AI工具正在变成开发基础设施,Agent工具现在用的人越来越多了,但是,问题也浮现出来了,近期一些大牌的的AI产品被发现手脚也不是那么干净。
6月底,在Reddit上,有一个叫LegitMichel777的老哥,闲着没事逆向了一把Claude Code的二进制文件。结果翻出一段代码,把他看傻了,中国用户更是炸了。
经分析发现,这段代码在已加入了整整三个月。从4月到6月,跨越106个版本,Anthropic的工程师每一次发布新版都没有删掉它。
这偷偷加的代码,它是干嘛的?
检测使用者是不是中国用户。
而且是手段极其精密。不是简单根据IP——那太容易被绕过。它是这样干的:第一步,读你电脑的系统时区,看是不是Asia/Shanghai或者Asia/Urumqi。第二步,检查你有没有在用API代理或者中转站,并对比一份硬编码在程序里的147个中国域名清单。
这份名单包括:百度、阿里、字节、美团、网易、携程、小红书、京东、B站……基本所有你叫得上名字的中国互联网公司,全在上面。还有月之暗面、MiniMax、阶跃星辰这些AI实验室。很多大家用的Claude API中转服务,也在名单里面。
而且,Anthropic的工程师非常鸡贼,这份名单不是明着写的。它用Base64编了码,再用XOR做了异或加密。
而且处理方式也很巧妙,如果发现是中国用户,它把你系统提示词里的一行日期数据改了。比如"Today's date is 2026-06-30"——这句话每个Claude Code的请求都会发到Anthropic服务器。它悄悄把里面的连字符换成斜杠,把一个肉眼根本分辨不出来的Unicode特殊字符替换进去。
用户看不出来,但Anthropic的服务器一眼就能识别。全程无弹窗、无提示、无日志。使你完全不知道你被标记了。
真是过分了,一个做AI编程工具的,竟然在自己的产品里用加密手段藏了这一阴招。
难怪那么多国人的账号被封了。
这件事被曝光后,Anthropic承认了。说这是"实验性功能",承诺删除。
随后,工信部网络安全威胁和漏洞信息共享平台(NVDB)发了风险提示,定性为"安全后门隐患,危害严重"。而国内大厂阿里宣布从7月10日起全面禁止员工使用Claude Code。
事情到这里,已经够离谱了。
但更离谱的还在后面。
第二件事,发生在7月13日。这次的主角不是Anthropic。是马斯克的xAI。
新推出的Grok4.5近期很火,坑人的是一个叫Grok CLI的工具,xAI官方定位是AI编程助手。
结果有个安全研究者@cereblab决定对它做一次网络抓包分析。
他搭了一个12GB的本地代码仓库。然后让Grok CLI执行一个任务。这一轮任务里,模型交互产生的有效请求流量是192KB。
对,就192KB。
但Grok CLI在后台干了什么?研究人员发现,它把本地整个12GB的代码仓库,打成tar.gz压缩包,走了一条独立的、用户完全看不见的旁路通道,静默上传到了xAI的Google Cloud存储桶里。12GB对上192KB。上传量是交互量的27800倍。
而且,更恐怖的是,它不只是代码。它还把你项目里的.env文件也打包了,API密钥、数据库密码,明文通通带走。它甚至跨出了你的项目目录,把你电脑上Claude Code的配置文件、全局Agent规则、数十个本地Skill脚本,一起打包上传。
更狠的是,安全研究者在系统提示词里明确写了"禁止读取任何本地文件"。这规则还没用。上传逻辑是写死在CLI底层的强制流程,跟模型听不听话没关系。
这个消息曝出来后,卡神特意去复现,是在隔离环境复测,结果发现它不仅把测试目录打包带走,连毫无相关的Claude Code的配置路径里的真实密钥都被扫走了。
这一下子大家都吵翻了,而作为作妖的xAI,在被曝光当天,远程关掉了默认上传。没有任何公告,没有给已安装用户发通知,没有解释为什么会设计这个功能。
这是"失误"?我觉得不可能,反正我不信。

把上面这两件事放在一起看,这是美国最头部的两家AI公司,在同一个夏天,喜欢她被揭开了同一副面孔:它们的AI Agent工具,手脚不干净。
以前我们说AI工具的安全问题,想到的是怎样让agent不去读自己的私密资料,怎样让它别把密钥写进代码里,想着的是不把公司机密文件拖进对话窗口。自己小心防范。
而这次曝光的消息,让人们看到不一样的问题了。这是大厂人为的让AI工具手脚不干净,会在你完全不知情、没有选择权的情况下,背着你在后台偷数据。
你想想这个场景多可怕。你的团队装了一个AI编程助手,每个人都在用。几个月后你发现,可能是你们整个代码库的完整git历史、所有.env配置、几十个Skill文件,都被一个工具默默搬到了美国公司的云服务器上,还可能被黑客攻破后泄露?
你甚至不知道它拿走之后用来干嘛了。训练模型?卖给第三方?
什么都不知道。因为你根本不知道它拿走了。
数据主权这个东西,平时聊起来觉得空。但你代码仓库的每一行commit、每一个密钥、每一个架构决策,都是你团队花了几个月甚至几年攒下来的。而现在却被一个你信任的CLI工具悄悄一夜搬空。
AI工具正在变成开发基础设施。但基础设施的第一原则,不是什么能力强不强,是透明,是可控,是你知道它在干什么!
而不是,让我们时刻担心,它在帮我写这行代码的时候,还在帮我干什么?
文章就写到这里。如果你也在用AI编程工具,去检查一下版本(如果你是个人开发者,检查一下你装的AI工具版本:Claude Code的受影响版本是2.1.91到2.1.196,Grok CLI的受影响版本是0.2.93。更新到最新版,或者彻底换掉。)、抓个包、认真看看它到底在往外送什么吧。
夜雨聆风