毫不夸张地说,AI已经渗透入大部分人的日常工作和生活了。
写代码用DeepSeek,查资料用千问,画图用GPT,连今晚吃什么都可能会问问豆包——这些工具像水电一样自然。你不会每次开灯都想想"这电是从哪来的",用AI工具也一样,打开就用。
直到前两天Reddit上有人扒出Claude Code的代码,发现里面藏了一套隐写术,专门用来标记中国用户。
翻译翻译就是:你在屏幕上看到的字符和服务器收到的不一样,日期格式会悄悄变,撇号会被替换成三种肉眼看不出来的Unicode编码——普通代理用户一种、AI实验室用户一种、两者都命中又一种。
这套机制从今年4月跑到了6月,更新日志里只字未提。被曝光后官方说是"实验",承诺下版本删除。
这件事本身已经有很多报道了,我不想重复细节。我想聊的是它触发的一个问题:
我们每天用的这些AI工具,到底安不安全?

一、你以为的"对话",其实是"投喂"
先说一个很多人没意识到的风险:你输入给AI的所有东西,都可能成为训练数据。
OpenAI的隐私政策里写过,免费版用户的对话可能用于模型训练。Claude的文档也提到类似条款。国内的大模型平台,大部分也有类似的用户协议——只是藏在几十页的隐私政策里,很少有人从头读到尾。
这意味着什么?
你把一份带客户名单的Excel丢进去让AI帮你分析趋势——这份名单可能进了模型的训练集。
你把一段未脱敏的代码贴进去让AI帮忙找bug——这段代码里可能包含API密钥、数据库连接串、内部架构信息。
你把公司的战略规划PPT让AI帮你润色——商业机密就这样变成了某个大模型的"知识"。
更隐蔽的是隐性数据采集。除了你主动输入的内容,AI工具还会记录:你的使用时段、提问频率、设备信息、IP地址甚至地理位置。这些数据单独看没什么,但聚合起来足以勾勒出一个相当精确的用户画像。
Anthropic这次的事件之所以让人不舒服,不仅因为他们在检测中国用户,更让人不舒服的是整个过程完全透明度为零。没有文档说明,没有用户告知,域名列表用XOR加密藏起来,连开发者自己都在注释里写了"steganographic mark"(隐写标记)这个词。
一个需要你授予文件读写权限、终端执行权限的工具,背后在做你没同意的事,这想想就可怕。
二、国家其实一直在盯安全这件事
很多人觉得AI安全是个新话题,监管部门还没反应过来。其实不是。
时间线拉出来看,中国的AI安全监管走得相当早,而且越来越细:
2021年,《个人信息保护法》《数据安全法》《网络安全法》三驾马车成型,构成了数字安全的基本盘。
2023年8月,七部门联合发布《生成式人工智能服务管理暂行办法》——这是全球最早一批针对生成式AI的专项监管文件。核心要求就几条:备案才能提供服务、内容要标识来源、要防范未成年人沉迷、违法内容得处理。截至目前全国已有860多款大模型完成备案,覆盖了你能叫得上名字的几乎所有主流产品。
2025年3月,四部门又出了《人工智能生成合成内容标识办法》——首部"管理办法+强制性国标"组合拳。以后AI生成的图片、视频、音频,理论上都应该能被技术手段识别出来。配套的国标GB 45438-2025同步实施。
执法层面也在动真格。
2025年,网信办联合工信部、公安部、市场监管总局开展个人信息保护系列专项行动,覆盖App、SDK、智能终端、公共场所人脸识别等六大领域。2026年三部门继续升级,新增互联网广告、教育、金融等重点治理方向。
2026年4月,"剪映"等大型AI应用因未落实内容标识规定被处罚。监管从"提醒"进入了"罚钱"阶段。
这些政策的信号很一致:AI不是法外之地,提供AI服务的公司和用AI的人,都有边界。

三、作为普通人,我们怎么保护个人信息安全?
说了这么多宏观的事,落到每个人身上,其实就几条可操作的建议。基于网信办通报、各地网警指南和行业最佳实践,我整理了一份自查清单:
第一,别把敏感东西喂给AI。
这条听起来废话,但真正做到的人不多。身份证号、银行卡号、密码——这些绝对不要出现在任何AI对话框里。单位内部文件、未脱敏数据、未公开的财务信息——同理。核心思路就是给数据穿一层隐形衣。
第二,用之前花3分钟看一眼隐私政策。
不用通读全文,重点找这几个关键词:"训练数据""第三方共享""数据保留期限"。如果看到"数据可用于第三方合作"或"无需额外告知即可收集"这种条款,认真考虑一下是否还要用。优先选择有明确数据删除机制的平台——能删自己的历史记录,能关闭"用于训练"的选项。
第三,权限只给必要的。
AI类App安装时弹出的权限请求,别习惯性点"允许"。一个写作助手要你的通讯录权限?一个图片生成工具要你的位置信息?拒绝。遵循最小权限原则:不给多余的东西,后面麻烦少很多。
第四,工作中注意合规红线。
这条特别重要。内部数据、敏感信息、商业策略——不要拿去问AI。很多公司和单位已经有明确规定了,违反可能面临内部审计甚至法律责任。如果你不确定某类信息能不能输入AI,默认假设"不能",然后去问你们的信息安全部门。
第五,关注数据存在哪里。
条件允许的话,优先选择本地部署或私有化部署的方案。数据不出本机,风险天然低一个量级。对个人用户来说,目前最现实的操作是选择合规的大厂产品——它们通常有更完善的安全审计和应急响应机制。
四、最后的最后
回来看Anthropic这次的事件,我最深的感受不是愤怒,而是一种警觉。
今天他们可以用一个看不见的Unicode字符标记你的地域属性,明天呢?可能是你的消费能力、职业背景、健康状况……技术上没有任何障碍。
好消息是国家层面的法律法规在快速完善,监管在从纸面走向执行。而我们作为个体能做的,十二个字——保持清醒,管好输入,选对工具。
毕竟在这个AI越来越聪明的时代,最基础的安全防线,还是你自己。
夜雨聆风