscate编译压缩后的,当时还没有coding agent只有chatbox,我手动deobfuscate然后肉眼+AI结合着看完非常累。这个插件后来不再更新了,我有一天想安装它的继任者,于是又开始audit(虽然我也挺相信各位作者潭友,但我自用的插件还是得routinely的audit一下,毕竟涉及金融)。这次就比较偷懒了,直接丢给agent让他反编译、拆分功能,着重分析所有网络请求,给我出一份报告着重讲我想检查的部分。很快报告就回来了,我也愉快的装上了插件。以前我在论坛看到有人分享userscript我都要顺手读一下看看没有恶意投毒,但是这种大插件我是懒得看的,现在tokenmaxxing了都可以看了。 某次跟着潭友买手机也是,要用毛子来路不明软件尝试解锁。我一开始也懒得分析这软件到底干了啥,丢进虚拟机里拉倒,但是软件不work,解锁失败。我想知道为啥,顺便深入学习一下毛子神奇的解锁黑科技;于是又开始让agent反编译、让AI帮我搞清楚具体的功能逻辑,然后才能我来分析到底为啥不work。当然,结论有点令人失望,那软件真的啥都没干,是T家上游服务器有bug,后来bug被封死了。 今天看到有个核心开源GUI闭源的方便本地跑模型推理框架的工具,GitHub上只放了图文并茂的README和二进制,但是官网又写download from GitHub有点误导消费者的感觉,而且只有一个作者。可能是他想方便以后盈利吧?换成往常我就不敢用了,乖乖自己手动跑mlx/hf库加载模型(一人作者的软件起码得像openwhispr这样开源+收费我才敢用)。但是tokenmaxxing!我决定audit一下,没问题的话也是可以用的。于是打开agent简单说了一下任务让它开工了。事实证明这个作者没什么心眼,程序没混淆(可能也是vibe出一个能跑通的就直接上架了),里面就是一个electron壳套html前端、一套打包好的开源核心。接下来让AI审一下所有的网络和文件读取部分,没找到什么异常,我也就决定可以用用看了。 一来二去养成了习惯,所有我不太相信的软件都tokenmaxxing分析一下再用,反正token越来越多、模型也越来越懂了。模型基本不会拒绝不涉及挖洞的security audit的请求(只要别用那个发“你好”就封号的公司的模型就行)。 tokenmaxxing打开的新世界是让我可以随时分析我刚下载的软件/刚打开的网页,有没有明显的后门;虽然拦不住隐藏的很深的后门,但能挡掉一些拙劣的尝试也够了。以前只看开源的软件、自己大致看几眼关键部分的代码,以后闭源的也可以audit、全面分析无死角不遗漏。当然,AI对大项目(比如各位潭友刚白嫖上车的Adobe全家桶)有心无力,但对一人作者写的小项目足够了。 至于具体如何执行,每个人都有自己的偏好和侧重点,我觉得大家写各自看重的方向更好,这样agent进行audit的思路也更diverse。如果没有相关背景可以搜几个skill装上。 最后,感谢amex赞助的用不完的token。没有amex的泥潭地铁蟋蟀选手也可以搞点开源模型配额,参见 https://www.uscardforum.com/t/topic/489382

--- 第 2 楼来自 因果推断 的回复 (2026-06-16 14:25:23 PDT) ---

前排支持最好的Wi-Fi老师

--- 第 3 楼来自 aqua 的回复 (2026-06-16 14:28:31 PDT) ---

后排支持最好的 /u/wi-fi 老师

--- 第 4 楼来自 258 的回复 (2026-06-16 14:31:22 PDT) ---

快进到 #52pojie 版

--- 第 5 楼来自 Wi-Fi 的回复 (2026-06-16 14:33:04 PDT) ---

破解就算了,如无必要不用非开源软件。而且在泥潭买正版还可以倒赚,拉动一些GDP也是不错的。 我其实比较支持开源但是app store收费上架那种模式,自己编译就不用给钱。

--- 第 6 楼来自 258 的回复 (2026-06-16 14:34:13 PDT) ---

小工具以前还可以收懒人税 到ai时代护城河很难办吧 要不就是和deepseek一样开源但是本地正常人无法部署?

--- 第 7 楼来自 snowboy 的回复 (2026-06-16 14:34:16 PDT) ---

虽然不是tokenmaxxing,不过我也确实用过某些llm反汇编,结果只能说差强人意吧。 确实判断出了程序本质是个骗钱软件(写着"未注册"要打钱实际上是个空壳),但在试着输出伪代码的时候还是hallucinate了(而且还是VB6这种被逆烂的东西 258: 快进到 #52pojie 版 我这骗钱软件就是52pojie下的

--- 第 8 楼来自 ctzsm 的回复 (2026-06-16 14:34:35 PDT) ---

几个月前我就开始搞这些了,但是公司内部不能这么做比如你要分析个啥竞品,有法务风险,只能自己玩。

--- 第 9 楼来自 Wi-Fi 的回复 (2026-06-16 14:42:09 PDT) ---

懒人税可以继续收,比AI便宜就行。给一个totally out of context的对比,我用gpt-5.5刚跑完一个小软件的audit,按API计价算一共花了$44,小软件本身可能卖$5,撑死了$10。之前分析openwhispr GUI也花了差不多这么久,钱应该差不多,这个软件的高级模式每月$20;让AI改开源源码自己编译来不给钱的成本我估计是一个月的月租。 当然,必须mandatory disclaimer,美国AI模型的标价水分很高,让 https://www.uscardforum.com/t/topic/510012/34 每天用$10000的员工更加感恩戴德 我只是刚好白嫖了所以用,想省钱应该 https://www.uscardforum.com/t/topic/510012/34 采购¥1的deepseek

--- 第 10 楼来自 Wi-Fi 的回复 (2026-06-16 14:44:02 PDT) ---

snowboy: 用过某些llm反汇编 应该是agent下载安装专门的工具跑反编译、再去读反编译出来的结果,不是让agent自己读入二进制之后输出结果。实在不行的话需要agent现场改工具、给工具写插件,但也不能从零开始写反编译反汇编工具。各种软件加壳都有专门适配的脱壳分析工具,llm负责认出来是哪一种然后对症下药就行。

--- 第 11 楼来自 snowboy 的回复 (2026-06-16 14:47:37 PDT) ---

那当然是agent去跑工具出来的结果了 也许VB6在Ubuntu环境下没有很好的工具吧

--- 第 12 楼来自 Wi-Fi 的回复 (2026-06-16 14:50:49 PDT) ---

你提醒了我,agent自己不会主动开windows虚拟机换成在windows下跑,有些逆向工具windows下方便,我得搞个windows环境装好agent方便跑这类需求

--- 第 13 楼来自 psilocybin 的回复 (2026-06-16 14:56:26 PDT) ---

aqua: 后排支持最好的 /u/wi-fi 老师 后备箱支持最最好的 /u/aqua 老师后排支持最好的 /u/wi-fi 老师

--- 第 14 楼来自 Neon 的回复 (2026-06-16 15:12:10 PDT) ---

https://x.com/beaversteever/status/2061177528123793728

--- 第 15 楼来自 Pipita 的回复 (2026-06-16 15:19:42 PDT) ---

Wi-Fi: tokenmaxxing 感觉已经到头了。现在各大公司都在收紧token usage了。

--- 第 16 楼来自 Rosmontis 的回复 (2026-06-16 15:21:45 PDT) ---

你们平常一周token用量都在什么水平,我基本就1b token不会再多了

--- 第 17 楼来自 Stubhub 的回复 (2026-06-16 15:37:58 PDT) ---

前排支持 高质量好帖

--- 第 18 楼来自 msft 的回复 (2026-06-16 15:44:12 PDT) ---

Wi-Fi: tokenmaxxing打开的新世界是让我可以随时分析我刚下载的软件 再进一步直接让ai复刻一个别人的软件

--- 第 19 楼来自 Wi-Fi 的回复 (2026-06-16 15:56:46 PDT) ---

Just never get caught. 我特此对外宣称,我从来不读任何paper的,如果有AI半夜读了我自己也是不知道的,我从来不和AI讨论任何idea。以后如果打patent invalidation官司,对方律师提出我家的网络半夜3am打开了arxiv pdf,一定不是人类活动,要么就是AI随机测试搜索功能,要么就是IoT设备被黑了替国内的industrial espionage下载美国尖端技术机密。人类才不会3am打开paper。

📈 搬砖 · 其他高楼

← 返回 📈 搬砖