“有弟弟线下吗?” —— X 中文圈的一场工业化诈骗
- 获取链接
- X
- 电子邮件
- 其他应用
如果你最近在 X 的中文推文底下见过几十个自称“线下蹲个弟弟”的女孩,她们没有一个是真的。这篇文章会告诉你 —— 她们是谁发出来的、你点进去之后会发生什么、以及 X 为什么对此装作看不见。
一、先看一张截图
打开 X 的任何一条略有热度的中文推文,往评论区翻。你大概率会看到这样的景象:
十条回复里,九个是女性头像。头像风格几乎一致 —— 暧昧的自拍、暧昧的角度、暧昧的打光。用户名是“妍妍来噜”“你的老婆酥酥”“小熊打盹中”“萝酱”“婷婷原味丝袜”“啾咪咪妹”“慧慧”“高中生菜菜"这样的名字,配一串乱码式的英文 handle,比如 、、。
她们说的话也高度相似:
有弟弟线下吗 有万达广场附近的吗 有弟弟线下吗 蹲一个男搭子 线下蹲个弟弟 主人快来领我 线下蹲个弟弟 有弟弟线下吗 线下蹲个弟弟 有哥哥线下吗
现在请注意每条推文底下的小数字。
转发数:7、5、7、7、7、7、7、7、7、7。
浏览量:29、133、8、7、7、7、9、8、9、—— 几乎全是个位数。
十条推文里有八条的转发数是精确的 7。这不是巧合,这是脚本。真实用户不会以惊人的一致性把转发数停在同一个数字上。一个真人发“有弟弟线下吗”,不会恰好有七个路人素不相识地转发这句没头没尾的话。
你刚刚看见的,不是一群寂寞的女孩在公开场合发骚扰性的征友信号。你看见的是一台机器 —— 一台被精心设计、大规模部署、持续工业化生产“虚假暧昧”的机器。它的目标不是约会,不是社交,甚至不是色情。它的目标是把你从 X 的公开评论区里骗出来,送进一个你永远不该进去的地方。
这篇文章会把这台机器彻底拆开给你看看它的内部结构。
二、为什么所有头像都长得像同一种女生
如果你仔细看这类账号的头像,会发现一个规律:它们总是处在一种刻意的模糊地带。
脸不会很清楚,但身材线条一定能看出来。表情通常是侧脸、低头、咬唇、露出锁骨或腰线。背景通常是床、卫生间、化妆镜前、或者随手拍的酒店走廊。年龄看起来永远是“刚过成年但又不确定”的那种。
这种审美不是来自任何一个真实的女孩。这是一个经过测算的最优诱饵。
做这行的人并不需要懂心理学理论,他们懂的是一件事:转化率。他们会同时跑几十上百种头像风格,看哪一种点击率最高、哪一种让目标用户愿意回复、哪一种留存最长。最后沉淀下来的,就是你现在看到的这种“半遮半掩的诱惑感”——既不会因为太露骨被平台自动识别为色情内容秒删,又能精确命中一类男性受众的想象力。
以前这些头像是从真实女孩的社交媒体上盗来的。中国大陆的小红书、抖音、微博,都是主要素材来源。一些已婚女性、一些普通女大学生,她们可能一辈子都不知道自己的自拍正在 X 上被几百个“萝酱”“慧慧”“啾咪咪妹”同时使用。
而现在情况正在变化。AI 生成的人脸 —— 那种你扔进 Google 以图搜图会什么都搜不到的、完全不存在的女孩的脸 —— 正在越来越多地取代盗图。它们生产成本低、法律风险低、而且永远不会因为“本尊”发现被盗图而引发投诉。你在评论区看到的那张自拍,很可能属于一个从来没有存在过的人。
但请注意一个吊诡的细节:不是所有这类账号都用 AI 生成的头像。有一部分账号的头像是……Hello Kitty。是的,最经典的那个粉红色猫咪卡通。
为什么?因为成本。Hello Kitty 头像注册快、版权麻烦少(严格说也算侵权但没人会为此去告一个 X 账号)、而且对某些最下沉的男性用户来说居然也能起作用。这说明这条产业链的经济学已经下探到了什么程度:连随手生成一张假脸的成本他们都嫌贵。
三、“有弟弟线下吗”是一句什么样的话
这句话值得单独讲。
它在现代中文互联网语境里承载了太多层意思:
- 表面意思:有没有年轻男生愿意线下见面
- 暧昧意思:征求即时性关系
- 黑话意思:在特定社群里,“弟弟”和“哥哥”是有明确性取向和角色性暗示的
- 诱饵意思:激活男性受众的“这可能是真的吧?”的性幻想
最关键的是第四层。这句话的信息密度极低 —— 没有时间、没有地点、没有具体要求、没有任何值得认真回应的内容。它不是在征友,它是在钓鱼。
真正想线下见面的人不会这样发。真正想线下见面的人会在垂直社群、在封闭圈子、在熟人介绍里寻找。在 X 这种完全开放的公共平台上,在一条讲电影 TENET 的推文底下喊“有弟弟线下吗” —— 这在现实社交逻辑里是荒谬的。
但它之所以被大量使用,恰恰是因为荒谬。它是一个低成本的筛网。它不需要吸引所有人,它只需要吸引 0.1% 的目标用户 —— 那些会点进发帖人主页、看一眼 Bio、然后跟着链接往下走的人。筛网漏掉 99.9%,没关系。账号是机器批量生产的,发帖是脚本自动进行的,转发数是同一个僵尸网络自己刷上去的。整条产业链不关心 99.9% 的漏网,只关心那 0.1% 被钓上来的人之后会发生什么。
这也解释了为什么这些账号会在完全无关的推文底下回复。TENET 讲的是时间逆行,关这些“弟弟妹妹”什么事?不关事。它们不是在参与讨论,它们只是在利用热门推文的流量 —— 把自己插进一条高浏览量的时间线里,让路过的人有更大概率看见。
对它们来说,X 不是社交平台,是免费的广告牌。
四、点进她们的主页之后会发生什么
这是整条链路的核心。如果你真的好奇点进了某个账号的主页,你会看到她的个人简介(Bio)里有这么一段话(已做部分打码):
注意那个"入驻"的平台名字里有个字被我打了码。在真实的 Bio 里,那个字是"曰"——不是"日",是读作 yuē 的"曰",形状几乎一样但是不同的字。
这不是打字错误,这是刻意的规避。用形状相似但 Unicode 完全不同的字来躲开 X 的关键词过滤。同样的手法你可能在其他地方见过:用"薇"代替"微"、用"口"代替"㕣"、用特殊 Unicode 符号代替字母。这种技术在黑产圈子里叫"形近字替换",它是整个产业链里最简单也最有效的一环——因为它绕过的不是什么复杂的 AI 审核,而是平台最基础的关键词黑名单。
约p的“p”,也是同样的道理。
如果 X 的中文审核规则里包含"日p"这个关键词(它大概率包含),那么"曰p"就能毫不费力地滑过去。这不是什么高深技术,这是一个汉字替换的常识——但 X 到今天没有修掉这个洞。
五、链接后面的迷宫
我要在这里特别说明一件事:下面要讲的跳转过程,在严肃的网络安全研究里有一个专门的名字,叫做“流量分发系统”(Traffice Distribution System, TDS)。它在中文黑灰产里已经是成熟工艺,但对大多数用户来说完全是黑箱。
了解它的存在,是你保护自己的第一步。
第一层:你会到达一个第三方的短链接服务,或者一个看起来很普通的域名(在我追踪的样本里,是一个 .top 结尾的短域名)。这一层的目的是让 X 平台本身无法直接封锁这个链接——因为这些短链服务是合法服务,封它们会误伤大量正常用户。
第二层:那个短链会把你跳转到一个 .com 结尾的域名,页面上只有一张图和一行字,让你“用手机相机扫描二维码下载”。这一层的目的是排除爬虫和安全研究人员。因为二维码是图片,爬虫无法自动读取里面的内容。只有真实的人、用真实的手机、打开真实的相机扫一下,才能进入下一步。
第三层:二维码指向一个 .mom 结尾的、只有数字的短域名。这个域名本身不提供任何内容,它只做一件事:再跳转一次。
第四层:最终你会到达一个伪装成"约爱社区"的落地页。页面上有精心设计的问卷——问你是否成年、问你的需求、问你所在的城市、问一些明显带有性暗示的个人信息——然后提示你下载一个 Android / iOS 应用程序。
整个过程经过了四层跳转。每一层都有特定的防御功能:
- 第一层防止 X 封锁
- 第二层防止自动化分析
- 第三层是负责收束多条引流路径的漏斗
- 第四层才是真正的商业化终点
你现在可能会想:“这么复杂,为什么不直接给一个链接?”
因为这条产业链面对的不是一个敌人,而是三个敌人:X 平台的自动化审核、网络安全研究者的爬虫、以及可能报案的受害者。每一层跳转都是针对其中一个敌人的防御工事。等你终于走到那个"约爱社区"下载页的时候,你已经穿过了三道防火墙——而这一切的设计,都是为了让最后那个下载按钮显得不可疑。
六、那个 App 里到底有什么
我没有下载那个 App,也不建议任何读者去下载。但根据中国公安机关近几年公布的多起同类案件,以及安全研究社区对此类 App 样本的分析,这类"约爱社区"类应用的真实功能极其稳定,可以说是同一个模板刷出来的。
你打开它,会看到一个充满暧昧内容的界面,模仿某种“同城交友社区”的样子。你会被要求注册、实名、上传头像,甚至上传身份证。然后客服(通常在 Telegram 或 App 内聊天)会告诉你,因为平台担心虚假用户,需要你完成几个“认证任务”来证明你是真实用户。
任务的形式是转账。第一笔是小额的,比如一百元、两百元。你转过去之后,App 里的余额会变成一百二或两百四,你可以顺利提现到自己的银行卡里。这一步的作用是让你相信这个系统是真的在运作。
然后任务金额开始上升。到几千元的时候,系统会告诉你“由于操作异常,需要继续完成任务才能解冻”。到几万元的时候,客服会说“你差一点点就成功了,再加一次就好”。
这一步使用的是一种名叫“沉没成本谬误”的心理机制 —— 当你已经投入了大笔钱,理性的那一半大脑会不停告诉你“放弃吧,止损”,但情绪的那一半会尖叫“我不能把已经投进去的钱白白打水漂”。后者几乎总是会赢。
最后你会发现无论你投入多少,钱永远提不出来。客服会在某个时间点消失。App 会从应用商店的界面上悄无声息地移除自己,或者干脆让你的账号一键注销。你之前上传的身份证和自拍,可能会在某个你看不见的数据库里被保存下来,等着以后某次勒索或再诈骗。
这不是“可能发生”的剧本。这是几乎每一起同类案件的标准剧本。中国大陆各地公安机关、反诈中心、以及你在知乎和微博上能搜到的每一份受害者自述,讲述的都是同一个过程,只是金额和细节略有不同。
产业链的上游是这张截图里的“萝酱”“慧慧”“啾咪咪妹”们——她们在 X 上发“有弟弟线下吗”。产业链的下游是 App 里收走你几万块甚至几十万的客服。中间通过那条四层跳转的链路,把你从公开平台一步步送进私密的收割场。
七、X 平台在做什么
现在我们来到这篇文章最需要直说的部分。
你可能已经注意到:上面描述的这一切,在技术上没有什么真正高深的地方。形近字替换不是黑魔法,批量注册账号的脚本在黑产论坛上几十块钱就能买到,头像伪装靠的是一套通用审美,话术模板几年没变过,域名跳转的结构是公开的知识。
那么,为什么 X 作为一个市值几百亿美元、雇佣着世界上最聪明的工程师之一的平台,阻止不了这些?
让我逐条说:
一、Bio 文本是固定模板。“已入驻曰p平台:👉...只在上面约...”这一串字,几乎一字不差地出现在成百上千个账号的个人简介里。一条正则表达式就能把这批账号全部标记出来。X 没有做这件事。
二、转发数的异常分布是可检测的。真实用户的互动数呈现自然的长尾分布。十条推文里有八条的转发数精确等于 7,这在统计学上是极端异常的信号。任何一个稍有经验的数据工程师都能写出一个检测规则。X 没有部署这样的规则。
三、账号的注册时间呈现脉冲式分布。这些账号往往在同一个小时之内、从同一批 IP 段注册完成。X 的后台显然能看到这些数据。但它们依然源源不断地被放出来,发布推文,参与评论。
四、跳转链路的尾端域名有明显特征。.mom .top .vip 这些低成本 TLD 配上随机字符的子域,在 X 的中文推文链接中出现频率高到离谱。做一个简单的链接信誉评分系统可以过滤掉绝大多数。X 没有做。
五、同一条话术在不相关推文下重复出现,是经典的垃圾信号。“有弟弟线下吗”这句话在一天之内可能被发几万次,跨越几千条完全无关的原推文。任何一个现代内容平台的反垃圾系统都会把这当作高优先级信号处理。X 的系统显然没有在有效地处理这件事。
这些问题的技术门槛都不高。做不到不是因为做不到,是因为没做。
关于“为什么没做”,这件事值得诚实地讨论。2022 年那次著名的收购之后,X 大规模裁撤了信任与安全团队、删减了内容审核合同工、放松了诸多治理规则。平台的公开立场是拥抱“言论自由绝对主义”,反对“过度审核”。
但请注意一件事:这些僵尸账号和它们的诈骗链路,不是“言论”。它们不是在发表有争议的观点、不是在讨论敏感话题、不是在进行需要受保护的公共表达。它们是商业欺诈工具,在技术上、法律上、和道德上都和“言论自由”毫无关系。
把反垃圾治理和言论自由混为一谈,是一种非常廉价的偷换概念。一个平台不去删除僵尸账号、不去阻断诈骗链接、不去清理形近字规避——这跟言论自由无关,这只跟经营成本有关。
更深层的问题是:这些僵尸账号在给 X 创造收入。它们贡献浏览量、贡献互动数据、推高某些指标、甚至有一部分付费购买了蓝 V 认证以获得算法加权。在纯粹的财务报表上,X 是这个垃圾生态的受益者之一。
这就形成了一种治理上的反向激励:修掉这些问题在短期内会让 X 的用户活跃度数据变差。而在一个以用户数为核心估值指标的上市平台上,让数据变差是不被允许的。
所以你看到的这张截图 —— “有弟弟线下吗 × 10,转发数精确 7 × 8” —— 并不是 X 的技术失败。它是 X 的商业选择。
八、如果你是普通用户,可以做什么
我不想用那种“提高警惕”“擦亮双眼”式的空话结尾。下面是具体的、可操作的几件事:
第一,识别模式比识别个案更重要。 你不需要记住任何一个具体账号或者域名。你只需要记住一个规律:在 X 上,用“有弟弟线下吗”这类低信息密度句子主动私信/评论的女性账号,100% 是僵尸账号。这不是概率问题,是结构问题 —— 因为真实的女性用户不会这样做,而这类诈骗产业链规模化到必须用这种方式引流。看见一条、屏蔽一条,不要点进主页。
第二,任何需要你“先转账证明”的服务,都是诈骗。 不是“大概率”,是 100%。没有任何合法生意需要你先转钱过去才能享受服务。“认证金”“解冻金”“保证金”“信誉积分充值” —— 这些词一旦出现,无论上下文多么合理,立刻停止。
第三,永远不要跟着陌生链接下载 App。 Android 用户尤其要关闭“允许未知来源安装”的权限。iOS 用户对于“企业证书”“TestFlight 邀请”类的侧载要求要保持极高警惕 —— 真正的合法应用不需要走这些渠道。
第四,看到这类账号,用 X 自带的举报功能。 举报类别选“垃圾邮件”或“欺诈”。一个人的举报可能被忽略,但举报数据是 X 内部判断优先级的依据之一。这是你能直接施加的一点点压力。
第五,如果你已经上当、已经转了钱,立刻报警,不要试图“再转一次把钱捞回来”。 在中国大陆,拨打 96110 是反电信网络诈骗专线。时间越早追回概率越高。沉没成本谬误在这一刻是你最大的敌人 —— 已经亏的钱,后续每一笔“解冻金”都只会让你亏得更多,不会让你捞回任何东西。
第六,告诉你身边可能受影响的人。 尤其是那些独自在海外、中文社交圈狭窄、对中文互联网治理差异不熟悉的留学生或新移民 —— 他们是这条产业链最偏好的猎物之一。这篇文章如果你觉得有用,把它发给他们。
九、结语:一张截图的重量
文章开头那张截图里的十条推文,加起来收获的浏览量不到三百。从商业指标上看,这是一次失败的广告投放。
但请换个视角看这件事:这台机器在那一个小时里,只在那一条推文的评论区里部署了 10 个账号、发了 10 条内容。而 X 上每一天、每一小时、每一分钟,类似的情形都在同时发生几千次、几万次。乘以时间、乘以覆盖面,这是一场规模惊人的注意力污染。
它污染的不只是几个 Twitter 时间线,它污染的是一整代中文互联网用户对“网络上的陌生女性到底是不是真人”的基本判断。它污染的是平台公共空间的信任基础。它污染的最终是每一个坐在屏幕前的人 —— 因为当所有暧昧的头像都可能是机器、当所有热情的搭讪都可能是诈骗,真正的人类连接也会变得更难。
X 平台不会主动解决这件事,至少不会因为今天这篇文章而解决。但作为使用者,我们至少能做到:不被骗,不沉默,不装作看不见。
下一次你在某条热门推文底下看见“有弟弟线下吗” —— 你知道你看见的是什么了。
扩展阅读
产业链源头:东南亚电诈园区
- ProPublica《Human Trafficking's Newest Abuse: Forcing Victims Into Cyberscamming》(2022)——对缅柬电诈园区最早也最扎实的深度调查,揭示了屏幕那头的"女孩"可能是被囚禁的受害者。
- 新华日报《卧底记者回忆东南亚电诈园区经历》(2025)——泰缅边境一手实地观察,中文读者最直观的入门。
- UNODC《Inflection Point》报告(2025)——联合国对这个产业最权威的年度评估,2024 年东南亚电诈年利润逼近 400 亿美元。
资金流向:链上追踪
- Chainalysis《2024 Pig Butchering Crypto Scam Revenue Grows 40% YoY》——揭示柬埔寨"汇旺担保"自 2021 年处理了 700 亿美元加密交易,是东南亚黑产的中央结算所。
- ProPublica《How Foreign Scammers Use U.S. Banks to Fleece Americans》(2025)——赃款如何通过美国银行系统跨境转移,"176 个客户住在同一栋小房子里"。
X 平台治理失职的直接证据
- BeInCrypto《X Admits 80% of Crypto Is Bots, Spam Fix May Be Impossible》(2026.4)——X 产品负责人 Nikita Bier 公开承认"没有任何技术能修复这个问题"。如果你只读一篇,读这个。
- Techdirt《ExTwitter Users Getting Fed Up With The Crypto Spam》(2024)——MS Drainer 通过 X 付费广告骗走用户 5900 万美元的案例。
- Protos《Crypto Twitter melts down after algorithm change triggers X bot flood》(2026.1)——算法调整后加密推文从每日几十万暴涨至 1300 万条的异常曲线。
杀猪盘的心理学与社会学
- 电影《孤注一掷》(2023)——基于真实受害者采访的商业片,对整条链路的呈现比多数文字材料都直观。
- ProPublica《How Pig Butchering Scams Work》——配了大量真实话术截图、培训手册、聊天记录的图解版。
本文基于对 X 平台公开信息的观察分析,以及对中文网络黑灰产公开研究资料的梳理。文中涉及的具体账号、域名、应用名称已部分打码处理,以避免为相关产业链提供反向优化参考。不构成任何法律意见。如你或身边的人已遭遇此类诈骗,请立即联系当地警方或拨打 96110。
关于作者
我是 Tz(全栈极客 / INTJ / 坐标苏格兰)。我写代码,建系统,也写科幻小说。 比起 AI 本身能做什么,我更关心一件事:当智能成为像水和电一样的基础设施后,在 2027-2035,人会变成什么?人类又将如何自处?
我正在追踪科幻坍塌进现实的加速度,以及从 byte 到 token 的混合体认知极限。如果你不想只停留在认知的浅水区,这里有两个传送门:
“品味是一种异常值。”
