xAI SuperGrok OAuth 推理发生 403 permission-denied 可能的原因

蹲在野区采灵芝 2026-07-12 13:14 1

xAI SuperGrok OAuth 推理接口 403 permission-denied 可能的原因(经佬友们提醒进行了编辑,不一定是这个问题,只能说通过这个问题可以简单检测一下是不是号死了


古有茄子哭马,今有群友哭Grok


背景


佬友们好,新人第一次发帖,有对社区规范制度有些许没能注意到的还望佬友们见谅,主要还是想跟佬友们一起看看一下最近Grok拉闸的问题,大悲,老马离我们而去了。本文插图皆使用AI生成,部分数据重叠我是在没辙了,赶着时间发出来的。这个markdown格式文本写了半天,看了看社区准则感觉应该是这么发的吧,如果有没遵守的地方还望始皇手下留情(


是这样的,最近在折腾用 SuperGrok 订阅的 OAuth token 做反代,把订阅额度暴露成 OpenAI 兼容接口,结果今天中午一起床天塌了,一百多个号调推理接口全返回这个错:


{"code":"permission-denied","error":"Access to the chat endpoint is denied. Please ensure you're using the correct credentials. If you believe this is a mistake, please log into console.x.ai and update the permissions, or contact support."}

错误信息本身有误导性,我通过实测 token 完全合法,一开始我还给号清理了用Oauth重新试了试认证,也试了试登陆到grok build这个产品,也是403,绝望了有点。查了好多社区的帖子,看到佬友们在社区里对这个问题众说纷纭(IP 风控、端点选错、token 失效……),所以我通过不受限的GLM-5.2做了个三账户对照实验,应该是可能是这个问题(其实我自己的反代里上百个号我觉得抽三个出来应该能验证明白了,还好GLM-5.2没有什么道德底线,狠狠的逆向这一块


简单的说一下,查了下说xAI 后端对 OAuth 推理面维护一个内部 allowlist(应该没记错),会拒绝部分账户的请求,即使订阅 active、配额充足。这是xai_oauth_tier_denied,上游 xAI 行为,重新登录、刷新 token、换 IP 都改变不了 tier 决定


hermes 官方文档对此的原文是:“re-login can’t change xAI’s tier decision”





排查过程


这一路走错了几次,不过还好是GLM走错的没浪费我多少时间,记录下来给后来佬友们避坑,佬友们要是能逆向出解决方案就真是太好了。






端点可访问性对照



前三行(只读端点)三列全绿,后三行(推理端点 + api.x.ai 只读面)出现明显分水岭——tier=1 两列全红、tier=4 一列全绿。推理可用性完全由 tier 决定,与账户是否"用过"无关(账户B 全新零用量同样被拒)。


tier 与配额、推理可用性



tier=4 账户不仅推理可用,月配额(20000)也高于 tier=1 账户(15000),说明 tier 字段背后是真实的订阅权益分层,不是随意赋值。两个 tier=1 账户配额相同却都同样被推理 gate 拒绝——排除了"用量触达上限"的猜测。


验证社区方案:linux.do 改 base_url 走 grok build 额度


我也参考了佬友的帖子(topic 2561769)说改 base_urlapi.x.ai/v1cli-chat-proxy.grok.com/v1 + 加 grok-pager header 就能解决。我严格复刻测了:


base_url: https://cli-chat-proxy.grok.com/v1
User-Agent: grok-pager/0.2.93 grok-shell/0.2.93 (linux; x86_64)
X-XAI-Token-Auth: xai-grok-cli
x-grok-client-identifier: grok-pager
x-grok-client-version: 0.2.93

两个 tier=1 号照样 403。


仔细读那个帖子才发现,它解决的其实是另一个层级的问题——计费池选择。帖子里的佬友推理本来就通,他们只是在纠结扣哪个池子的额度(api 额度贵、grok build 共享额度便宜)。而 tier=1 被 gate 的号,卡在更早的推理权益校验那一步,根本到不了"扣哪个额度"的阶段。改 base_url 和 header 改变不了 JWT 里的 tier 字段,所以救不了。




最新回复 (19)
  • 1011 07-12 13:19
    1

    厉害了,正价grok heavy用户试试这个方法能不能修好…

    没想到我正价也被杀了

  • 蹲在野区采灵芝 楼主 07-12 13:20
    2

    老大可以测测你的tier,让别的AI帮你做测试就好,我感觉是不是因为Google play刷免费订阅滥用了导致现在grok内部订阅全部都限制tier=1了,我用X premium +绑定附赠的订阅反倒正常,也有可能是老马vibe出幻觉了全部设置错了…总之不是什么好事,正价订阅也这样的话真得找他们客服投诉了

  • 版主 07-12 13:20
    3

    grok heavy



    grok heavy也用不了,那看来是官方问题了啊

  • Dew 07-12 13:21
    4

    虽然但是,佬,ai生成的内容不能发文字的哦,这么好的内容别被人举报了

  • 蹲在野区采灵芝 楼主 07-12 13:23
    5

    我是先AI生成了个大体内容,像是格式啊什么的,然后手动改了好多()

    第一次发帖不太懂,这样子也不能发成文字出来吗

  • Dew 07-12 13:25
    6

    只要没人举报就没事~我想晚点拜读一下你这篇,好怕一会你帖子没了^-^

  • codeshuai001 07-12 13:25
    7

    我勒个,佬,你分析的太详细了,拜读了好几遍

  • 蹲在野区采灵芝 楼主 07-12 13:27
    8

    因为我自己是干中转站的,很清楚这里不能宣传站点,但是我们站有很多神秘妙妙技术也想和大家分享一下,只是现在实在是AI写的太多都比我好了,有点头疼了佬友们 ^-^毕竟定位问题报告感觉这方面确实离不开AI分析了

    我看了下如果涉及纯AI或者AI润色的需要截图发出来

    hmmmm,那要不我全部转成截图图片?一个一个模块的发

  • 1011 07-12 13:28
    9

    我感觉这次是grok官方的锅啊,他娘的:


    可以解析,且已继续排查。


    你的问题与帖子是同一种 403 permission-denied 症状,但不是帖子中的 tier=1 情况:



    • 当前 OAuth JWT:tier=5,未过期,且包含 grok-cli:access。

    • 账号账单接口识别为 SuperGrok Heavy。

    • CLI 已是最新稳定版 0.2.93。

    • 服务端模型列表能返回 grok-4.5 与 grok-composer-2.5-fast。

    • 实测用 grok-4.5 发最小请求也返回同一 403;日志显示 grok-build 和 grok-4.5 均被 /v1/

      responses 拒绝。


    结论:不是备份配置、模型名、版本、token 过期、scope 缺失,也不是帖子所述低 tier 权

    益。是 xAI 服务端把你的账户识别为 Heavy/tier 5,却没有给该账户放行任何 Grok Build 推

    理端点,属于账户权益映射或服务端 allowlist 异常,本地无法修复。


    备份文件未改动。建议先手动执行一次:


    grok login --oauth


    重新授权后再测试。若仍 403,向 xAI 支持提交:账号显示 SuperGrok Heavy、JWT

    tier=5、grok-cli:access 存在、CLI 0.2.93 最新,但

    cli-chat-proxy.grok.com/v1/responses 对 grok-build 和 grok-4.5 均返回

    permission-denied。

  • 蹲在野区采灵芝 楼主 07-12 13:30
    10

    wc

    我X账户送的权益反倒能正常使用

    佬你是在grok build里面也没法使用对话吗?

    那要这样的话我感觉可以此帖终结了,应该就是老马vibe出幻觉的问题了,tier异常原本我做了很多次测试都只能作为唯一的解释,现在应该是跟这个无关了?

    还是L站社区好啊,一发帖大家一测试就知道啥情况了,现在就等老马睡醒了(

  • 1011 07-12 13:31
    11

    网页正常,正常生图生视频,就是grok build没法用,并且我只用grokbuild,没反代

  • vvanglro 07-12 13:31
    12

    ^-^ 佬 我把cpa xai free认证文件里的access_token 解出来的没有tier这个字段

  • niubiPlus1 07-12 13:31
    13

    gmail 邮箱正常用,我用的两个域名邮箱都用不了,关键不是邮箱吗?

  • 云树 07-12 13:32
    14

    完美命中

  • 蹲在野区采灵芝 楼主 07-12 13:32
    15

    我看群里也有说是域名邮箱的,我没有非域名邮箱的grok build没法测试(大悲

  • litohong 07-12 13:33
    16

    要不试试全部截图发?之前好像也看过全图的帖子,图片调整成合适比例看着也挺舒服的,还是很感谢佬友分享这些技术排查的~

  • 蹲在野区采灵芝 楼主 07-12 13:33
    17

    我也是,网页全部正常,就是build端点根本没法用

  • niubiPlus1 07-12 13:33
    18

    99 个域名邮箱全都报错,一个 gmail 鹤立鸡群 ^-^

  • 蹲在野区采灵芝 楼主 07-12 13:33
    19

    ok我重新排版一下,感谢佬们的提醒

* 帖子来源Linux.do
返回