前几天大家一起聊中转站的"暴利"、"捡钱"、"掺水"、"造假"等等

但是，有个核心问题，我给小菜鸟如何判断呢？

这不巧了韭二（以下简称92）把他搞了个项目，还特么开源了。

他最近把2026年中文市场涌现的三个AI API中转站安全检测工具全部跑了一遍。

他发现一个让人大跌眼镜的事儿：你花钱买的"直连"Claude或GPT，很可能早已被安静地动手脚。

92对比了三款工具的核心检测能力、方法论和透明度后，发现差距极大。

开源工具api-relay-audit走的是双论文锚定路线，把AC-1工具调用改写、AC-2错误响应泄漏、上下文截断等常见攻击全部拆成可验证步骤，每一步都给出clean/anomaly/inconclusive三态判定，还自带透明日志。

hvoy. ai更适合小白用户，cctest. ai则主打一键黑盒检测，但完全闭源。

92认为，最靠谱的还是api-relay-audit的透明度和可审计性，安全工具本身必须可被审计。

他把完整对比、方法论、短板和功能速查表写成一篇长文，并把自己的工具完全开源。

感兴趣的可以安装，地址评论区。 记得给给他一颗Star~