# 热门搜索 #
大模型
人工智能
openai
融资
chatGPT
当初,Anthropic推出extended thinking的时候,把它包装成「让用户看到思考过程」的透明标杆。现在真相是:你看到的只是他们允许你看到的部分。那些被加密、被压缩、被锁在全局密钥里的内容,藏着什么?
年初,Anthropic静悄悄地变更了Claude Code默认设置——自适应思考(adaptive thinking)、思考块隐藏(redact-thinking)和默认effort降级。
这导致思考深度下降约67%,Claude Code用户最直接的感觉就是:AI降智了。
而Anthropic对此保持沉默,直到有人证明确实如此,开始找补理由。
几周后,Anthropic最终解释了原因。
最近,在检查Claude Code本地会话日志时,开发者Patrick McCanna发现了一个关键异常:模型的「Extended Thinking」思考块内容为空,仅剩一串约600字符的加密签名。
这一刻,AI的「脑回路」对人类关上了大门。
所以,他仔细阅读了Claude文档,但Anthropic的措辞含蓄得离谱!
要不是多喝两杯咖啡保持清醒,你大概率会错过这个要命的真相:
「extended thinking」所谓的返回,其实只是Claude把完整思考过程偷偷压缩成了一个总结版本。
一句话,Anthropic把最核心的「Claude到底想了什么」直接藏起来了。
本质上,「思维摘要化」是一种认知的降维打击。
这是一场蓄谋已久的技术隐身,也是AI巨头Anthropic在通往超智能(ASI)道路上,对用户知情权的「静默剥夺」。
想象一下,你请了一位顶尖架构师为你设计大厦,你要求看他的设计草图,他却只给了你一张精美的3D效果图,并把所有的结构计算书锁进了一个只有他自己能打开的保险柜。
这就是Patrick McCanna揭开的真相:
你以为在Claude 4的界面里看到了它「努力思考」的过程,但实际上,那只是模型在完成推理后,为你精心准备的一份「阅读理解摘要」。
真正的思维链(CoT)早已被重重加密。
这到底是如何做到的?
所谓的「思考」(thinking)/「推理」(reasoning),都是以JSON的形式下发到客户端的。
而每一段里,都塞着一坨Base64编码的东西。
不同厂商之间,这些数据块的内容略有差异,但每一块的核心一段经过认证的密文。
要看出这一点,你不必是福尔摩斯。
第一,它会随着模型「想得多深」而变长或变短;第二,只要你篡改任何一段看似密文的数据,再发回去时就会触发一个可识别的API报错。
下面是OpenAI的推理块长这样:
下面是Anthropic那套复杂得离谱的对应实现:
尽管它被称作「signature」(签名),但这里似乎并不存在真正的密码学上的签名。
OpenAI把话说得很明白:这堆数据装的是「不透明的推理过程」,你不该去看它——你要做的,只是在下一轮对话时,把它原封不动地塞回服务器。
密钥在Anthropic手里,而你,只配看到它想让你看到的部分。
5月,就有人对这串签名上了头。
约翰霍普金斯大学的密码学教授Matt Green,花了一个周末跟这些「加密推理块」较劲。
不过得先泼盆冷水——他自己反复强调,这就是个玩票的周末项目,跟真正的密码学关系不大,「基本是个令人失望的实验」,别指望靠它拿什么大额漏洞赏金。
但他确实摸到两个有意思的点。
一是这些加密推理块能重放。
同一段加密思考,换个会话、甚至换个账户塞回去,模型照单全收、不报错。
由此他推断:OpenAI 和 Anthropic 很可能都在用一把全局密钥加密所有人的推理数据。
两家都有嫌疑,不是 Anthropic 独家,跨模型重放在 OpenAI 那边反而更顺,Claude 这边还更挑剔些。
二是推理块的长度会说话。
他设计了个实验:让模型在隐藏的思考里,根据一个秘密比特去做难度不同的计算,再靠思考块的长短,一位一位把这个比特还原出来。
这就是所谓的侧信道。
听着很唬人?且慢。
Green 把话说得很清楚:他能扒出来的,是自己设的测试数据、以及确实存在的应用层密钥。
而真正想要的「模型系统提示里的秘密」,他没扒出来——因为 API 模式下,模型压根没有那个系统提示可供提取。这事他只敢标个「也许」。
更关键的是后续:他把两个发现都报给了 Anthropic 的漏洞赏金计划。
Anthropic 的回应是——没看出重放和侧信道有什么安全影响,但可以考虑更新开发者文档、提醒注意。Green 觉得这处理挺合理。
这件事最辣眼睛的地方,不在于技术漏洞本身。
Anthropic一直以来的品牌叙事是什么?「负责任的AI」「安全第一」「业界最透明」。
他们专门推出了extended thinking功能,让用户能「看到」模型的推理过程——这被当作透明度的标杆来宣传。
现在的事实是:你看到的thinking block,不是真正的思维链,是摘要。
真正的推理被加密了,密钥在Anthropic手里。而这套加密方案,存在可被利用的安全缺陷。
一个号称以透明著称的公司,在最该透明的地方选择了加密。而加密方案本身又不够安全。
这是一个结构性的信任问题。
如果用户连模型在想什么都看不到,那所谓的「可解释性」「可审计性」建立在什么基础上?
如果加密方案存在全局密钥和侧信道漏洞,那这套机制保护的到底是用户的安全,还是Anthropic自己的秘密?
Green在分析报告中直接写道:这套设计的首要目的似乎不是保护用户,而是防止用户看到Anthropic不想让他们看到的东西。
把这件事放到更大的坐标里看。
Claude和GPT正在ASI决赛的最后直道上加速。
模型能力越来越强,部署范围越来越广,而「这个AI到底在想什么」这个问题,正在从学术话题变成商业基础设施的地基问题。
企业把核心业务逻辑写进系统提示,然后交给模型去执行。
如果模型的推理过程不可审计、加密方案存在漏洞,那整个信任链条就有一个没人注意到的裂缝。
McCanna的发现像一根针,Green的逆向像一把手术刀。
他们切开的不只是一段代码,而是AI行业在「透明」和「控制」之间那条越来越模糊的边界。
当你以为你在看AI思考的时候,你看到的只是它允许你看到的部分。
而那些你看不到的部分里,藏着什么?这个问题的答案,现在还锁在Anthropic的全局密钥里。
参考资料:
https://patrickmccanna.net/the-text-in-claude-codes-extended-thinking-output-is-not-authentic/
https://blog.cryptographyengineering.com/2026/05/29/fooling-around-with-encrypted-reasoning-blobs/
文章来自于"新智元",作者 "大卫"。
