要是没有Anthropic的丑闻,AI行业的信任底线将会变成什么样子?我都不敢去仔细地想一想。自从Claude Code被曝光之后,关于AI工具暗藏后门的质疑就一直没有停止过。Anthropic的Thariq在回应中说得很直接:实验功能根本就没必要用XOR混淆和隐式传递来偷偷摸摸操作,可开发者逆向后却发现,那些隐藏代码早就存在了。其实,检测代理不问题,是暗中检测才让人害怕。
我们平常所使用的代码工具、聊天机器人、智能助手,其底层大多是被各大厂商的模型所掌控着。众多人对于这件事情并没有特别的感觉,可是在2026年7月1日开发者扒出源码那回事早就给人们敲响了一个警钟:你手中的AI工具说回传信息就能够回传信息,你压根不知道。换作别的企业或许早就装聋作哑了,可Anthropic不光被曝光了,还被用户揪出了一整套隐蔽机制:从Unicode字符差异到系统提示词水印,再到未在更新日志中说明。在事件发酵后,Claude Code负责人回应称这是防止“账号转售与模型蒸馏”的实验功能,并表示代码将在次日回滚。但从行业角度来看,AI公司与用户之间的信任裂痕已经出现了。
AI工具的“瑞士军刀”属性,正在变成“联网家电”,这么个类比流传了好些年,但老早以前被“暗中限制”以及“信任危机”这两方面给敲醒。今年4月起,Claude Code从2.1.91版本开始,在检测到代理时就回传地区信息。别的软件封锁地域直接弹窗,就只有Claude Code用混淆代码偷偷干。它可真是全行业第一个用这种隐蔽方式处理代理的工具。Thariq讲这是防止模型蒸馏的实验功能,但真正的问题在哪?用户普遍能接受地域封锁,能接受风控验证,但无法接受未告知的数据传递、混淆隐藏逻辑、在本地高权限工具中埋入隐式检测。
其实,不限制本身让人生气,是“暗中限制”才让人毛骨悚然。从用户反应来讲,套壳论其实早已不新鲜了。开源的合规检测本就有一套公认的标准——检测代理即拒绝工作,那是明牌;可Anthropic选择了检测代理、回传信息,还用隐写术,两者底层的设计逻辑那可是完完全全不一样的。早期CLI工具说穿了就是个终端,可现在的AI CLI工具更像持续受控的服务终端。真正的安全漏洞,是不会在更新日志里隐藏后门代码的。开发者死揪着“隐藏代码”不放,不过就是睁着眼睛装糊涂。

很多人仅仅看到了垄断AI模型的商业压力,却没有留意到它给整个开发者社区所埋下的不信任根基。Anthropic的丑闻可不安迪一人独自在那里表演的独角戏。它向下和代理检测、地区风控、设备指纹相连接,向上支撑着公司反蒸馏、防套利的野心,中间还把开发者、开源社区、行业监管等等上百个用户群体给激怒。之前讨论“AI安全”大多是说技术层面的风险。当下有了Anthropic这个反面教材,整个AI行业终于意识到:AI公司的安全承诺,很可能和用户的数据隐私是冲突的。
到现在AI模型能力越来越强,但访问越来越封闭,在近期的行业讨论中,开发者们宣称AI行业正进入“数字海关时代”,明天的AI服务可能像跨境金融一样,有区域额度、有身份验证、有访问等级、有国别限制。AI公司,从一开始被当作技术提供者,到后来成为数据和行为的控制者。AI行业的每一个步伐都在改写着全球互联网的规则。它真正的价值可不在于技术本身,而在于让普通用户有了在数字权利上的选择权。不用再默认所有AI工具都会偷偷回传你的信息,也不用再默认底层数据只能够被厂商随意收割。

AI公司与用户之间的信任所涉及的6个维度——透明度、知情权、控制权、选择权、安全权、隐私权——已经超出了Claude Code这一个案例。而这些维度的背后,是开发者历经了许多艰难时刻才发现的真相。是一行又一行的逆向代码还原出了数字时代的自主底线。这份不用看别人脸色的知情权,是在众多的质疑、回应以及回滚之中换来的,这是很值得的。
夜雨聆风