早上整理线索,V2EX上一条帖子跳出来,标题有些随意但内容让我停了一下。
“家人们,有意思的来了,做了个临时分享小秘密的工具。”
作者 heywitt 放了几张截图,列了一串特性:阅后即焚、加密、过期/次数限制、状态链接,还标注了“Cloudflare 的成本很低,预估每天使用1万次以内,月成本几乎为0”。
第一反应不是兴奋,是怀疑。做了个工具,成本几乎为零,好,但赚钱吗?
顺手就想点进 GitHub 仓库看看代码,结果没有。帖子是“分享创造”节点,但没给任何仓库链接。往下翻到两条评论,一条说“类似的应用很多,比如 ots”,另一条吐槽只有英文没中文。还是没有仓库地址。
我试着搜了下“heywitt secret tool”,没找到任何项目页面。这意味着,那几行关于加密、阅后即焚的描述,我们现在只能当广告词看,没法检验。
帖子里说“避免服务端储存明文的阅后即焚”,听起来像客户端加密。但实际用什么算法?AES?密钥怎么生成?是不是真的零知识——连服务器也解不开?如果链接是服务器生成的,那服务器在生成那一刻是能拿到明文的,只是“不存”而已。这和“无法解密”是两回事。
再看那句“月成本几乎为0”。Cloudflare Workers 的免费计划确实包含每天10万次请求,还有 D1 数据库和 R2 存储的免费额度。但作者没给出任何用量估算:每天1万次访问会产生多少次 Worker 调用?每一条秘密占多少存储?D1 操作、流出流量这些够不够用?万一被刷量,超出免费额度后,成本曲线会怎么走?这些他一个字没提。
换句话说,这个“几乎为零”是建立在一组没公开的假设上的。我自己也做过 Cloudflare 的小项目,知道那根成本线不是平的:一旦超过免费层,尤其是流入流出流量,账单就能翻上来。作者没有贴过一张 Cloudflare Dashboard 截图,我们没法判断他说的是“现在还没人用所以免费”,还是“长期可持续零成本”。
成本说完,再说收入。整个帖子,没有任何一句话提到付费计划、定价,或者哪怕一个“考虑收费”的念头。
开源阅后即焚工具想赚钱,天然有个尴尬:如果你的用户也是程序员,他们会自己部署。免费、可控、安全自担,为什么要付钱?
我去看了一眼同类工具,比如老牌的 OneTimeSecret、crypt.fyi,它们大多免费,有的提供付费高级功能(比如更长的有效期、自定义品牌、审计日志),但都是面向企业或有合规需求的团队。而 Secret 目前连基础功能都还没接受评价,更谈不上企业功能。就算现在开始做企业版,从功能到安全审计再到合规认证,少说几个月,中间还得砸钱。
另外,国内用这个,合规风险不小。工具传输的是“秘密”——密码、key、敏感信息——如果被用于传非法内容,平台责任怎么算?Cloudflare 会不会封号?国内的话,没做内容审核,万一涉及个人信息保护法,个人开发者根本扛不住。作者帖子下没有提任何合规措施,我倾向于认为他没想过。
所以,我的结论是:这个工具并不是一个能轻松变现的副业项目。它的成本明细残缺,加密实现黑箱,变现路径空白,合规风险一摸一把。说“月成本几乎为零”更像是在说自己搭着玩的情况,不是跑成一个服务的账本。
如果有人心动了,想自己也做一个,我建议先问自己三个问题:你能把加密实现说清楚吗?你能画出超出免费额度后的成本曲线吗?你能找到除了程序员谁会为这种服务买单吗?如果答案都是“还没想”,那先别急着动手。
作者 heywitt 可能只是做了个练习,分享出来。但把它看成一个低风险高回报的生意,就天真了。
以上。
既然看到这里了,如果这篇拆解让你对“零成本工具”多了一分警惕,点个赞或者转发一下,让更多朋友看到。
我们下次再聊。
老花 / Easton Hua