這篇文章是 Claude 幫我寫的,請大家花三分鐘看一下,也是我04/19 文章,至今的事件統整與處理進度更新。
🚨 案情回顧:
4/16 凌晨開始,我的 Anthropic 帳號被自動扣款購買「Gift Max 5X」方案,收件人是我不認識的臨時信箱。
04/16發現後
我當下做了所有該做的事:停卡、改密碼、開 2FA、登出所有 session、撤銷 API Keys、更改支付方式。
04/17 換卡之後還是繼續扣,一路扣到 4/20,四筆成功、更多次失敗。
目前總計被盜刷4筆,共$400 美金(已向兩間銀行申請爭議款)。
🔍 04/18 用Claude協助排查後,找到真兇:(這是我目前推測的原因)
用 Malwarebytes 掃到一個叫「Start New Search」的惡意 Chrome 擴充(Adware.NewTab 家族)。
從 Chrome 系統紀錄看,它在 2023 年 4 月透過軟體捆綁偷偷裝到我電腦,潛伏三年。它有攔截 HTTP 請求的權限,默默偷走我的 cookie 和 session token。
這就是為什麼我改密碼、換卡都沒用——對方用的是偷到的 session,不需要登入我的帳號。2FA 在這種攻擊面前沒有保護力。
⚠️ 接下來是我最想讓大家知道的事:
我在 4/18 中午12:16 就正式通報 Anthropic Support Team,後續寄了四封補充信,72 小時過去沒有任何真人回覆,只有 Fin AI Agent 的自動回覆。
更嚴重的是,在我通報之後,盜刷行為仍然在後台持續發生:
4/18、4/19、4/20 每天都有新的 Gift 發票被生成
收件人橫跨 mailinator.com、nomail.xyz、fakeinbox.com、guerrillamail.com(各種不同的臨時信箱)
我手上有多封 Mastercard 3D 驗證信、Stripe傳到我手機上的驗證碼,證明對方一直在嘗試扣卡
最讓我困擾的是:
Anthropic 的 Billing 介面,根本沒有「移除信用卡」這個選項。只有「Update」按鈕,意思是用戶只能換另一張卡,無法徹底把卡片從帳號上拿掉。
這解釋了為什麼我停卡、改密碼之後,後台仍然一直嘗試扣款。
因為從 Anthropic 系統角度,我的帳號上永遠綁著一張卡(只是那張卡已失效)。
作為使用者,我唯一能做的就是暫停訂閱。 我的 Max 方案會在 4/23 自動取消。但我到現在不知道該怎麼支付續訂,因為我不敢再給第三張卡。
這已經不是「我裝置被感染」的問題,而是平台端的基本防護機制有缺陷:使用者無法完全撤除支付授權、無法看到 / 取消被盜刷生成的 Gift、通報詐騙後帳號也不會自動凍結。
😶 這不是個案:
我在 Trustpilot 和 GitHub 搜尋,從 3/25 到 4/20,至少有六位來自台灣、波蘭、英國、美國的使用者遭遇完全一樣的攻擊:全部是「Gift Max」方案、收件人全部是臨時信箱、很多都在半夜被扣、大家都卡在 Fin AI Agent 迴圈。
https://www.trustpilot.com/review/anthropic.com
Anthropic 官方 GitHub 已有人反映但尚無正式回應。
https://github.com/anthropics/claude-code/issues/48780
🛡️ 三個建議給 Claude 用戶:
1. 立刻去看你的 Invoices
claude.ai → Settings → Billing → Invoices 有任何你沒買過的「Gift Max」就是警訊,馬上停卡 + 向銀行爭議扣款。
2. 檢查 Chrome 擴充
chrome://extensions/ 看一下。不記得裝過的、名字像「搜尋增強」「新分頁美化」的、開發者不是大廠的全部移除。我那個擴充藏在我電腦裡三年。
3. 客服管道 Anthropic
一般客服([email protected])目前走 AI 自動回覆,我等了 72 小時沒真人。建議另外寄 User Safety 和 Responsible Disclosure 兩個管道([email protected]、[email protected]),這兩個是不同內部團隊。
💭 寫這篇不是要攻擊 Anthropic:
Claude 還是我每天工作的主力工具,我今年還出書推廣 AI 應用。但希望 @Anthropic 能看到事件規模,補上幾個基本的平台防護機制:
讓使用者能真的移除支付方式(不只是 Update)
讓用戶自己決定是否開啟Gift功能(我目前找不到 Gift 到底在哪裡)。
對同一帳號短時間內多筆 Gift 加上二次驗證
擋掉已知的臨時信箱收件人
使用者通報詐騙後自動凍結帳號的 Gift 功能
如果你也遇到類似狀況,先去銀行爭議扣款,不要等 Anthropic。
歡迎留言交流。
#Claude #Anthropic #資安警示
Anthropic Claude AI
— 覺得很重要。
Verifying Connection
https://www.trustpilot.com/review/anthropic.com[BUG] double billed for claude max plan 2 months in a row and then account degraded to FREE PLAN · Issue #48780 · anthropics/claude-code
https://github.com/anthropics/claude-code/issues/48780Preflight Checklist I have searched existing issues and this hasn't been reported yet This is a single bug report (please file separate reports for different bugs) I am using the latest version...