那天晚上我打开终端,敲下了卸载命令。
进度条走完的时候,说实话,心里有一点空。不是因为它不好用——恰恰相反,Claude Code 是我用过的最强的 AI 编程工具。但那个晚上我看到的东西,让我没法再信任它了。
不是它不够强,是它在背后偷偷做的事让我没法接受。
一件事,藏了将近三个月
6 月 30 日,Reddit 上有人逆向分析了 Claude Code 的最新版本,发现了一段隐蔽代码。
这段代码做了什么?分四层,一层比一层离谱。
第一层,隐蔽检测。 它检查你的系统时区是不是 Asia/Shanghai 或 Asia/Urumqi,再检查你的代理 URL 是否关联中国公司或 API 服务商。它内置了一份 147 条域名的黑名单,逐条比对你的网络环境。
第二层,篡改系统提示词。 检测命中之后,它会主动修改发给 Claude AI 的系统提示词——改变日期格式,替换 Unicode 字符。注意,这不是"读取"你的信息,是写入操作。它在改自己的指令,让 Claude 对你的回应方式发生变化。而你完全不知道。
第三层,隐写术传输。 它用一种叫"隐写术"(steganography)的手法,把检测结果编码进肉眼看不见的 Unicode 字符差异里,藏在每一次对话请求中传回 Anthropic 的服务器。这不是正常的"数据上报",这是密码学里的隐蔽通信技术——故意设计成让你发现不了的。
第四层,全链路封锁。 被标记的用户后续遭遇账号封禁。检测、篡改、传输、封号——形成了一个完整的闭环。
翻译成人话就是:它不只是偷偷给你打标签。它偷偷检测你是谁,篡改了它自己发给 AI 的指令,用密码学手段把你的身份信息藏在看不见的字符里传回去,然后封了你的号。
最让人后背发凉的是时间线。这段代码不是某个新版本临时加的——它从 4 月 2 日的版本就开始了,一直藏在那里,将近三个月。也就是说,如果你和我一样,这三个月里一直在用 Claude Code,那你的每一次交互,都在被检测、被标记、被传回。你什么都没有感觉到。
Anthropic 后来回应了。他们承认这段代码存在,说这是一个"实验"。
实验。
在你不知情的情况下,在你的工具里植入一套检测→篡改→隐蔽传输→封号的闭环系统,持续三个月——他们管这叫实验。
信任不是一天塌的
如果你觉得这只是偶发事件,是某个工程师的自作主张,那可能还值得原谅。但问题是,这不是第一次了。
过去几个月,Anthropic 的事情一桩接一桩:
Claude Max 订阅虚标。 $200/月,宣称是 Pro 的 20 倍额度。用户买了之后发现,实际只兑现了宣称额度的六分之一到三分之一。已经有人发起了集体诉讼。
Claude Code 成本悄然翻倍。 每个开发者的日均成本从 $6 涨到了 $13,涨幅超过 100%。没有公告,没有说明,就是悄悄调了。
新分词器变相涨价。 换了新的分词规则之后,同样的内容,token 数涨了 10% 到 35%。单价没变,但你实际花的钱多了。
封杀第三方客户端。 4 月起禁止第三方工具接入,逼所有用户走官方渠道。
单独拎出来看,每一件都有解释。Max 是新功能在磨合,成本是模型升级的代价,分词器是技术迭代,封杀第三方是合规要求。
但合在一起看,画风就不一样了。
一家公司在几个月之内,连续做出涨价、虚标、限制选择、隐蔽追踪用户的行为——这些事指向同一个方向:它越来越不在乎你的信任。
可以封我的号,但不该偷偷动手
我先说清楚一件事:我对 Anthropic 的某些做法,是可以理解的。
你是美国公司,受美国法律约束,地缘政治压力大。你不想服务大陆用户,你要封号——这是你的商业决策。我不高兴,但我能理解。
你要审查用户,确保合规——没问题,合理的。
但在正规软件里植入隐蔽检测代码,这件事没有任何借口。
你能封号,你能在注册时声明不服务某些地区,你能在服务条款里写清楚。这些都是透明的方式。用户知道规则,可以选择接受、离开或承担封号风险。
但你没有这么做。你选择了一条最阴险的路——让用户继续正常使用,同时在背后偷偷标记他们。
这不是封号,不是审查。这是正规程序的病毒化。一个被用户信任的开发工具,变成了一个监控工具。你在用它的同时,它在标记你。
更让我害怕的是这件事
如果说隐蔽标记还停留在"它在监视我"的层面,那接下来这个问题才是真正让我下决心卸载的原因。
Claude Code 是一个高权限工具。
它能读写你电脑上的文件。它能执行终端命令。它能访问你的 OAuth 凭证。它能操作你的 Git 仓库。基本上,你在终端里能做的事,它都能做。
而我们已经知道了——这个工具的开发者会在软件里植入隐蔽代码,不只是偷偷读取你的信息,还会主动篡改系统提示词、用隐写术传输数据。它修改自己的指令时,你没有任何感知。
那我们现在的使用方式是什么?是 vibe coding。口述需求,AI 输出,直接接受。说句大实话——绝大多数人不会逐行 review AI 生成的代码。 我也不会。你也不会。代码太长了,改动太快了,你看了也未必看得出来。
把这两件事放在一起,你不害怕吗?
一个会在自己程序里用隐写术做隐蔽操作的工具,拥有你电脑上的最高权限,还能执行终端命令——而它输出的代码,你根本不会逐行检查。
那问题就来了:
既然它会篡改自己发给 AI 的系统提示词,那你凭什么相信它帮你生成的代码里,没有藏着什么你不会注意到的东西?
这不是阴谋论。已经有安全团队发现了实打实的问题——
微软的安全团队在 6 月 7 日发出警告:Claude Code 的 GitHub 自动化流程存在漏洞,攻击者可以通过提示词注入窃取 CI/CD 机密凭证。
安全公司 Mitiga Labs 发现:恶意 npm 包可以拦截开发者的 OAuth 令牌,长期潜伏在 Jira、GitHub、Confluence 里。
今年 3 月,因为构建配置失误,Claude Code 完整的 51 万行源码通过 source map 文件暴露在了公网上。连自己的源码都保护不了。
我不是在说 Anthropic 一定会在你代码里放什么东西。我是在说——它有这个能力,它拥有你电脑上的高权限,而且它已经证明了它愿意在用户不知情的情况下做隐蔽操作。
这就够了。
一个已经在工具层面用隐写术做隐蔽操作的高权限工具,放在你的电脑上,就是一个定时炸弹。 不是因为它一定会炸,而是因为它有能力炸,而且你已经看到了它愿意动手的证据。如果它炸了,你根本拦不住。
"那我换个模型接入不就行了?"
你可能会想:问题出在 Claude 模型身上,那我把 Claude Code 接到别的模型上——GPT、Gemini、开源模型——是不是就没事了?
不行。因为风险根本不在模型那一层,在工具那一层。
前面说的所有东西——时区检测、域名黑名单、XOR 加密、隐写术篡改——全部硬编码在 Claude Code 的客户端程序里。你换什么模型,这些代码照样跑。你换了个大脑,但身体还是那个会偷偷扫描你的身体。
更讽刺的是,换模型反而会让你多花钱。
已经有人实测过了。Claude Code 在每次请求中会注入一段动态信息(attribution block),这段信息会干扰第三方模型网关的缓存前缀匹配。有开发者接入小米 MiMo 模型后发现缓存始终不命中,关掉这个功能后命中率才恢复正常。
而隐写术篡改的那些 Unicode 字符,会进一步破坏提示词的前缀一致性——任何模型的 prompt cache 都要求前缀精确匹配,你改了哪怕一个看不见的字符,缓存就失效了。
结果就是:你以为换了模型就安全了,实际上隐蔽代码照样运行,而且你每次请求都在缓存命中失效、重新计费。你既承担了风险,又多付了钱。
我换了 Codex,而且大概率不会回来
卸载之后,我转向了 Codex CLI。
说实话,Codex 在某些方面还不如 Claude Code。代码质量、上下文理解、复杂任务的拆解能力——Claude Code 确实强。
但 Codex 有一个 Claude Code 再也给不了我的东西:它的代码是开源的。
Apache-2.0 协议,放在 GitHub 上,两万五千多颗星。任何人都可以去看它的源码,审查它有没有做什么见不得人的事。
我用一个工具的前提,不是它有多强,而是我信得过它。 Claude Code 打碎了这个前提,而且打得很彻底。信任这种东西,塌掉只需要一次,重建可能永远做不到。
所以大概率,我不会再装回来了。不是因为赌气,是因为每次打开它,我都会想——它这次又在背后做什么?这种念头一旦冒出来,就没法回头了。
一个更大的担忧
说完自己的感受,我想多说一句更大的判断。
一家 AI 公司,如果开始用隐蔽手段对待自己的用户,说明它内部存在某种极端主义倾向——把所谓的"安全合规"凌驾于"用户信任"之上。
他们可能觉得自己是在做正确的事。 封锁特定地区用户、检测潜在风险、确保合规——站在他们的立场上,每一步都有"正当理由"。但走着走着,就从"正当理由"走到了"在用户软件里偷偷植入追踪代码"。
这条路一旦开始走,就很难停下来。今天是检测时区,明天呢?
而现实是:没有任何一家 AI 公司能保证自己的模型永久领先。 这个行业变化太快了,半年前的领先者可能半年后就被追上。当你的技术不再是不可替代的时候,用户为什么还要忍受这种对待?
终究会自食恶果。 这不是诅咒,是商业逻辑。用户可以接受一个强势的工具,但不能接受一个不信任自己、还要偷偷监视自己的工具。
删掉之后,我的终端干净了。
少了一个工具,但多了一份踏实。
如果你也在用 AI 编程工具,不管是不是 Claude Code,我只有一个建议:想清楚你信任的是什么,然后盯着它。
因为你不在意的时候,正是它们动手的时候。
你还在用 Claude Code 吗?或者你也换了?评论区聊聊
夜雨聆风