自己部署的cpa，反代了codex, 反重力和gemini cli，但是平时主力模型是gpt-5.2，claude和gemini基本没怎么用。 
昨天早上openclaw给我发服务器早报的时候，发现cpa使用日志多了100多次claude-4.6-opus的调用，用了差不多600多万的tokens。但是我寻思自己最近一直没用过claude模型，于是开始调查，最后揪出来两个ip，先把ip给ban了。 
调查过程发现一个离谱的事情，我本来以为自己部署cpa的时候疏忽，监听0.0.0.0没关防火墙被人扫端口了，结果一看监听的是localhost，默认端口8317改了，防火墙锁了，还用了nginx配置子域名反代了，仅仅因为配了个简单的api_key: sk-123456，就被人扫到域名和api，偷偷跑了几百万的tokens！！于是赶快把api_key撤掉换了个复杂的。🫪 🫪 🫪 
所以提醒下各位佬...