游乐游手机版
首页/AI热点日报/热点详情

教授曝光Claude惊人真相:思考过程加密,给钱也看不到

类型:热点整理2026-07-17
Anthropic的Claude模型“扩展思考”功能实为加密摘要,真实思维链被隐藏。开发者发现思考块仅剩加密签名,可通过长度变化进行侧信道攻击。密码学教授确认存在全局密钥及重放漏洞,Anthropic回应合理。此举暴露结构性透明度悖论,动摇可审计性信任基础。

当初,Anthropic 推出 extended thinking 功能时,高举的是“让用户看见思考过程”的旗帜,俨然一副透明标杆的姿态。如今再回头看,这番叙事多少有些讽刺——你看到的,只是他们允许你看到的那一部分。那些被加密、被压缩、被锁在全局密钥里的内容,究竟隐藏着什么?

年初,Anthropic 悄然修改了 Claude Code 的默认配置:启用自适应思考(adaptive thinking)、思考块隐藏(redact-thinking),并默认降低 effort 等级。最终导致思考深度直接下滑约 67%,用户最直观的感受就是四个字:“AI 变笨了”。而 Anthropic 对此保持沉默,直到有人拿着证据找上门,才开始找补理由。

几周后,他们总算给出了解释。

事件的最新进展,源于开发者 Patrick McCanna 的一次例行检查。他在查看 Claude Code 本地会话日志时,发现了一个关键异常:模型的“Extended Thinking”思考块内容为空,只留下了一串约 600 个字符的加密签名。

也就是说,AI 的“思维过程”,对人类彻底关上了大门。

McCanna 随后仔细翻阅了 Claude 的文档,结果发现 Anthropic 的措辞含蓄得离谱。要不是多喝了几杯咖啡保持清醒,你大概率会错过那个要命的真相:

所谓的“extended thinking”返回,其实只是 Claude 把完整的思考过程偷偷压缩成了一个总结版本

一句话概括:Anthropic 把最核心的“Claude 到底在想什么”,直接藏了起来。

本质上,这是一种“思维摘要化”的操作,堪称认知维度的降维打击。这是一场蓄谋已久的技术隐身,也意味着,在通往超智能(ASI)的道路上,AI 巨头 Anthropic 对用户知情权进行了一次“静默剥夺”。

日志里的「无字天书」

被阉割的思维链

想象一下这个场景:你请了一位顶尖的架构师来设计大厦,你想看看他的设计草图,结果他只给了你一张精美的 3D 效果图,而所有的结构计算书,都被锁进了一个只有他自己能打开的保险柜。

这就是 Patrick McCanna 揭开的真相。你以为在 Claude 4 的界面里看到了它“努力思考”的过程,但实际上,那只是模型在完成推理后,为你精心准备的一份“阅读理解摘要”。真正的思维链(CoT),早已被重重加密。

这到底是怎么做到的?所谓的“思考”和“推理”,其实都是以 JSON 的形式下发到客户端的。而每一段数据里,都塞着一团 Base64 编码的内容。

不同厂商之间,这些数据块的内容略有差异,但每一块的核心,都是一段经过认证的密文。要看出这一点,你不需要福尔摩斯的洞察力。有两个线索很明显:第一,它会随着模型“想得多深”而变长或变短;第二,只要你篡改任何一段看似密文的数据,再发回去时就会触发一个可识别的 API 报错。

下面是 OpenAI 的推理块,长这样:

下面是 Anthropic 那套复杂得离谱的对应实现:

尽管它被称作“签名”,但这里似乎并不存在真正的密码学意义上的签名。OpenAI 把话说得很明白:这堆数据装的是“不透明的推理过程”,你不该去看它——你要做的,只是在下一轮对话时,把它原封不动地塞回服务器。

密钥在 Anthropic 手里,而你,只配看到它想让你看到的部分。

密码学教授亲自下场逆向

早在 5 月,就有人对这串签名上了头。约翰霍普金斯大学的密码学教授 Matt Green,花了一个周末跟这些“加密推理块”较劲。

不过得先泼盆冷水——他自己反复强调,这就是个玩票的周末项目,跟真正的密码学关系不大,“基本是个令人失望的实验”,别指望靠它拿什么大额漏洞赏金。

但他确实摸到了两个有意思的点。第一,这些加密推理块可以重放。同一段加密思考,换个会话、甚至换个账户塞回去,模型照单全收,不报错。由此他推断:OpenAI 和 Anthropic 很可能都在用一把全局密钥加密所有人的推理数据。两家都有嫌疑,不是 Anthropic 独家,跨模型重放在 OpenAI 那边反而更顺畅,Claude 这边还更挑剔些。

第二,推理块的长度会“说话”。他设计了一个实验:让模型在隐藏的思考里,根据一个秘密比特去做难度不同的计算,再靠思考块的长短,一位一位把这个比特还原出来。

这就是所谓的侧信道攻击。听着很唬人?且慢。Green 把话说得很清楚:他能扒出来的,是自己设的测试数据,以及确实存在的应用层密钥。而真正想要的“模型系统提示里的秘密”,他没扒出来——因为 API 模式下,模型压根没有那个系统提示可供提取。这事他只敢标个“也许”。

更关键的是后续:他把两个发现都报给了 Anthropic 的漏洞赏金计划。Anthropic 的回应是——没看出重放和侧信道有什么安全影响,但可以考虑更新开发者文档、提醒注意。Green 觉得这处理挺合理。

「最透明」公司的透明度悖论

这件事最辣眼睛的地方,不在于技术漏洞本身。Anthropic 一直以来的品牌叙事是什么?“负责任的 AI”、“安全第一”、“业界最透明”。

他们专门推出了 extended thinking 功能,让用户能“看到”模型的推理过程——这被当作透明度的标杆来宣传。现在的事实是:你看到的 thinking block,不是真正的思维链,是摘要。真正的推理被加密了,密钥在 Anthropic 手里。而这套加密方案,本身又存在可被利用的安全缺陷。

一个号称以透明著称的公司,在最该透明的地方选择了加密。而加密方案本身又不够安全。这是一个结构性的信任问题。如果用户连模型在想什么都看不到,那所谓的“可解释性”、“可审计性”建立在什么基础上?如果加密方案存在全局密钥和侧信道漏洞,那这套机制保护的,到底是用户的安全,还是 Anthropic 自己的秘密?

Green 在分析报告中直接写道:这套设计的首要目的似乎不是保护用户,而是防止用户看到 Anthropic 不想让他们看到的东西。

ASI 决赛的信任基座在晃

把这件事放到更大的坐标里看。Claude 和 GPT 正在 ASI 决赛的最后直道上加速。模型能力越来越强,部署范围越来越广,而“这个 AI 到底在想什么”这个问题,正在从学术话题变成商业基础设施的地基问题。企业把核心业务逻辑写进系统提示,然后交给模型去执行。如果模型的推理过程不可审计、加密方案存在漏洞,那整个信任链条就会出现一条没人注意到的裂缝。

McCanna 的发现像一根针,Green 的逆向像一把手术刀。他们切开的不只是一段代码,而是 AI 行业在“透明”和“控制”之间那条越来越模糊的边界。当你以为你在看 AI 思考的时候,你看到的只是它允许你看到的部分。而那些你看不到的部分里,藏着什么?这个问题的答案,现在还锁在 Anthropic 的全局密钥里。

来源:https://36kr.com/p/3866547130536965

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。