出海 SaaS 第一年 12 个真实陷阱 · 200+ 客户教我们的事

TL;DR:做出海这件事,90% 的损失不来自你做错了什么,来自你没意识到要做什么。这篇是 200+ 客户经过的真实坑列表,按发生频率 + 单次损失金额排序。看完省 3-6 个月时间 + $5K-$30K 现金。

关于这份清单

我们不重复 12 个月路线图那种「按月该做什么」的内容。这篇是反向的 —— 「按月该不该做什么」。

按客户报错频率,从最高到最低:

#1 「等代码完美再上线」

频率:★★★★★(80% 客户)

症状:产品已经完成 80%,但创始人说「再迭代一个月」「这个 bug 修了再发」「界面再改改」。

真相:你其实在害怕收到第一个差评。完成度 80% 的产品 + 真实付费用户反馈,远好于完成度 95% 的产品 + 0 用户反馈。

对策:第 3 个月必须有真实付费客户。不达标砍功能而非延期。

#2 「美元订阅自己 / 朋友刷单」

频率:★★★★★(70% 客户初次接触 Stripe 时)

症状:刚开通 Stripe,想测试一笔订单,刷自己卡;或者第一周流水太低想拉一下数据,让朋友买。

真相:Stripe Risk 反欺诈系统对 self-funding 反应极快。新账户首 30 天:

• 自刷一笔 = 24 小时内冻账
• 朋友刷一笔(同一 IP / 同 email 域)= 一周内冻账
• 多次小额刷单(< $5)= Risk 直接标记 high-fraud

单次损失:$2K-$10K(账户冻结期资金锁,加申诉成本)

对策:第一笔真实订单 ≥ $50,来自真实客户的真实 IP。如果想做内测,用 Test Mode(完全免费,不影响 Live)。

#3 「业务说明乱写」

频率:★★★★★(60% Stripe 申请被拒原因)

症状:Stripe 注册时填「Tech company」/「AI tools」/「Software」,网站上写的又是另一套。Mercury 申请也写得很泛。

真相:业务说明的清晰度直接决定过审率。我们见过同样的业务,描述写得好的过审率 92%,写得糟的 35%。

差的:We are a tech company providing AI tools.

好的:

[Company name] is a SaaS company based in Wyoming, US, providing
AI-powered customer support automation tools to B2B SMBs in North
America and Europe.

Pricing: $49/month per agent seat, billed monthly. Average customer
buys 3 seats. Expected first-year revenue: $80,000-$150,000.

Refund policy: full refund within 14 days of purchase, prorated
after. Listed at https://yourdomain.com/refund.

Compliance: We do not handle restricted categories (adult, gambling,
firearms, crypto). All transactions are for legal SaaS services.

#4 「TOS / Privacy / Refund 没写或抄别人的」

频率:★★★★★(50% 网站合规审失败原因)

症状:网站只有产品页 + 价格,没有合规四件套(ToS / Privacy / Cookie / Refund)。或者网上找模板抄,改都不改名字。

真相:Stripe / Paddle / Mercury 的合规审会逐字读你的网站。抄别人的会被识别(他们见的网站太多了)。

单次损失:$0(直接拒,不计费),但时间成本 4-8 周补。

对策:

• 用 GetTerms.io / Iubenda 等正规模板生成器($10-30 一次)
• 关键字段(公司名 / 退款政策 / 适用法域)改成你的
• footer 要可访问,不能藏在二级页

#5 「DNS 切了 Cloudflare 但 Webhook 还走 IP」

频率:★★★★(40% 接 Stripe 订阅失败原因)

症状:Stripe Webhook 偶尔失败,看 Cloudflare 日志,有 403 / 521 错误。

真相:Cloudflare WAF 默认对 POST 请求做 Bot 检测。Stripe Webhook UA 字符串特殊,有时被识别为 Bot,直接拦截。

单次损失:订单数据丢失 / 订阅状态不同步 / 财务对账缺数据,月度对账多花 2-4 小时。

对策:

• 给 Webhook 单独子域名(webhooks.yourdomain.com)
• DNS 记录 Proxy Status 设为「DNS only」(灰云)
• 不走 Cloudflare CDN,直接到你 backend
• 别忘了 SSL(用 Let's Encrypt 自动签)

#6 「Webhook 没验证签名」

频率:★★★★(30% 早期 SaaS 中招)

症状:Stripe Webhook 接进来,直接读 body 创建订单。没检查 Stripe-Signature header。

真相:任何人都能伪造 POST 到你的 Webhook 端点,创建虚假订单。我们见过最 dramatic 的:某 SaaS 第一周收到 50 个虚假「订阅成功」通知,因为没验签直接给用户发了 license key。

单次损失:授权外发的 license / 订阅,追回成本 $5-50K。

对策:每个 Webhook endpoint 强制验签:

import Stripe from 'stripe';
const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);
 
export async function POST(req) {
  const sig = req.headers.get('stripe-signature');
  const body = await req.text(); // raw text, not JSON
  let event;
  try {
    event = stripe.webhooks.constructEvent(
      body, sig, process.env.STRIPE_WEBHOOK_SECRET
    );
  } catch (err) {
    return new Response('Invalid signature', { status: 400 });
  }
  // ... process event
}

#7 「Mercury 注册地址用了刚买的虚拟地址」

频率:★★★(25% Mercury 拒绝原因)

症状:Mercury 申请直接被拒,没明确原因。

真相:Mercury 的反欺诈系统检查注册地址的「年龄」。刚成立 < 30 天的虚拟地址 = 高风险信号。

单次损失:Mercury 申请 60 天冷静期 + 找其他银行户(Wise / Brex)的 1-2 周。

对策:用「老牌」注册代理(Northwest Registered Agent / Harvard Business Services 等),它们的地址有几十年历史。新地址 + 新 LLC 的「全新组合」必拒。

#8 「忘了报 Form 5472」

频率:★★★(美籍合规典型陷阱)

症状:你 100% 持有美国 LLC,第一年盈利 $0(产品还没起来),没报税。第二年 IRS 来信,罚 $25,000。

真相:外国人 100% 持有的美国 LLC 必须每年填 Form 5472 + Pro Forma 1120,即使收入为 0。这是申报义务不是缴税义务。

单次损失:$25,000 罚款(可减免到 $5K-10K,但律师费 $3-5K)

对策:第一次报税务必雇税务顾问($300-500),教你流程,之后自己报。4 月 15 日前报(可申请延期到 10 月)。

#9 「订阅没设 Dunning(扣款失败处理)」

频率:★★★(订阅类 SaaS 普遍踩)

症状:有客户的信用卡过期 / 余额不足,Stripe 第一次扣款失败。如果你的代码立即 cancel 订阅,这个客户就流失了。

真相:正常的扣款失败 50% 是临时问题(临时 hold / 余额不够 / 银行误判),客户会在 1-3 天内补足。

对策:Stripe Customer Portal 默认 Dunning 配置:

• 第 1 天扣款失败 → 邮件通知客户 + 1 天后重试
• 第 3 天再失败 → 邮件 + 5 天后重试
• 第 8 天再失败 → 邮件 + 7 天后最后一次
• 第 15 天还失败 → cancel + 通知客户「随时可恢复」

实测可降低被动流失 40%。

#10 「Stripe Tax 没装」

频率:★★★(美国 / 欧盟客户多的团队)

症状:做了一年,某天突然想起来「我应该交销售税吗?」。开始算 nexus,发现欠税 $20K+。

真相:美国部分州对 SaaS 征销售税(WA / OH / TX / IA / 等),欧盟对所有数字商品征 VAT。注册了 Stripe 但没装 Stripe Tax = 你直接对所有税务负责。

对策:

• Stripe Tax 装上(每月 $200 起,但 monitoring + auto-collect 包了)
• 大额客户(年付 $10K+)单独问律师 / 税务顾问
• 季度审计 Nexus,触发就注册当地税号

#11 「客户隐私数据放 Notion / Slack」

频率:★★★(B2B SaaS 普遍踩)

症状:把客户信息(姓名 / 邮箱 / 业务数据)粘到内部 Notion / Slack 讨论。第一次 SOC 2 / GDPR 审计直接挂掉。

真相:GDPR 第 32 条规定数据处理必须有「适当的技术和组织措施」。Notion / Slack 不是合规存储。首次违规罚款最高 €20M / 4% 全球年收入(取大者)。

对策:

• 客户数据只在 CRM(HubSpot / Pipedrive 等,合规版)+ 内部数据库
• 内部讨论用「customer ID 042」代替真实姓名
• 培训团队这条规则,新人入职第一周说清

#12 「报错监控用免费的 Sentry / Rollbar」

频率:★★(技术债类陷阱)

症状:免费版 Sentry 5K events / 月,你以为够。生产环境一个 buggy deploy 一小时撞掉额度,关键错误丢失,你不知道客户在出问题。

真相:免费监控适合 dev,不适合生产。月流水 > $5K 就值得付 $26/月 Sentry Team。

单次损失:错过 1 个生产 incident = 客户邮件投诉 / NPS 下降 / 订阅流失,人均损失客户 LTV $300-2000。

对策:生产监控的钱别省。Sentry / Datadog / Better Stack 任意一家 $30/月 起,远比丢一个客户便宜。

附:每月一审清单

我们的客户每月 1 号都过一遍这个清单:

Stripe Radar
  ☐ Dispute rate < 0.5%
  ☐ Chargeback rate < 0.5%
  ☐ 异常订单(>$1K 或 < $5)审一遍

财务
  ☐ Stripe ↔ 银行户对账(差额 < $50)
  ☐ 月度 P&L 看一眼
  ☐ Sales Tax 报表查 Nexus 状态

资产
  ☐ 域名 / SSL 30 天内到期项
  ☐ 服务器到期 / 升降配机会
  ☐ AI / 设计 / 工具订阅审一遍

合规
  ☐ 5472 截止日期(年度)
  ☐ EU VAT 季度报
  ☐ 客户数据存储位置审一遍

运营
  ☐ Customer Support tickets 趋势
  ☐ NPS / Churn 异动
  ☐ 上月最贵 / 最盈利的客户

15 分钟过一遍,12 个陷阱大部分能提前发现。

FAQ

Q:第一笔订单多少钱合适? A:$50-$200。Stripe Risk 看正常 SaaS 的中位订单是 $30-$80,你的第一笔订单太低(低于 $5)或太高(高于 $1K)都触发 review。

Q:Mercury / Brex 同时申请会被发现吗? A:不会。它们是独立公司,不共享数据。多家并申请反而提高最终成功率。

Q:Stripe 被冻结了第一时间该做什么? A:① 别恐慌别再充值 ② 截图所有订单 / 客户邮件作为证据 ③ 24 小时内提交申诉(Stripe Disputes 入口)④ 如果是新账户,等 5-10 天大概率自动解。

Q:零收入的 LLC 也要报税吗? A:必须报。Form 5472 + Pro Forma 1120 即使 $0 收入也要交。漏报 $25K 罚款。

Q:这 12 个陷阱哪个最贵? A:#8(Form 5472 罚款 $25K)和 #6(Webhook 没验签发 license)。两个都是「漏一次伤大」的类型。