Free-BAI：BankOfAI 逆向工程与自动化 API Key 农场

> 来源: GitHub - BuluBulugege/Free-BAI

> 日期: 2026-05-06

> 评分: ⭐⭐⭐⭐ (技术深度极高，但存在明显的合规灰色地带)

一句话版本

这是一个把 AI 平台"注册送积分"的羊毛薅到工业级规模的项目——它逆向分析了 BankOfAI 平台的前端认证流程，然后批量自动注册钱包、领取积分、生成 API Key，最后把所有 Key 聚集到一个统一代理接口供调用。

什么是 BankOfAI？

BankOfAI（chat.bankofai.io）是一个基于 LobeChat 搭建的白标 AI 平台，品牌叫 "AINFT"。它给每个新注册用户赠送 500,000 积分（约 $0.50），支持 GPT-5.4、Gemini 3.1 Pro、GLM-5 等多种模型。

Free-BAI 做了什么

逆向工程

作者完整逆向分析了 BankOfAI 的前端认证流程：

1. 钱包签名登录（SIWE 风格）— 用 ethers.js 生成随机钱包

2. AES 加密凭证 — 硬编码的 AES Key 1wT1r7z8bZxDHVmZKAs6VFYSXOxmyh0lLByiw5TmF0=（从前端 JS 中提取）

3. tRPC 调用 — 所有后端 API 都是 tRPC 端点，直接逆向调用

4. 领积分流程 — 双重签名（登录签名 + 领奖签名）

自动化管线

6 步自动化流程：

步骤	操作	技术细节
1	生成钱包	`ethers.Wallet.createRandom()`
2	Base L2 打尘	发送 10M wei（~$0.0000004）通过余额检查
3	签名登录	SIWE 消息签名
4	next-auth 登录	拿到 session cookie
5	领取积分	伪造 AES token, 领 500,000 积分
6	创建 API Key	生成 sk-xxxxx

反反爬应对

IP 限制：claim 接口单 IP 只能领一次 → 使用代理池（Kookeey / CloudBypass）
链上活动检查：钱包必须在 Base L2 上有过交易 → 打尘策略
防 Sybil：但被链上 dust 交易绕过

经济模型

指标	数值
单账户成本	~$0.0000004
单账户价值	$0.50（500,000 积分）
直接模式速率	3-5 keys/min
批量模式速率	30-50 keys/min
Relay 模式	100-300 keys/batch
每个 seed（$0.05）	3 个 key
有效成本/key	~$0.017

架构组件

自动注册脚本：单/批量注册、代理轮换、Base L2 打尘
管理面板：Next.js 仪表盘，SQLite 存储，实时监控池状态
LiteLLM 代理：统一 OpenAI 兼容接口，路由到 GPT-5.4 / Gemini / GLM 等
自动填充守护进程：持续维持目标池大小
Premium 模型绕过：3 种方法访问付费模型

技术亮点

1. 完整的 SIWE 逆向 — 从前端 JS 提取硬编码密钥，还原签名协议

2. 链上 Dust 策略 — 用最小成本的链上交易绕过反 Sybil 检查

3. Relay 链式注册 — 一个资金钱包可以 spawn 出一条链，每个 wallet 注册完把剩余 ETH 转发给下一个，最大化利用率

4. LiteLLM 集成 — 把所有 key 做成统一接口，兼容 OpenAI SDK

与我们的项目关联

相关点：

这种"薅羊毛"模式在 AI API 代理领域并不罕见，只是这个项目做到了极高的自动化程度
我们自己的 AI 工具链中如果有需要大规模 API 测试的场景，这种池化管理思路有参考价值
LiteLLM 统一代理的架构设计值得学习

警示：

这个项目明显违反 BankOfAI 的服务条款
BankOfAI 很可能已经注意到并加强了防护（目前 repo 仍然公开，可能已被平台针对）
如果供应链上依赖这类 Key，随时可能断供

评分

维度	评分	说明
技术深度	⭐⭐⭐⭐⭐	完整的逆向、自动化、池化管理，技术栈全面
实用性	⭐⭐⭐⭐	对使用者来说确实能低成本获得 API
合规性	⭐	明显违反 TOS，灰色甚至黑色地带
可持续性	⭐⭐	平台变更后随时失效
文档质量	⭐⭐⭐⭐	README 非常详细，中英文兼具

综合评分：⭐⭐⭐⭐ — 技术层面非常 impressive，但应用层面存在明显的合规风险。建议作为逆向工程学习案例来看，不推荐实际部署使用。