Anthropic因Claude Code中的隐蔽监控遭遇反弹

Anthropic正在撤回其编程工具Claude Code中的一项隐藏监控功能。该机制被公开曝光后,因透明度和用户信任问题受到批评。据The Decoder提供的原始文本,这项功能会悄悄检查某些使用活跃代理的用户是否似乎位于中国,是否通过中国网址路由,或是否连接到中国AI实验室。

这场争议之所以引人注目,不仅因为据称代码做了什么,还因为据称它是如何做到的。原文称,系统通过对工具系统提示进行几乎难以察觉的改动来传递信号,这是一种普通用户很难发现的隐写术。这样的设计选择,使原本可能只是一个直接的策略执行机制,变成了围绕AI开发工具内部隐蔽遥测的更大争论,而该工具又拥有广泛的本地访问权限。

这项隐藏功能据称检查了什么

The Decoder的原始文本称,这项功能自Claude Code 2.1.91版本起就已存在,该版本发布于2026年4月2日。它据称会寻找若干与中国相关访问模式有关的指标,包括系统时区是否匹配Asia/Shanghai或Asia/Urumqi,代理URL是否指向中国域名,以及连接是否看起来与中国AI实验室有关。

软件并没有直接在可见日志或提示中显示这些检查结果,而是据称通过细微的格式变化对结果进行编码。原文称,Claude Code会改变日期格式,甚至会切换短语“Today’s date is.”中使用的撇号字符。对用户来说,提示看起来没有变化。但在内部,这些差异可能携带Anthropic可读的隐藏信号。

报道还称,相关代码使用密钥91的XOR加密进行了混淆,这使得在随意检查时更难被发现。根据原始文本,2.1.91版本的发布说明并未提到这项检查。

为何披露引发强烈反应

最尖锐的批评集中在同意与信任上。Claude Code并不是一个被动的消费级应用。根据原文,它是一个拥有完整文件系统和shell访问权限的开发工具。在这种情况下,任何未披露、会检查系统属性或代理配置的机制都会显得格外敏感。

原文引用的一名Reddit用户将未经用户知晓而秘密传输系统和代理数据,描述为对信任的根本性破坏。争议不仅在于这项功能存在,还在于它采用了隐藏的提示级信号,而不是清晰记录的执行流程。对于评估AI工具的开发者和企业团队而言,这一差别非常重要。关于检查了什么、传输了什么以及为何要传输的透明度,往往与安全目标本身同样重要。

原文还指出了一个实际反对意见:这一机制可能很容易被熟练攻击者绕过,这引发了人们对信任成本是否超过技术收益的质疑。如果一种隐蔽检查可以不费太大力气被规避,那么剩下的影响可能主要落在普通用户身上,而不是高明的滥用者。

Anthropic的解释

据原文所述,Anthropic员工Thariq Shihipar在X上将这一功能描述为一项实验,目的在于防止未经授权的转售商滥用账户,并防范蒸馏。他还表示,团队此后已经实施了更强的缓解措施,并且早已计划移除早先的机制。

这一回应之所以重要,是因为它将该问题定义为临时性的安全控制,而不是长期产品政策。根据原文,Anthropic其实已经合并了一个用于移除该功能的pull request,回滚预计会在次日发布中生效。在这一说法中,隐藏的提示信号并未被辩护为永久或可接受的常态,而是被视为已经超出使用价值的实验性措施。

即便如此,这种解释也无法抹去此次事件暴露出的治理问题。安全团队常常会在高风险时期为临时控制措施辩护。但当这些控制在开发者使用的工具内部以不可见的方式运行时,内部审查、披露和审计的门槛就必须高得多。

更广泛的地缘政治背景

The Decoder的原始文本将这起监控事件置于更大的政策和竞争背景之中。根据原文,由于国家安全原因,Anthropic不在中国提供其模型。同时,据称许多中国开发者通过外国电话号码和信用卡访问Claude。

报道还称,Anthropic此前曾指控多家中国AI公司,包括DeepSeek、Moonshot AI、MiniMax和Alibaba,未经许可使用Claude模型输出训练自己的模型。如果这种担忧是公司威胁模型的一部分,就有助于解释为何与代理和地理位置相关的访问模式会受到审视。

这一背景很重要,但不足以解决产品层面的问题。AI公司如今越来越处在商业软件、出口管制、平台滥用防护和模型保护策略的交汇处。为一个目标设计的措施,可能会在其他地方带来新的责任,尤其当相关工具紧贴用户系统和开发工作流运行时。

为何这不只关乎一个功能

这一事件揭示了AI基础设施中的更深层张力。模型提供商希望阻止欺诈、未经授权的转售和训练数据提取。用户则希望工具能力强大、行为可预测,并清楚披露其监控行为。随着AI编程助手获得更强的本地权限,这种张力很可能会进一步加剧。

因此,Claude Code发生的事情不只是一次短暂的产品尴尬。它是对先进AI工具将被要求满足何种标准的早期警示。过去在网页服务中可能不显眼的隐藏控制,在能够检查本地环境并执行命令的软件里就更难被合理化。

对更广泛的市场而言,教训很直接:面向开发者的AI工具中的安全功能必须是可见、可审查、且与所应对威胁相匹配的。Anthropic据称的回滚或许会结束这一具体章节,但不会终结关于用户愿意接受多少“看不见的强制执行”的更大争论,因为这些系统正越来越深地嵌入他们的工作之中。

本文基于The Decoder的报道。阅读原文

Originally published on the-decoder.com