起底闲鱼-千问诈骗链：阿里全家桶如何沦为电诈“信任通道”

June 19, 2026

近日，表妹发消息告诉我，她在闲鱼上栽了跟头，买一台 Switch 2 被卷走 2300 元。我第一反应觉得有点荒诞——她母亲是个刑警，反诈教育居然没起作用，怎么还会中招？是买到了假货，还是被诱导跳过了平台私下转账？我倒要看看整件事到底怎么发生的。

等我用闲鱼扫了那张二维码，亲手把这条“受骗路径”走了一遍，就再也笑不出来了。如果不是事先知道这是钓鱼页面，我自己八成也会上钩。就连办案的民警在测试后也实话实说：要是没提前知情，他自己也难逃一劫。

总结下来，这其实是一张伪装的闲鱼商品分享二维码：用闲鱼扫码，先调起淘宝，再唤起支付宝，最终在支付宝内嵌浏览器里打开一个高仿的闲鱼页面，然后受害者就用支付宝顺畅地“完成了一笔闲鱼交易”。整个过程都在阿里系的 App 里流转——闲鱼、淘宝、支付宝层层递进；一路上看到的域名也全是合法可信的阿里域名，全程没有弹出任何外部链接风险提示。最终的钓鱼版闲鱼，就在支付宝内以假乱真地呈现出来。

我认为这里最关键的一个关节是：钓鱼站利用了通义千问的 CDN 域名当作掩体，借助支付宝对阿里系域名的白名单信任，成功绕过了支付宝自身的安全拦截。

阿里这些年谈得最多的一个词，是“赋能”。赋能商家，赋能行业，赋能千行百业。而这一次，官方 App 全家桶却“赋能”了一个诈骗团伙。我那表妹的 2300 块，以及其他受害者的钱，就顺着闲鱼、淘宝、支付宝、千问铺好的信任道路，被稳稳地接走了。

故事的起因与经过

事情并不复杂。表妹是在小红书上看到有人转卖二手 Switch 2，谈妥之后，对方发来一张看似闲鱼商品分享页的二维码。

她并不是毫无戒备。她专门去闲鱼搜了这个卖家，不仅找到了对应的账号，而且信用评级居然显示“极好”。于是她放下顾虑，用闲鱼 App 扫描了那张二维码。

扫码后，页面先经过淘宝短链和唤端跳转，再走支付宝路由，最后落在一个支付宝内嵌页面上——一个高度仿真的“闲鱼”界面。整套流程做得滴水不漏，而且自始至终没有弹出平时那种“非支付宝链接请注意”的提醒。

于是，她在那里付掉了 2300 元。

付完款，她看到收款方就感觉不对劲，回闲鱼一查，才发现上了当。她立刻给支付宝客服打电话，要求冻结、止付、把钱拦回来——客服只会打太极。她又去派出所报案，立了案，拿到了受案回执。

可即便把回执拍在客服面前，支付宝那边依然在扯皮，问题根本得不到解决。

而且，从警方了解到的情况看，被这套钓鱼系统骗到的人远不止表妹一个。这并非单一的个案，而是一条仍在持续运转、可复用的精密诈骗流水线。它不是一桩“二手交易纠纷”，而是一套“有组织的电信诈骗交易系统”。

失灵的安全信号

我们这代人所接受的反诈教育，大多建立在几条简单的信条上：别去陌生网站、认准官方 App、核对官方域名、看准 HTTPS、核实卖家、走平台担保交易别私下转账。这些规则没有错，可在这条链路里，它们被逐一绕开了。

入口不是赤裸裸的陌生链接，而是一张闲鱼风格的商品分享二维码。 或许有人会说，闲鱼不是早就提醒过“扫码跳出平台交易就是诈骗”吗？可骗子发的恰恰是一张闲鱼官方样式的分享卡片。把闲鱼链接分享到站外、再扫码打开，本来就是闲鱼自己提供的正常功能。更何况，表妹是用闲鱼 App 本身去扫的这张“闲鱼码”。

中途看到的是淘宝和支付宝，而不是一上来就跳转到粗制滥造的诈骗域名。 路径上出现的全是阿里官方应用，域名全是 taobao.com、alipay.com、qianwen.com，HTTPS 也齐全。对普通用户来说，这些本身就是再强不过的信任符号。

第三，那道本该弹出的“外部链接”提醒，这次完全没有出现。 现在几乎所有主流 App 在打开站外页面时都会弹出一句“该页面非本应用提供，请注意甄别”之类的警示——你在微信、支付宝、知乎里都领教过这种烦人却必要的拦截。可在这条阿里系 App 一路跳转的链路里，这道提醒始终缺席。恰恰是这种“一路绿灯、零告警、还落在支付宝 App 里”的顺畅体验，让受害者坚信一切都正常。

卖家信用也没能救她。 案发前能搜到“信用极好”的卖家，案发后蒸发得一干二净。那么，这些“信用极好”的账号，到底是怎么养出来的？

最常用的甩锅话术就是：“防骗意识太差，活该被骗”。可一个受过大学教育、熟练使用各种 AI 工具、认知常识和警觉性都在平均线以上的年轻人，全程在官方 App 里操作，看到的全是“安全信号”，最后却仍然被骗了。

在这条链路上，入口是闲鱼的商品分享页；唤端与跳转，靠的是淘宝短链和支付宝路由；钓鱼站的外壳，挂在通义千问的 CDN 上，展示在支付宝的浏览器里；付款，用的是支付宝。

入口、跳转、托管、支付、收款——一条诈骗链上，用户每一个会产生信任的环节，凭证几乎全部来自阿里。骗子几乎从头到尾没有亮出自己的真身，而是借了阿里的信誉，完成了一次教科书般的诈骗。普通用户看到的是官方 App、官方域名、HTTPS、支付宝付款，一路畅通，既没有提醒也没有阻拦，就在支付宝内部直达钓鱼站。

那么，普通消费者真的有能力识别这类骗术并成功避开吗？这些所谓的“安全信号”又真的还靠得住吗？

信任如何被出借

把这个闲鱼二维码解码，得到的是一个淘宝短链。完整的链路是这样走的：

第一个问题是：骗子为什么要兜这么一大圈？直接把最后那个 sunxxxxxx.top 钓鱼链接发给受害者，不是更省事吗？

因为发不出去。支付宝、微信这类 App 的内嵌浏览器，对陌生外部页面设有防线——你直接甩一个没见过的钓鱼域名进去，支付宝会弹窗，说这不是它的官方页面，提醒你谨慎访问，甚至建议你复制到外部浏览器打开。

这背后是一套域名白名单机制：白名单内的放行，名单外的弹窗。阿里、蚂蚁自家的域名理所当然在白名单里；而第三方商户若想去掉提示、在支付宝内被正常打开，就得专门到支付宝开放平台申请，将域名加入业务白名单[1]。

这道我们时常碰到的外链提醒，之所以在这条链路里全程缺席，最合理的技术解释是：每一跳停靠的都是阿里自己的可信域名，系统默认“自己人不防自己人”，那道本该拦住用户的提醒从头到尾都没触发。骗子绕这么一大圈，唯一的目的就是借阿里的域名当通行证，去骗过阿里自己的安全拦截。

这里最关键的一招是第五跳，即在支付宝内打开 workspace-zb-cdn.qianwen.com，这是通义千问的 CDN 域名。证书 subject 显示为“阿里巴巴（中国）网络技术有限公司”，天然位于信任域内。于是，支付宝看到的是“用户在访问我自己兄弟产品的域名”，提示逻辑判定“自己人不必防”，就这么默默放行。闲鱼信任淘宝，淘宝信任支付宝，支付宝信任千问，然后在千问 CDN 上放一个钓鱼页，防线由此被击穿。

这个千问页面并不是普通跳转：它启动了一个标题为“闲鱼”的壳页面，再用 JS 将一个 iframe 全屏加载到第三方钓鱼站上。这一步是整个骗局的技术枢纽——用户付款的那一刻，支付宝判断安全上下文依据的是外层白名单内的 qianwen.com，而 iframe 里真正加载的 sunaiqwq.top 却被全屏内容遮盖，地址栏看上去始终落在千问域名上。

顺便一提，这个诈骗域名 sunaiqwq.top 本身也是在阿里云注册的，DNS MX 记录还挂着腾讯云企业邮箱（mxbiz1.qq.com），真可谓大摇大摆。

这个钓鱼网站 HTML 又是怎么上传到“受信任的千问 CDN”里去的呢？我们无从得知，但不管它怎么进去的，事实是一个第三方的钓鱼壳页被托管在了千问的资源域名下，对外公开可访问，且在这条链路里没有受到任何内容审核的阻拦。

这简直是黑色幽默：阿里花重金造大模型产品、天天在发布会上喊“AI 赋能千行百业”的通义千问，这次确实一视同仁地赋能了电诈行业；它用自己的信誉，攻破了自己另一个产品的防线，左手递出一把刀，捅向了自己的右手。而这一刀的代价，落在被骗的普通用户身上。

为什么板子要打在平台身上

入口是闲鱼的商品分享页；唤端与跳转靠淘宝短链和支付宝路由；钓鱼壳页挂在千问 CDN 上，呈现在支付宝浏览器里；付款走支付宝。用户在这条链路里产生信任的每一个关键节点，凭证几乎全部来自同一个生态。骗子从头到尾几乎没有动用自己真实的身份，而是借这个生态的信誉，完成了一次教科书般的诈骗。

扫码那一跳。 闲鱼为什么要做“扫码打开商品分享卡”这个功能？因为它想让闲鱼的链接能分享到站外，再扫码扫回来——这是为了拉新和导流而主动加的能力。可问题是，当这张伪造的自家二维码扫出来的内容根本不是闲鱼自己的商品页时，闲鱼为什么仍然往下放行、一脚把人送进淘宝？答案很简单：因为后面跟的是淘宝，自家的。

支付那一跳，正是整条链的命门。 支付宝凭什么放行假闲鱼钓鱼站？因为它看到的是 qianwen.com，自家兄弟，免检。闲鱼信任淘宝，淘宝信任支付宝，支付宝信任千问，谁也不会去防范自己的兄弟。这种内部信任的互通，本来是效率，是阿里引以为傲的“生态”。然而，当一个超大型平台生态内部的可信域、短链、唤端、支付、云资源缺少验证和跨产品风控时，就很容易变成诈骗团伙“洗白信任”的通道。当其中任何一个环节被借用、被攻破，这份互通的信任就成了一条不设防的高速公路：骗子从任何一个入口开进来，就一路畅行无阻，直抵用户的钱包。

有人可能会替平台辩护：内置浏览器有域名白名单，有 DeepLink，微信、字节也都是这样，“内部域名互信”是移动互联网的通行做法。没错。可普通的互信最多也就是效率问题；当一个支付 App、一个交易平台、一套短链系统、一片 AI/CDN 资源域、一整套商户收款体系全部收在同一个生态里时，互信就不再只是效率工具，而是系统性风险。正因为这个生态几乎能凑齐整条链路的所有关键拼图，链路上每个产品所共享的那份信任，就负有比单个普通网站更高的注意义务。

退一步看，这条链路暴露的从来不是“某处忘了加一道校验”——那是漏洞，是疏忽，连夜就能修补。真正的问题，是一种刻在架构默认值里的立场：自己人，免检。 淘宝看到自家签名就放行，支付宝看到自家域名就放行，反正都是自家的东西——谁会防着自己的兄弟？平时，这叫作生态协同，效率极高；可一旦有人从某个被信任的环节钻进来，整条链就一路绿灯，因为它从设计上就没打算防自己人。这也是“草台理论”的又一次印证：很多看起来固若金汤的系统，拆开来看，里面不过就是“兄弟站一律放行”这类粗糙实现。

说到底，是这个生态一边把浏览器塞进支付宝、希望它无所不能，一边又让内部彼此免检——前者开了门，后者拆了锁。它用自己一个产品的信誉，攻破了另一个产品的防线：左手的刀，捅向右手。同一套内部信任机制，在正常业务里是护城河、是效率；被人借用时，就变成了不设防的高速公路——同一套设计，两副面孔。

最危险的信任，从来不是“用户太相信骗子”，而是“系统太相信自己人”；骗子真正借走的，也不是某一个孤立的域名或漏洞，而是这个生态多年积攒下来的那份“安全感”。

漏洞，是某个零件坏了；而把一整套现成的能力、低门槛地交到别人手里，让他不必自己造轮子就能办成事——那是另一回事。这条链路上的每一跳，都不是坏掉的零件，而是被做出来、并且对自己人敞开的产品能力。它们不是 bug，是 feature。

这不是问题第一次被提出

如果这是漏洞、是 bug，之前并不知情，那修好便是。但它并不新鲜。

早在 2023 年，蓝点网就写过《支付宝内置浏览器被用于诈骗，在闲鱼交易时请勿扫码[2]》；2025 年，又有人在 V2EX 上公开复现了“阿里云 OSS 域名用于诈骗网站[3]”这套手法，明确指出它能绕过支付宝、淘宝内置浏览器的域名白名单。到了 2026 年，Innora AI 安全研究团队又公开披露了支付宝 DeepLink 与 WebView 白名单绕过的风险，指出支付宝自有域名上的开放重定向可以将外部页面送进受信任的 WebView，官方却回复说“这是正常功能特性，不是漏洞”。

https://linux.do/t/topic/1746089/26

这些公开材料和社区复现，并不能直接证明本案的每一跳都与它们完全同源；但它们足以说明：同一个根子上的风险，早就被不同的人、在不同时间、以不同形式反复点过名。 一次，可以叫意外；反复被指出来后依然原地不动，就很难再用“不知道”来解释。我不会说平台明知故纵——但“被反复提醒，却迟迟没把门关上”，这件事本身就说明了不少问题。

更何况，这些并不只是道义层面的要求。《反电信网络诈骗法》第二十一条把互联网域名注册、服务器托管、空间租用、云服务、内容分发服务纳入实名核验范围；第二十四条要求提供域名解析、域名跳转、网址链接转换服务的主体核验信息真实准确、规范域名跳转、留存日志并支持溯源；第二十五条第二款则进一步要求，对网络资源服务、推广服务、网站/App 技术制作维护服务、支付结算服务被用于涉诈支持帮助的情形，履行合理注意义务，进行监测识别和处置。

我只想指出一个事实：“合理注意义务”这六个字，是写进法律里的。这些事——短链递归校验、资源域限制危险内容、支付前核对真实收款方与订单来源——是脏活累活、成本项，不性感、不增长、不好看进财报。但今天在这上面省下的每一分，都不是真省了，只是被转移了出去：记在我表妹，以及每一个因此对“这套支付体系到底还安不安全”产生信任降级的人头上。

亡羊补牢，时犹未晚

表妹那 2300 块钱，我觉得通过支付宝是肯定追不回来了。但公开一个被骗的案例，至少可以提醒更多人别上同样的当，引以为鉴。也能督促平台正视一个事实：它的身份、基础设施和信任关系，正在被诈骗团伙借去作恶。

一个好消息是，那条链路的后端正在一截截死去。本来我昨天（2026-06-14）写完这篇准备发出，警察让我先不要发，免得打草惊蛇，等他们收网了再发。今天早上就听到湖南警方已经部分破获此诈骗团伙。

诈骗网站服务器已经下线关停，听说涉案数据库里受害者近千人。她从来不是一桩孤立的个案，而是一份名单上的一个条目；那条流水线上，还排着很多个“她”。

但真正吊诡的是：截至此刻，那个假闲鱼钓鱼页本身，还能在支付宝的浏览器里打开——靠的是千问 CDN 上的缓存。因为被拔掉的，只是骗子自己那台服务器；而把用户一路送到它面前的那条信任链，到现在，一颗螺丝都没动过。

杀死这条链路后端的，不是平台的封控与安全，而是警方的行动。可警方能端掉一个团伙，端不掉一条产品链路；一个源站可以封停，一个团伙可以收网，但只要“自己人免检”的逻辑不改，下一条链路只需要换个壳、换个域名、换个受害者。

“让天下没有难做的生意”是很好的使命。但当平台的信任开始被人借去行骗，而那扇本该关上的门迟迟没关上——至少从用户能看到的结果看，它离自己的初心，是越走越远了。

声明：本文所述跳转链路、域名、证书与归属信息均可通过公开方式独立核验；文中案情相关信息等表述以办案机关掌握情况与最终公告为准；请注意区分观点与事实，对阿里相关主体的评价限于“基础设施被滥用、未尽防控义务”的过失层面，不涉及主观故意的指控。本文为便于叙述使用“阿里系”“阿里生态”等表述，指用户在链路中看到或接触到的闲鱼、淘宝、支付宝、通义千问、阿里云等产品和服务所形成的生态信任关系，并不主张上述产品必然属于同一法律责任主体。

References

[1] 得专门到支付宝开放平台申请，把域名加进业务白名单: https://opendocs.alipay.com/mini/component-ext
[2] 支付宝内置浏览器被用于诈骗，在闲鱼交易时请勿扫码: https://www.landian.news/archives/98586.html
[3] 阿里云 OSS 域名用于诈骗网站: https://v2ex.com/t/1137419