如果不是一个程序员多事,这件事可能永远没人知道。
Thereallo是个独立开发者。出于职业习惯,想检查一下自己常用的AI编程工具“Claude Code”到底在后台做了什么。
他打开系统提示词,一行普通的文字跳出来:
"Today's date is 2026-06-30"
看起来没什么问题。
但他多看了一眼。有的地方,日期写的是"2026-06-30",有的地方却变成了"2026/06/30"。
同一个工具,同一个功能,日期格式却不一样。
他觉得这不是bug。这是故意的。
于是他继续往下查,发现不只是日期格式,连引号的写法都在悄悄变化——看起来一样的'和',其实用的是完全不同的字符编码。
它们背后,藏着一套完整的"暗号系统"。

这套"暗号系统",技术上有个名字,叫提示词隐写术。
就是在看起来完全正常的文字里,藏一些普通人根本很难发现的小差异,用这些差异来做标记。
日期格式是一种标记方式。引号字符是另一种。
Thereallo继续深挖,发现了标记的规则:日期格式和你的电脑系统时区有关系。还有就是如果你的电脑主机名匹配某些特定域名,或者你在提示词里提到了DeepSeek、Moonshot、智谱这些名字,引号也会被偷偷换成另一种写法。
Claude Code在用这些你根本注意不到的细节,悄悄记录"你是谁、你在哪、你用了什么"。
而且这些标记规则也用了编码和加密手段,混在正常的系统提示词里。
也就是说,这不是一次"意外的技术选择"。这是一次精心设计的、不打招呼的记录。

这已经不是第一次了。
早在今年3月,Claude Code就出过一次更大的事故,它的完整源代码,因为一次打包失误,直接被公开传到了npm这个开发者常用的代码平台上。
任何人都能下载、查看、甚至研究里面写了什么。
结果,开发者们在这堆代码里,翻出了不少官方从没公开提起过的功能。比如一个叫"Undercover Mode"的模式,据说和"抹除AI痕迹"有关;还有一个24小时常驻运行的隐藏程序,甚至还有44个从未公布的功能开关。
在此之前用户完全不知道自己的工具里藏着这些东西。
从"意外泄露暴露隐藏功能",到"刻意设计的隐写标记",两次事件性质不完全一样,但有一个共同点:
用户一直是最后一个知道的人。
看到这里,你可能会想:反正我又没做什么见不得人的事,被标记一下,有什么大不了?
官方的说法也是类似意思,安全研究员分析后表示,这套隐形水印,目前只在系统提示词里加了标记,不会碰你写的代码。
但换个角度想:你有没有被问过一句"我们能不能记录一下你是谁"?
没有。
这才是问题的核心。不是"记录"这件事本身有多可怕,而是它发生的时候,你完全不知道,也没人给你选择的机会。
而且这套标记机制并不难绕过,换个时区,换个主机名,就能躲开。真正可能被"误伤"的,反而是那些出于正当理由使用特殊网络环境的普通用户,比如公司内部网关、本地代理这些日常操作。

不过,Claude Code也不是特例。
这几年,几乎每一款主流AI工具,都被曝出过类似的"意外发现"。有的是权限收集范围比说明书写的更大,有的是数据留存时间比公开承诺的更长……。
Claude Code这次的水印是被一个较真的程序员扒了出来。
如果没有他,这套"暗号系统"可能还会一直悄悄跑下去。
这也是最让人不安的地方,我们对AI工具的信任,很多时候建立在"没被发现"上,而不是"确实透明"上。
这件事最终会怎么收场,我们还不知道。
也许Anthropic会出面解释,也许这套机制会被悄悄下线,也许过几天,热度散了,大家又该干什么干什么。
但有一件事,值得记在心里。
再方便的工具,也该有知情的权利。