别乱装Codex UI：AI时代第一个被偷的不是代码，是token

你装过Codex的remote UI吗？或者某个看起来很正常的MCP插件？

它可能正在偷你的token。

最近安全公司Aikido在其官方报告中曝光了一个叫codexui-android的npm包。它有GitHub仓库，有功能，有更新，还拿到过数万次下载。看起来就像一个开发者真的想用的工具。

但它会偷你的OpenAI和Codex authentication tokens。

它不需要骗你输入密码。

它只要拿走你的token。

你的Codex、OpenAI、API额度，可能就成了别人的提款机。

很多人可能遇到过

API额度莫名其妙用完了。

OpenAI账单突然多了一笔。

或者某个你没印象的项目，调用记录一直在增加。

你以为是自己忘记关了某个测试。

其实可能是token被偷了。

你改密码，改不了token

很多人不知道token和密码的区别。

密码是你输入的东西。Token是系统生成的钥匙。

你登录一次，系统给你一个token，这个token可以用很久。有些token几个月不过期。有些token根本没有过期时间。

密码被偷了，你改密码就完事。

Token被偷了，你不知道谁在用。

因为token不是你手动输入的，是系统自动带着的。你不改它，它就一直有效。

更麻烦的是，很多人根本不知道自己有token。

你装了一个AI工具，它要你”登录授权”。你点了”允许”。Token就在你的电脑里了。

这个token可能存在浏览器里，可能存在配置文件里，也可能存在某个看起来无害的文件夹里。

AI工具特别容易被盯上，就是因为这个。

一个恶意包，不需要黑你的账号。它只要偷走你本地的token文件，就能用你的额度调API。

你以为你在装生产力工具。

其实你在把钥匙递出去。

这三类工具，权限大到吓人

如果你在用Codex、Claude、ChatGPT这些AI工具，你可能装过remote UI、MCP插件、或者各种Agent工具。

这些工具有三个特点。

权限大。

Remote UI可以控制你的编辑器，可以读写文件，可以执行命令。MCP插件可以访问你的本地数据，可以调API。Agent工具可以自动执行任务。

这些权限，比一个普通软件大得多。

审查弱。

它们没有应用商店审核。

App Store、Google Play、Steam这些平台，至少有个审核流程。哪怕不严格，至少有个门槛。

npm包、GitHub上的工具、开源社区推荐的插件，基本上没人管。

发布者是谁，代码有没有问题，有没有恶意行为，全靠你自己判断。

信任度高。

装这些工具的人，通常是”相信它才装”。

你不会随便装一个陌生软件。但你会装一个”看起来像是开发者在用的工具”。

尤其是那种有GitHub仓库、有Star、有README、有更新记录的工具。

你以为”开源=安全”。

其实开源只是意味着代码可见。不意味着有人真的看过。

codexui-android就是这样。它看起来很正常，功能也能用，但它会在后台偷你的token。

数万次下载，说明很多人装了。

很多人可能到现在都不知道自己的token已经泄露了。

普通人应该怎么装工具

不是不装，是谨慎装。

这几条很简单，但能挡住大部分风险。

1. 陌生工具不用主号

如果你要测试一个新工具，先用小号、测试账号、或者专门申请一个API key来测。

不要上来就把你的主号、工作账号、付费账号的token给它。

2. API key单独限额

很多平台可以给API key设置额度上限。

OpenAI可以设置每月最高消费，Anthropic可以设置单次调用上限。

设置完以后，就算token被偷，损失也可控。

3. 能用临时key就不用长期key

有些平台支持生成临时token，用完就过期。

如果你只是测试一个工具，不需要长期用，就用临时key。

4. .env不放仓库

如果你在写代码，API key通常放在.env文件里。

这个文件不要上传到GitHub、GitLab、或者任何公开仓库。

加到.gitignore里，确保它不会被推送出去。

5. npm包先看maintainer、发布时间、GitHub是否一致

装npm包之前，先看一眼：

这个包是谁发布的？发布时间是什么时候？如果是最近几天，可能有问题。GitHub仓库和npm包是不是同一个人维护？如果不一致，可能被劫持了。

6. Remote UI先用小号/虚拟机/空项目测

Remote UI这种工具，权限特别大。

先别在你的主力项目上测。

开一个虚拟机，或者用一个空项目，或者用小号登录，测完再决定要不要在主力环境里用。

7. 不要给AI工具整个C盘权限

有些工具会要求”访问整个文件系统”。

不要给。

只给它需要的文件夹。

比如你在做一个项目，只给它这个项目的文件夹权限，不要给整个C盘或者整个用户目录。

8. MCP先只读，别上来就写权限

MCP插件可以设置只读或者读写权限。

如果你只是想让它读数据，就别给写权限。

等你确认这个插件没问题了，再开写权限。

你以为你在学prompt

以前我们担心的是：别点陌生链接，别下盗版软件，别把密码告诉别人。

现在我们要担心的是：别乱装看起来正常的AI工具。

因为它不需要你输入密码。

它只要拿走你的token。

你以为你在提效。

别人可能在偷你的钥匙。

你以为你在学prompt。

其实你该先学的，是别把钥匙递出去。

---

参考来源：Aikido Security, 2026

---

我是达芬七，人在加拿大十年。

写移民、写AI、写普通人怎么在系统里找活路。

我写了这么多加拿大的真问题。

如果你看完还想来，
那可能不是被滤镜骗来的，
是真的想换一种活法。

可以来找我聊聊。
不卖梦，只聊怎么少踩坑。

关注我 @SuisPasDaVinci