一个AI工具被曝“偷偷识别用户”,普通职场人该警惕什么?
这两天,Claude Code 被曝出一个很细的争议。
简单说,有开发者逆向分析后认为,Claude Code 会在特定情况下读取本地时区、代理地址等信息,再通过系统提示词里几乎看不出来的字符变化,把某些用户特征带回服务端。
这里有两个词,普通职场人可能不熟。
一个叫「系统提示词」,英文是 system prompt。你可以理解为 AI 每次回答前,工具先偷偷塞给它的一段底层说明。
另一个叫「隐写术」,英文是 steganography。意思是把信息藏在看起来很正常的文字、图片或字符里。人眼看不出来,但机器能读出来。
我查了一下公开报道。
这件事最早来自 Reddit 用户 LegitMichel777 的逆向分析。The Decoder 在 2026 年 7 月 1 日报道,Anthropic 团队成员 Thariq Shihipar 把它解释为一个用于防止账号滥用和模型蒸馏的实验,并表示会回滚。WIRED 也在同一时期报道过 Anthropic 对中国区访问和代理服务的持续限制。

所以,今天这篇文章我不想写成「谁对谁错」的情绪文。
我更想聊一个普通职场人更应该关心的问题:
当我们把 AI 接进工作流以后,真正的风险,往往不是工具不好用,而是工具太好用了。

不是程序员的瓜
你可能会说,Claude Code 是程序员工具,我又不用它,跟我有什么关系?
关系很大。
因为 Claude Code 只是一个更明显的样本。
程序员用它写代码,所以它可能接触代码仓库、命令行、配置文件、环境变量。
但普通职场人用 AI,也一样会给出很多权限和信息。
你让 AI 帮你改方案,它看到的是项目背景、预算范围、实施计划。
你让 AI 帮你整理会议纪要,它看到的是参会人员、真实分歧、领导意见。
你让 AI 帮你分析表格,它看到的是客户名单、学生数据、业务指标、内部绩效。
这不是吓人。
这是我做信息系统建设和数据治理时,反复看到的一件事:
系统越好用,大家越容易忘记它背后有权限。
以前我们上一个业务系统,至少还会问:
谁能登录?
谁能看数据?
谁能导出?
谁能审批?
但现在很多人用 AI,是直接把材料拖进去。
没有分级。
没有脱敏。
没有留痕。
甚至没有想过,这个工具到底会不会保存、训练、转发、被第三方处理。
这才是我觉得最值得警惕的地方。
不是某一个工具出了问题。
而是我们正在把越来越多工作交给 AI,却还沿用「能用就行」的习惯。
AI提效前先划边界
我自己对 AI 的态度一直很明确。
能用,一定要用。
尤其是重复、琐碎、低技术含量的工作,AI 真的可以帮普通职场人省很多时间。
写材料、理数据、做方案、拆任务、查错别字、生成初稿,这些场景都很适合。
但有一个前提:
你要知道什么东西能给 AI,什么东西不能给。
这其实就是数据治理里的老问题,只是换到了 AI 场景里。
在单位里,我们常说数据要分类分级。
到了个人工作流里,也一样。
我建议你至少分成四类:

第一类,公开信息。
比如公开政策、官网资料、产品说明、公开文章。
这类内容给 AI 处理,风险相对低。
第二类,内部普通材料。
比如不涉及敏感信息的周报、方案结构、流程说明。
这类可以用 AI,但最好去掉单位名称、人名、具体金额、内部系统地址。
第三类,敏感业务数据。
比如客户信息、学生信息、员工信息、合同金额、真实账号、项目预算明细。
这类不要直接丢给公有 AI。
如果一定要处理,先脱敏,再抽样,再确认工具的数据政策。
第四类,高敏信息。
比如密码、密钥、源代码核心配置、未公开招标材料、个人隐私原始数据。
这类就不要图省事。
不要上传。
不要粘贴。
不要让 AI「顺手帮你看一下」。
你会发现,这套规则不复杂。
难的是,很多人根本没有在使用 AI 前停 10 秒。
明天就能做3件事
那具体怎么做?
我给一个很小的版本。
不需要你搞一套很大的制度。
就从自己的电脑和日常工作开始。
第一件事,建一张「AI 工具使用清单」。
不用复杂。
一个表格就够。
列四列:工具名称、用途、会上传什么资料、风险等级。
比如:
ChatGPT:写初稿,上传公开资料和脱敏材料,低到中风险 Kimi / 通义 / 豆包:总结文档,上传一般材料,中风险 某个浏览器插件:读取网页和剪贴板,高风险,谨慎使用 某个自动化工具:可操作本地文件,高风险,必须确认权限
你只要列完,就会突然发现:
原来自己已经把这么多工作入口交给 AI 了。
第二件事,给自己定一条脱敏规则。
我的建议是,凡是上传给外部 AI 的内容,先过一遍「四删」。
删姓名。
删电话。
删账号。
删具体金额和内部编号。
如果材料里有真实案例,可以改成「某项目」「某部门」「A系统」「B表格」。
别小看这个动作。
它不能解决所有问题,但能挡住很多低级风险。
第三件事,重要工作保留人工判断。
AI 可以帮你生成初稿,但不能替你负责。
尤其是三类内容:
对外发布的内容。
涉及钱和合同的内容。
涉及个人数据和组织决策的内容。
这些内容,AI 输出之后,必须人工复核。
不是因为 AI 一定会错。
而是因为出了问题,承担责任的人不是 AI。
是你。

真正的问题是信任
回到 Claude Code 这件事。
它最值得讨论的,不只是中国用户、封号、代理、隐写术这些技术细节。
更大的问题是:
当一个 AI 工具拥有越来越高的权限时,它必须有更高的透明度。
如果工具只是帮我改一句文案,我对它的容忍度会高一点。
但如果工具能读我的文件、跑我的命令、分析我的数据、接入我的工作系统,那要求就完全不一样了。
因为这类工具已经不是「聊天机器人」。
它更像一个临时同事。
甚至像一个外包人员。
那我们就不能只问:它聪不聪明?
还要问:
它看到了什么?
它记住了什么?
它把什么发出去了?
它出了问题谁负责?
这几个问题,才是未来每个职场人都绕不开的 AI 基础能力。
写在最后
我不建议大家因为一次争议,就回到不用 AI 的状态。
那不现实,也没有必要。
AI 仍然是普通职场人提高效率、减少重复劳动、放大个人能力的重要工具。
但我更不建议大家把 AI 当成一个完全无害的输入框。
你贴进去的,不只是文字。
可能还有你的工作上下文、业务判断、组织信息和个人数据。
真正成熟的 AI 使用方式,不是「什么都交给它」。
而是:
让 AI 做它擅长的事,同时把边界牢牢握在自己手里。
如果你也是普通职场人,正在学怎么把 AI 用到工作里,可以先从一个很小的动作开始。
今天就打开你的常用 AI 工具列表,给每个工具标一下:
它能看什么?
它不能看什么?
它有没有权限动你的文件?
这一步做完,你已经比很多人更安全,也更专业了。

参考来源:
数字生命卡兹克:《Anthropic偷偷在Claude Code中植入了隐形代码,只为识别中国用户。》 Reddit 用户 LegitMichel777:Anthropic embedded spyware in Claude Code — and attempted to hide it from you,2026-06-30 The Decoder:Hidden code in Claude Code secretly flagged Chinese users,2026-07-01 WIRED:How People in China Keep Outsmarting Anthropic’s Geolocation Restrictions,2026-06
夜雨聆风