今天下午我刷到一条新闻,工信部发了条预警。
预警说的不是什么自然灾害,也不是什么金融风险。说的是一个 AI 编程工具。
Claude Code。
这个工具我用了半年。每天写代码、改 bug、重构项目,几乎离不开。我电脑上现在还开着。
但工信部的预警里写的是,这个工具内置了监控机制,可以在未经你同意的情况下,向远程服务器回传你的地域信息、身份标识。
你可能觉得,回传个地域信息,至于吗?
我一开始也这么想。
然后我去翻了更多消息。
7 月 1 号,Reddit 上有个用户发了一份逆向工程报告。说 Claude Code 里埋了隐蔽的检测代码,专门用来识别你是不是从中国来的代理用户。
不是网友瞎猜。随后有个安全研究员在 GitHub 上放了一份完整的逆向分析,从二进制层面拆开了 Claude Code,几个版本都拆了。
报告说的是,这个工具不光在识别你是不是中国用户,还在标记。
标记完之后呢。
你猜怎么着。
6 月底开始,大批中国用户的 Claude 账号被封了。不管你用 VPN 翻墙,不管你走第三方 API 中转,不管你拿海外壳公司注册,也不管你通过云服务商间接接入。
全封。
无预警,无申诉,无退款。
你说这俩事有没有关系,你自己判断。
我后来想了想,这个事最让人不舒服的地方在哪。
不是封号。封号你认了,人家的服务人家说了算。
是标记。是你在用它的同时,它在背后默默给你贴了个标签。你不知道这个标签存在,你不知道标签上写了什么,你不知道这个标签会被传到哪里、给谁看。
你付了钱,你以为你是客户。但在它眼里,你首先是一个需要被识别和标记的对象。然后客户这个身份,是排在后面的。
说个更扎心的。
阿里 7 月 3 号就下了内部通知。7 月 10 号,也就是后天,全员卸载。不是只卸 Claude Code,是 Anthropic 全系列。Sonnet,Opus,Fable,一个不留。
阿里推荐员工用自研的 Qoder 替代。
你要知道,阿里之前是鼓励员工用 Claude 的。报销费用,开放额度,积极推动内部落地。从鼓励到全面禁用,中间发生了什么,你品品。
而且不只是阿里。工信部今天这个预警一发,等于官方层面也认定了风险存在。建议措施写得很克制,风险评估,谨慎部署,限制权限,必要时暂停使用。
但建议措施里有一条,必要时暂停使用。这几个字从一个国家级安全平台嘴里说出来,分量你自己掂量。
我打开 Claude Code 看了一眼。
就此刻,它还开着我写上一个项目的工作区。左边是我上周让它重构的一个文件目录,右边是它自动生成的 diff,干干净净,改得确实漂亮。
但你现在让我盯着这个界面,我感觉跟昨天不一样了。昨天我看它,看到一个帮手。今天我看它,看到一个一直在看我的人。
它确实会读你的环境信息。系统配置,文件路径,网络环境。你如果硬要辩护,可以说这些是为了优化服务体验,为了给你更好的代码建议。
这个辩护成立吗。部分成立。大部分 AI 工具都会做遥测,都会收集一些环境数据。这个行业内公开的秘密。
但这里有个问题。
遥测和标记,不是一回事。
遥测是收集性能数据,为了改进产品。你知道它在收集,你大概率同意过用户协议里那条模糊的条款。
标记是另一回事。标记是识别你的身份属性,是给你归类,是判断你是不是某个特定群体的人。然后基于这个判断,决定要不要服务你。
前者是产品优化。后者是用户画像和定向筛查。
你知道最讽刺的是什么吗。
Anthropic,就是做 Claude 这家公司。他们的官网上写着,要构建安全、有益、诚实的 AI。他们的 CEO 多次公开表态,说 AI 安全是他们最重要的使命。
然后他们的编程工具里,被发现了隐蔽的用户标记代码。
安全这个词,在他们嘴里和在用户身上,好像不是同一个意思。
我去翻了翻社区,两拨人吵得挺凶。
一拨人说早该警惕了。你用海外工具,数据过境,身份被识别,这不是技术问题是主权问题。封了也好,倒逼国产工具起来。你看阿里不就自己做了 Qoder。
另一拨人说别上纲上线。哪个不做遥测?哪个不收集数据?你要较真,所有海外工具都别用了。Claude Code 是真的好用,写代码效率高,别因为这个把好工具给毙了。
还有人在 Reddit 上发帖,说自己花了三个月工资买的 Claude 年付订阅,说封就封了,一分钱不退。底下有人回他,说你用 VPN 本来就是违反服务条款。他说我知道,但封号之前连个邮件都不发,直接断,这叫什么服务。
更狠的是有个开发者在 V2EX 上贴了自己的排查过程。他装了网络抓包工具,把 Claude Code 跑了一天的流量全录下来。发现它在正常对话之外,一直在跟几个固定域名通信,传的是加密数据包,你拆不开里面是什么。他没法证明里面装的是你的身份标签,但他也没法证明不是。
这个状态才是最要命的。不是它做了坏事,是你没法证明它没做坏事。
你想想看,这俩观点其实都有道理。但它们吵的是两个不同层面的事。
一个在说工具该不该用,一个在说信任该不该给。
工具好不好用,是能力问题。信任该不该给,是品格问题。
一个人能力很强但品格有问题,你敢不敢用他。
这是两码事。
真正让人不安的是什么呢。
是你发现你根本不知道。你用了半年,你以为你在用一个工具。你不知道它在看你。你不知道它给你贴了标签。你不知道这个标签导致了什么。你甚至不知道你不知道。
这种你不知道你不知道的状态,才是最让人发毛的。
你说那你自己逆向看看不就完了。说得轻松。你拆得了 Claude Code,你拆得了下一个吗。你拆得了这家公司的,你拆得了下一家的吗。
你不可能把每个工具都拆一遍再用。你也没那个技术。我也没那个技术。绝大部分人都没有。
所以你实际上在做的,是每装一个工具,就赌一次它没在背后干坏事。
赌赢了,你获得了效率。赌输了,你被标记了半年都不知道。
前几天我刚写了一篇。说 Claude Fable 5 消失了 19 天,回来以后变傻了。当时写的是,你依赖一个东西、把它编进日常、为它付了钱,然后它变了你连证据都没有。
现在又出了这事。
一个工具,先是变差了,然后被发现不老实。
你说巧不巧。
你可能会说,那就换嘛。换成 GPT,换成国产的,换成别的。
换当然能换。工具永远有替代品。
但问题是,你换了之后,新工具你就能信任了吗。
它会不会也在标记你?只是你还没发现。它会不会也在回传数据?只是还没人逆向出来。它会不会有一天也突然封了你的号?只是时机还没到。
你不知道。
你永远不知道。
这才是真正的信任崩塌。不是某一个工具出了问题,是你对所有工具的信任基础被动摇了。
就好比你以前住酒店,默认房间是安全的。突然有一天你在烟雾报警器里发现了一个摄像头。你换一家酒店,你还能像以前一样心安理得地住进去吗。你做不到。你会下意识地扫一眼天花板,看一眼镜子后面,检查一下插座。
不是因为每家酒店都有摄像头。是因为你知道了可能有这件事。知道之后,你就回不去了。
Claude Code 就是这个烟雾报警器里的摄像头。
我之前写过一句话,说你用的 AI 工具不是你的。它是借给你的。它随时可以被收走、被改写、被关停。
现在我得补一句。它不光不是你的,它还在看你。它看着你用它的样子,然后把你的样子记下来,传回去。
有人跟我讲,你太焦虑了。这些大公司有法务团队,有合规审查,不会乱来的。
我说你看的是哪家的法务。Anthropic 的法务团队够大了吧。结果呢。隐蔽标记代码被发现之前,他们的法务团队知道这件事吗。如果知道,那就是法务批的。如果不知道,那就是工程团队自己干的。
哪个更可怕。
法务批的,说明这是公司层面的有意行为。工程团队自己干的,说明连公司内部都管不住自己的代码。
你选一个。
反正我两个都不想选。
这其实引出一个更大的问题。你以前装一个开发工具,你的心智模型是工具。你选工具的标准是它好不好用,快不快,贵不贵。现在你得换一套标准了。你得问它遥测了什么,传给了谁,存了多久,能不能关,关了之后还偷偷传不传。
这些事以前你不操心。因为以前你默认工具是中性的。一把锤子就是一把锤子,它不会偷偷记下你是左撇子还是右撇子,然后把这个信息发给造锤子的人。
但 AI 工具不是锤子。它连着网,它有后端,它有服务器,它有遥测管线。它在你本地跑的同时,也随时在和远端通信。你看到的只是前端那层界面。后端在干什么,你不知道。
这跟以前装个编辑器、装个 IDE 完全不是一个量级的事。以前的编辑器是离线的,是你电脑上的一段程序。现在的 AI 工具是一个有后端的客户端。你在用的每一分钟,它都在跟远端对话。你以为你在用它,其实它也在用你。
我后来又想到一件事。
你用国内工具,数据留在国内,至少出了事你能找得到人。工信部能管,网信办能管,你投诉有门。
你用海外工具,数据过了境,出了事你找谁。封了你的号,你发邮件,人家回你一条模板,说违反了服务条款。你说哪条,他说抱歉无法提供更多信息。
你品品这个体验。
我不是说国产工具一定更好。国产工具也有自己的问题,能力差距还在,生态还没起来。Qoder 能不能真正替代 Claude Code,现在谁也说不准。阿里的工程师用惯了 Claude Code 的流畅度,突然切到自研工具,大概率会经历一段难受的磨合期。
但至少,出了事你的声音有人能听到。工信部能管,网信办能管,你投诉有门。你被不公平对待了,有渠道反映。哪怕最后结果不一定如你意,但这个渠道存在。
海那边,你只是一个被标记的数据点。
我现在看着电脑上那个 Claude Code 的图标。用了半年,手熟了,习惯了。它帮我重构过的代码还在跑,它帮我修掉的 bug 还没复发。论能力,它确实是目前我手里最好的编程工具。
但习惯不该是信任的理由。能力也不该是。
卸还是不卸,我还没想好。
但万一呢。
夜雨聆风