二维码骗局的真相：「免费」生成器是如何敲诈用户的

大约在 2015 年到今天之间，二维码从一个日本的新奇事物，变成了全球基础设施。它们被印在餐厅桌子、博物馆墙面、商品包装和税务表格上。地球上几乎每一部手机都能读取它们。

而围绕它们，悄然兴起了一个建立在一个不诚实前提上的行业：认为二维码应该有一个中间人。

本文解释二维码敲诈模式的机制：为什么它奏效，谁在其中获利，以及如何避免成为其数百万受害者之一。

典型套路

你在 Google 里搜「free QR code generator」。排名最高的网站界面看起来很友好。你粘贴一个 URL，调整颜色，看到一个好看的二维码出现。你点击「下载」。

接下来会发生三件事之一：

1. 要求你注册账户——「只是为了下载」
2. 告诉你免费版输出的是低分辨率或带水印的图片，「高级」下载要付费
3. 给你一个干净的文件——但没有提醒你，这个刚保存的二维码会经过生成器的服务器

第三种情况最阴险。用户离开网站，以为自己拥有一个能用的二维码。把它印在名片、餐单、活动指示牌、商品标签上。成千上万份进入流通。几周、几个月、有时几年里，这些码都能正常工作。

然后——某天，悄无声息地——它们失效了。因为那家公司判断该开始变现了。

二维码里到底装着什么

二维码是一堆黑白方块组成的图案，用来编码二进制数据。扫描器解码该图案，把结果交给操作系统，操作系统把它解释为 URL、文本、Wi-Fi 凭据或其他格式。

关键点在于：二维码本身就是数据。中间没有服务器，没有查询。一旦二维码被打印，任何人都无法修改它里面的内容。

一个指向 https://example.com/menu 的静态 URL 二维码，字面意义上包含这段 URL 的 ASCII 字节。无论谁在世界任何地方扫描它——永远地——都会被引导到这个 URL。没人能让它下线。没人能修改它。没人能追踪谁扫描了它。

这就是二维码被设计出来的方式，也是它成为通用基础设施的原因。

绕道

动态二维码打破了这一设计。它们不编码真正的 URL，而是编码一个指向服务商服务器的短链重定向——类似 https://short.qr-co/abc123。

扫描时，扫描器请求 short.qr-co/abc123。服务商的服务器在数据库里查找 abc123，找到真正的目的地，返回 HTTP 重定向。扫描器跟随重定向，最终到达真实页面。

从用户视角看——完全一样。从服务商视角看——是一座金矿：

• 每次扫描都生成一条服务器日志：时间戳、IP、user-agent，有时还有地理位置
• 目的地 URL 可以随时修改，不用重印
• 码可以被停用、删除，或被服务商作为人质
• 扫描数据可以转卖
• 最重要的：服务商可以收租

我们在 二维码重定向劫持 中详细剖析了其机制。

钱是怎么收的

动态二维码模型支持四种独立的变现策略：

订阅

只要你按月付费，码就能工作。停止付费，服务商就停用重定向——每一份印好的副本都变成废纸。这被明确当作功能卖（「跟踪扫描次数！随时编辑二维码！」），但生意的本质就是这种锁定效应。详细拆解见 二维码订阅陷阱。

试用与陷阱

免费用户得到一个「试用」动态二维码。它能用 14 天、30 天，有时更久。等它到期时，码已经流通出去了。要让它继续活着，现在得付费。悄无声息地，一个免费工具变成了持续支出。

下载付费墙

免费生成码。付费下载高分辨率。再付费去掉水印。再付费换 SVG。再付费用「高级」图案。这些没有一项反映真实成本——二维码就是一次 100 字节的计算——但每一个摩擦点都会把一部分用户转化为付费客户。

强制注册

二维码是免费而且静态的，但要下载就得注册账户。现在他们拿到了你的邮箱，产品随之转向追加销售邮件、培育潜在客户和周边服务。

这四种策略都依赖同一个把戏：用户不知道生成二维码几乎是免费的。大多数人假设既然收钱，总归有个理由。其实没有。

真实的损失

这不是假设。该模式产生可见的后果：

• 餐厅印在菜单上的二维码在服务商变更政策后突然失效
• 活动主办方手上留着一堆指向「已死」重定向的宣传物料
• 小公司名片在营销活动中途作废
• 非营利机构的捐赠二维码在订阅过期时崩溃
• 教堂、博物馆、学校——任何没有自己 IT 团队的机构——只剩一批没用的印刷品

多数情况下，受害者永远不理解发生了什么。他们以为二维码本来就脆弱，或是自己做错了什么。服务商的商业模式靠这种混淆活着。如果你的码失效了，读 你的二维码为什么不再工作。

为什么这种套路一直奏效

有几个因素让二维码敲诈格外有效：

「QR」这个词对大多数人是黑盒。 对普通用户来说，二维码就是一个神奇地打开链接的黑白小方块。他们不知道静态与动态之间有区别——生成器的界面从不说明。我们写了一份 完整对比 来弥补这一点。

损害是延迟的。 当动态二维码坏掉时，受害者通常已经忘了是哪家服务生成的。重新下载、重印、恢复——都很困难。

损害是无声的。 坏掉的二维码不会崩溃。它只是不工作——看起来像是普通的扫描问题。大多数用户会怪自己的手机。

搜索结果偏向掠夺者。 有收入的公司把钱花在 SEO、广告和内容农场上。诚实的静态二维码工具很少能排在它们之上。结果：搜索「free QR code generator」主要会落到默认动态的产品上。

如何识别掠夺性的二维码服务

在使用任何二维码生成器之前，检查这些信号：

1. 要求注册账户吗？ 静态生成器不需要——把 URL 编码成图案是纯粹的客户端计算。任何注册要求都是榨取方案。
2. 提供「跟踪」或「分析」功能吗？ 能统计扫描次数的功能证明码是动态的。静态二维码什么都追踪不了。
3. 有「套餐」或「订阅」吗？ 二维码编码几乎不花钱。订阅价格只在服务把你的码当作人质时才有意义。
4. 价格页面提到「到期」、「扫描上限」或「可编辑二维码」吗？ 这些都暗示服务商服务器上的动态码。
5. 预览 URL 看起来像 `qrco.de/xyz` 吗？ 那是重定向 URL——你正在生成动态码。
6. 网站上广告或追踪脚本很多吗？ 带监控的免费服务是在以别的方式榨取价值。

完整清单在 5 个生成器是陷阱的危险信号。

诚实的静态二维码是什么样的

静态生成器接收你的内容，直接把它编码进二维码图案，然后把文件交给你。就这样。没有重定向、没有跟踪、没有账户、没有订阅、没有有效期。

这个网站就是其中之一。一切都发生在你的浏览器里——我们的服务器从不接收你所编码的内容。你可以在浏览器的网络标签中验证：在这里生成二维码时，没有数据离开你的设备。

你也可以验证二维码里的内容。用我们的 扫描器 扫描任何在这里生成的二维码，确认解码出的内容与你输入的完全一致——没有包装 URL、没有短链、没有重定向。

我们为什么做这件事

我们厌倦了看到好心的人——小企业主、志愿者、艺术家、教师——掉进二维码骗局。那些声称在帮他们的工具，悄悄地收割着他们的数据、印刷预算以及未来的订阅费用。

于是我们做了相反的东西。

这个生成器是免费的，因为生成二维码就是免费的。我们不收钱，因为没什么可收的。我们不收集数据，因为没什么可收集的——你的二维码内容从不离开浏览器。我们不提供跟踪，因为跟踪意味着把你的二维码变成别人的资产。

我们的二维码是静态的。它们属于你。它们永远不会过期。它们无法被停用。即便我们的站点明天消失，每一个曾在这里生成的二维码都会继续工作。

你可以做什么

1. 绝不要用动态二维码做印刷材料。 如果重印很贵，静态是唯一安全的选择。
2. 如果你已经印了动态码，把它们当成短期货来对待。 预计它们会坏。把原始目的地留着，以便将来用静态码重新生成。
3. 告诉别人。 大多数非技术用户根本不知道有这种骗局。对静态与动态的简短解释能为他们省下多年订阅费。
4. 下一个二维码用静态的方式生成。 从我们的生成器开始：URL、Wi-Fi、vCard、邮件、电话 或 文本。

二维码是基础设施。它们理应表现得像基础设施——可预测、永久、属于创建它的人。

我们做了这个网站，至少让互联网的某个角落还有这样的二维码。