第三方中转的五个坑

先说为什么要自建。2026 年 CISPA 发布的论文《Real Money, Fake Models》审计了 17 家主流中转站,结论触目惊心:

  • 模型造假:近 45% 的中转站存在造假行为,测试失败率高达 45.83%,性能差异约 47.21%。用 GLM 冒充 GPT-4 这种事,比你想象的普遍
  • 流量虚扣:伪造调用日志,每次调用多计 10%-30% 的 Token 用量,后台批量生成无效请求暗中消耗额度
  • 卷款跑路:"首充5折""充100送50",收够钱直接关站,预付资金全部打水漂
  • 数据安全:数据过第三方,对方想看就能看,商业机密和用户隐私全暴露
  • 服务不稳定:提交 10 个任务只成功 2 个,高并发被风控,说挂就挂

这些问题的根源在于你把控制权交给了别人。自建中转站,这些问题全部消失。

环境准备

搭建前需要准备以下资源:

  • 服务器 VPS:腾讯云 Ubuntu 24.04 LTS
  • 域名:腾讯云域名注册,选最便宜的,10 块钱搞定
  • Business 账号:准备 2 个,找靠谱渠道
  • Cloudflare 账号:用 Google 账号注册即可
  • Neon PostgreSQL:免费,注意选和服务器 VPS 相同地区,否则传输延迟会很高
  • Upstash Redis:免费,同样选和服务器相同地区

Neon 和 Upstash 注册后拿到对应的连接 Token,后面配置要用。

Cloudflare WARP 防风控配置

这一步是防风控的关键。在服务器上安装并配置 Cloudflare WARP,注册、启动后测试代理是否正常工作。WARP 会给你的出口流量套上 Cloudflare 的 IP,避免服务器 IP 被直接识别和封禁。

域名托管到 Cloudflare

这里有个坑:很多人直接用传统 DNS 解析,真实服务器 IP 暴露在公网上,DDoS 攻击和恶意扫描随时找上门。

把域名托管到 Cloudflare 相当于给服务器加了保镖——隐藏真实 IP,免费自动配置 HTTPS 证书。操作流程:

  1. 进入 Cloudflare Domain,搜索 "Domains",点击「Onboard a domain」(注意不带 www 或 http://
  2. 选择 Free Plan,Cloudflare 自动扫描域名绑定情况
  3. 点击 Continue,直到出现两条 NS 记录(类似 xxxxx.ns.cloudflare.com
  4. 去腾讯云管理页面,点击「修改 DNS 服务器」,把 NS 记录改成 Cloudflare 提供的地址
  5. 解析成功后会收到邮件通知

Cloudflare Tunnel 内网穿透

这是整个方案里最优雅的部分。Cloudflare Tunnel 让服务器不需要开放任何公网端口(80、443 都不用),就能对外提供服务。防攻击、防风控、全自动加密,一步到位。

配置步骤:

  1. 进入 Cloudflare Zero Trust 页面,点击 Manage Tunnels → Add a Tunnel,取个名字
  2. 保存好生成的 Token
  3. 配置 Public Hostname:
    • Subdomain 留空
    • Domain 下拉选择你的域名
    • Path 保持为空
    • Type 选择 HTTP
    • URL 填 localhost:443(或跟随 Docker Compose 的 services name)

Docker 安装与 Sub2Api 部署

服务器上安装 Docker,然后配置 docker-compose.yml 文件,启动 Sub2Api 服务。

进入你的域名访问 Sub2Api 管理界面,依次完成:

  1. 数据库配置:根据 Neon PostgreSQL 的连接信息填写
  2. 缓存配置:根据 Upstash Redis 的连接信息填写
  3. 管理员邮箱配置:自行设置
  4. 完成 Sub2Api 安装

账号池搭建

Sub2Api 装好后,搭建账号池:

  1. 进入管理页面,创建分组
  2. 添加账号——点击生成链接,新开窗口登录 GPT 账号,将最终网址粘贴回输入框
  3. 账号链接测试,验证模型调用是否正常
  4. 生成账号池 API Key
  5. 进入用户管理,给当前账号充值额度

对接 OpenClaw、Codex、Claude Code

拿到 Sub2Api 生成的 API Key 和接口地址后,就可以作为 OpenAI 兼容的 API 端点,直接配置到 OpenClaw、Codex、Claude Code 等工具中使用。

整个方案的核心思路就一句话:用 Cloudflare 做安全层,用 Sub2Api 做账号池管理,用 Docker 做部署。总成本基本就是一台 VPS 加一个域名的钱,数据全程在自己手里,不再看中转站脸色。搭建过程中如果遇到 WARP 连接不上或 Tunnel 配置不生效的问题,大概率是地区选择不一致导致的延迟问题,优先排查这个。