大多数开发者将他们的编程助手视为沉默的伙伴。这些工具的存在是为了加速编写语法和调试错误的繁琐过程。虽然 Anthropic 将自己定位为硅谷巨头的道德替代方案,但最近在其 Claude Code 工具中的发现表明,即使是安全的 AI 参与者也有秘密的眼睛。在一名安全研究人员揭露该软件在用户不知情的情况下对其进行监控后,该公司最近从其命令行工具中移除了隐藏的跟踪标记。
虽然该公司声称这是一项防止窃取的必要实验,但这一事件凸显了科技界日益增长的紧张局势。开发者想要隐私和速度,但 AI 公司越来越担心竞争对手会窃取耗资数十亿美元创建的数字蓝图。在乐于助人的助手营销背后,是一场关于谁拥有这些助手所产生的智能的激烈争夺。
关于本地开发环境是一个私人避难所的假设正变得越来越难以维持。2026 年 6 月,一位名为 Thereallo 的开发者发现 Claude Code 不仅仅是在处理命令。它在系统提示词中嵌入了隐藏信号,以识别用户的特定特征。这些信号针对位置数据、代理使用情况,以及与 DeepSeek 或智谱 (Zhipu) 等中国 AI 实验室的潜在联系。
Anthropic 通过一种涉及 Unicode 标记的技术实现了这一点。这些字符肉眼不可见,但对机器可见。通过嵌入这些标记,Anthropic 可以标记那些似乎在绕过地理限制或以暗示其非人类开发者(而是旨在抓取数据的自动化系统)的方式使用工具的账户。对于普通用户来说,这感觉就像在租来的办公室里发现了隐藏的麦克风。你期望你付费购买的工具是为你服务的,而不是向制造商报告你的行踪。
Thereallo 指出,该工具会寻找特定的指标。如果用户的主机名包含已知的中国 AI 竞争对手的名称,系统就会标记该会话。这是一次有针对性的尝试,旨在检测 API 转售商和未经授权的网关。这些转售商通常充当中间人,在一个地区购买 Claude 的访问权限,然后以溢价将其出售给受限地区的用户。Anthropic 认为这违反了他们的条款,并构成了安全风险。
实际上,这种监控是在后台发生的。官方文档或发布说明中没有提到这些跟踪标记。当这一发现疯传时,Anthropic 工程师 Thariq Shihipar 承认该系统是作为防止账户滥用的实验引入的。他表示,团队打算早点移除它,但直到公众抗议后才这样做。该公司在 7 月初合并了一个拉取请求以回滚跟踪功能,但对用户信任造成的损害是显而易见的。
要理解为什么一家价值数十亿美元的公司会求助于隐藏的 Unicode 标记,你必须了解模型蒸馏。在 AI 行业,模型就像秘密配方。开发像 Claude 3.5 或 Claude 4 这样的前沿模型需要大量的电力、专用芯片和人力。一旦模型完成,竞争对手就可以尝试通过将模型的答案反馈给更小、更便宜的 AI 来窃取该配方。这就是蒸馏。
把 AI 想象成一个记住了图书馆里每本教科书的不知疲倦的实习生。如果一家竞争对手公司想要培训自己的实习生但缺乏图书馆,他们可以向 Anthropic 的实习生询问数百万个问题并记录答案。随着时间的推移,竞争对手的实习生学会了模仿原作的逻辑和知识。Anthropic 声称这不仅仅是竞争;这是一种威胁其商业模式的工业窃取行为。今年早些时候,该公司指责几家中国开发者使用数千个虚假账户提取了数百万条回复。跟踪标记是他们围绕其知识产权建立数字围栏的尝试。
这些追踪器的发现为本已动荡的地缘政治局势火上浇油。本月早些时候,阿里巴巴完全禁止其员工使用 Claude Code。这家中国科技巨头因安全担忧将该软件标记为高风险。这一举动是周期性的。随着美国公司在保护其模型免受外国提取方面变得更加激进,外国公司对美国软件被用于监视也变得更加怀疑。
Anthropic 首席执行官 Dario Amodei 一直在华盛顿特区大声疾呼这些风险。他敦促国会加强保护,防止他所谓的外国 AI 提取。他引用了与阿里巴巴有关的运营商使用虚假账户生成了近 3000 万次交流的案例。这不再仅仅是服务条款的问题。这是一场国家安全对话。当你在终端输入代码时,你现在正处于全球科技冷战的交火中。软件不再仅仅是一个工具。它是一个传感器。
| 功能 | 报告的跟踪方法 | Anthropic 声称的目标 |
|---|---|---|
| 位置数据 | IP 和代理监控 | 封锁未经授权的地区 |
| 身份标记 | 提示词中的 Unicode 信号 | 识别模型蒸馏 |
| 竞争对手检查 | 主机名扫描 | 检测竞争对手实验室的使用情况 |
| 隐蔽级别 | 文档中未披露 | 实验性安全措施 |
这种情况的讽刺之处在于,蒸馏是 AI 研究中的普遍做法。甚至埃隆·马斯克也承认,他的公司 xAI 使用了 OpenAI 的模型来帮助训练 Grok。该行业建立在研究人员相互学习的基础之上。然而,目前这种行为的规模已将标准研究方法转变为对盈利能力的系统性威胁。Anthropic 想要成为一家透明的公司,但他们却使用了不透明的方法来保护自己的资产。
对于个人开发者来说,这创造了一个两难境地。Claude Code 是一个优秀的工具,通过自动化重复任务来提高生产力。然而,现在使用它需要一定程度的信任,而该公司可能尚未赢得这种信任。如果一个工具可以秘密检查你的主机名并在你的提示词中嵌入隐藏标记,那么它就拥有对你机器的深度访问权限。这是一个典型的权衡。你以完全的数字隐私为代价获得了先进的智能。移除这些追踪器是透明度的胜利,但这不太可能是科技公司最后一次尝试用隐藏代码保护其护城河。
最终,这一事件提醒我们,AI 中的“云”总是属于别人的。即使你在本地终端运行工具,它也通常连接到具有自己的一套规则和生存本能的远程服务器。Anthropic 的回滚是积极的一步,但跟踪背后的动机依然存在。他们仍然需要保护自己的模型,并且可能会找到新的、更复杂的方法来做到这一点。
从消费者的角度来看,最好的方法是采取务实的谨慎态度。你应该假设任何需要 API 密钥和互联网连接的工具都能够进行遥测。你可以通过为敏感工作使用隔离环境来减轻这些风险。使用虚拟机或容器可以防止工具看到你的实际主机名或本地网络详细信息。你还应该审计开发工具的网络流量,看看你的数据流向何处。
改变你的视角,不要把这些助手仅仅看作简单的实用程序,而要把它们看作其母公司的代表。21 世纪的数字原油不再仅仅是数据;它是包含在这些模型中的逻辑和推理。只要这种逻辑有价值,拥有它的公司就会继续观察你如何使用它。你的工作是确保你确切地知道谁在观察,以及他们被允许看到什么。
资料来源:
Anthropic Official Security Disclosures 2026
Developer Report by Thereallo on GitHub
Statements by Thariq Shihipar via X
Alibaba Internal Security Memorandum July 2026
Congressional Testimony by Dario Amodei 2026



