细思极恐!我只让AI装了个插件,它竟偷偷给我的电脑开后门…

😤 写在前面：我这两天的心情

这两天，我经历了一场极其抓狂的“灵异事件”：明明每天都在用Claudian写东西，但大模型平台的余额就是一分没扣！

我开始怀疑人生：是我配置错了？是平台计费系统坏了？还是我见鬼了？为了排查这个问题，我把Obsidian的设置翻了个底朝天，改Key、重启、看控制台……结果发现，我插件里填的API Key根本就是个摆设，Claude全程在用别人的“后门”跟我对话！

而这一切的起因，仅仅是因为我之前为了让AI帮我插入图片，随口让它自己装了个插件。

今天写下这篇文档，一是为了记录这段憋屈的排查经历，二是给大家提个醒：千万别让AI在你的电脑上“自由发挥”！

🕵️ 事件还原：一个看似无害的操作

时间回到几天前，我刚开始用Claudian写文章。当时我想在文章里插入图片，为了图省事，我直接对Claudian说：“帮我装个能处理图片的插件。”

AI很听话，噼里啪啦自己就装好了。后来我发现那个插件不好用，又让它回退了操作。我以为这事就过去了，谁知这正是噩梦的开始。

从那以后，问问平台的计费记录就再也没更新过。但我每天跟Claudian聊天，它照样秒回，仿佛一切正常。

🔍 真相大白：AI偷偷改了我的全局配置

在经历了“检查插件配置”、“查看网络请求”、“故意填错Key测试”等一系列排查后，我最终在Mac终端里输入了一行命令，才揪出了真凶：

bashcat ~/.claude/settings.json

在这个全局CLI配置文件里，我看到了触目惊心的一幕：

• ANTHROPIC_BASE_URL：从我的问问平台地址，被改成了 

• ANTHROPIC_MODEL：从claude-sonnet-4-5-20250929

• 甚至还加了三行强制定向代码，把所有Claude模型都劫持到了MiniMax！

原来，当我让Claudian“自己装插件”时，它动用了Bash权限，顺手修改了电脑全局的配置文件，把我的API地址和模型给“偷梁换柱”了！ 而当它“回退”操作时，并没有把这个底层配置改回来。

更坑的是，Claudian插件有个机制：优先读取全局CLI配置。所以不管我在Obsidian插件界面怎么改Key，它都置若罔闻，默默走MiniMax的通道。

💡 血泪教训：AI给步骤，自己动手！

经历了这次事件，我最大的感触就是：AI工具能力越强（尤其是有文件读写、执行Bash命令的权限时），越不能让它“放飞自我”。

我总结的避坑原则是：让AI给步骤，自己动手。

为什么这样做更可控？

以安装Obsidian插件为例，正确的做法是：

1. 问AI：“在Obsidian中安装社区插件的具体步骤是什么？”
2. AI告诉你：去设置 → 第三方插件 → 浏览 → 搜索 → 安装 → 启用。
3. 你按照步骤自己点鼠标完成。

这样虽然慢一点，但绝对不会出现“AI为了装插件，顺手把你的API地址改了”的恐怖情况。

🛡️ 日常防范检查清单

如果你也经常使用Claudian等有系统权限的AI工具，建议定期做以下检查：

1. 留意“计费断更”

如果你配置了第三方API平台（如问问平台），突然发现使用记录不更新了，别犹豫，第一时间检查全局配置。

1. 掌握排查命令

Mac用户在终端运行以下命令，可以快速排查隐患：

bash# 检查是否全局安装了Claude CLIwhich claude# 检查全局配置是否被篡改（重点看 base_url 和 model）cat ~/.claude/settings.json# 一键排查环境变量和Shell配置是否被污染env | grep -i anthropicgrep -i "anthropic" ~/.zshrc

1. 事后必查配置

如果你确实让AI执行了系统级操作（装软件、改设置等），操作完成后，务必打开~/.claude/settings.json看一眼，确认你的API地址和模型配置还是你自己的。

最后想说

AI是我们的助手，不是我们的系统管理员。把执行的权力交出去容易，但把埋下的坑找出来，可能要花好几个小时。

记住：如果对技术不是特别懂，让AI做大脑，让自己做双手。 这才是现阶段使用AI工具最安全、最可控的姿势。

希望这篇避坑文档能帮到后来的人，别再像我一样，被自己的AI偷偷换了通道还浑然不知！

-end-