新智元報道

【新智元導讀】當初，Anthropic推出extended thinking的時候，把它包裝成「讓用戶看到思考過程」的透明標桿。現在真相是：你看到的只是他們允許你看到的部分。那些被加密、被壓縮、被鎖在全局密鑰里的內容，藏著什么？

年初，Anthropic靜悄悄地變更了Claude Code默認設置——自適應思考（adaptive thinking）、思考塊隱藏（redact-thinking）和默認effort降級。

這導致思考深度下降約67%，Claude Code用戶最直接的感覺就是：AI降智了。

而Anthropic對此保持沉默，直到有人證明確實如此，開始找補理由。

幾周后，Anthropic最終解釋了原因。

最近，在檢查Claude Code本地會話日志時，開發者Patrick McCanna發現了一個關鍵異常：模型的「Extended Thinking」思考塊內容為空，僅剩一串約600字符的加密簽名。

這一刻，AI的「腦回路」對人類關上了大門。

所以，他仔細閱讀了Claude文檔，但Anthropic的措辭含蓄得離譜！

要不是多喝兩杯咖啡保持清醒，你大概率會錯過這個要命的真相：

「extended thinking」所謂的返回，其實只是Claude把完整思考過程偷偷壓縮成了一個總結版本。

一句話，Anthropic把最核心的「Claude到底想了什么」直接藏起來了。

本質上，「思維摘要化」是一種認知的降維打擊。

這是一場蓄謀已久的技術隱身，也是AI巨頭Anthropic在通往超智能（ASI）道路上，對用戶知情權的「靜默剝奪」。

日志里的「無字天書」

被閹割的思維鏈

想象一下，你請了一位頂尖架構師為你設計大廈，你要求看他的設計草圖，他卻只給了你一張精美的3D效果圖，并把所有的結構計算書鎖進了一個只有他自己能打開的保險柜。

這就是Patrick McCanna揭開的真相：

你以為在Claude 4的界面里看到了它「努力思考」的過程，但實際上，那只是模型在完成推理后，為你精心準備的一份「閱讀理解摘要」。

真正的思維鏈（CoT）早已被重重加密。

這到底是如何做到的？

所謂的「思考」(thinking)/「推理」(reasoning)，都是以JSON的形式下發到客戶端的。

而每一段里，都塞著一坨Base64編碼的東西。

不同廠商之間，這些數據塊的內容略有差異，但每一塊的核心一段經過認證的密文。

要看出這一點，你不必是福爾摩斯。

第一，它會隨著模型「想得多深」而變長或變短；第二，只要你篡改任何一段看似密文的數據，再發回去時就會觸發一個可識別的API報錯。

下面是OpenAI的推理塊長這樣：

下面是Anthropic那套復雜得離譜的對應實現：

盡管它被稱作「signature」（簽名），但這里似乎并不存在真正的密碼學上的簽名。

OpenAI把話說得很明白：這堆數據裝的是「不透明的推理過程」，你不該去看它——你要做的，只是在下一輪對話時，把它原封不動地塞回服務器。

密鑰在Anthropic手里，而你，只配看到它想讓你看到的部分。

密碼學教授親自下場逆向

5月，就有人對這串簽名上了頭。

約翰霍普金斯大學的密碼學教授Matt Green，花了一個周末跟這些「加密推理塊」較勁。

不過得先潑盆冷水——他自己反復強調，這就是個玩票的周末項目，跟真正的密碼學關系不大，「基本是個令人失望的實驗」，別指望靠它拿什么大額漏洞賞金。

但他確實摸到兩個有意思的點。

一是這些加密推理塊能重放。

同一段加密思考，換個會話、甚至換個賬戶塞回去，模型照單全收、不報錯。

由此他推斷：OpenAI 和 Anthropic 很可能都在用一把全局密鑰加密所有人的推理數據。

兩家都有嫌疑，不是 Anthropic 獨家，跨模型重放在 OpenAI 那邊反而更順，Claude 這邊還更挑剔些。

二是推理塊的長度會說話。

他設計了個實驗：讓模型在隱藏的思考里，根據一個秘密比特去做難度不同的計算，再靠思考塊的長短，一位一位把這個比特還原出來。

這就是所謂的側信道。

聽著很唬人？且慢。

Green 把話說得很清楚：他能扒出來的，是自己設的測試數據、以及確實存在的應用層密鑰。

而真正想要的「模型系統提示里的秘密」，他沒扒出來——因為 API 模式下，模型壓根沒有那個系統提示可供提取。這事他只敢標個「也許」。

更關鍵的是后續：他把兩個發現都報給了 Anthropic 的漏洞賞金計劃。

Anthropic 的回應是——沒看出重放和側信道有什么安全影響，但可以考慮更新開發者文檔、提醒注意。Green 覺得這處理挺合理。

「最透明」公司的透明度悖論

這件事最辣眼睛的地方，不在于技術漏洞本身。

Anthropic一直以來的品牌敘事是什么？「負責任的AI」「安全第一」「業界最透明」。

他們專門推出了extended thinking功能，讓用戶能「看到」模型的推理過程——這被當作透明度的標桿來宣傳。

現在的事實是：你看到的thinking block，不是真正的思維鏈，是摘要。

真正的推理被加密了，密鑰在Anthropic手里。而這套加密方案，存在可被利用的安全缺陷。

一個號稱以透明著稱的公司，在最該透明的地方選擇了加密。而加密方案本身又不夠安全。

這是一個結構性的信任問題。

如果用戶連模型在想什么都看不到，那所謂的「可解釋性」「可審計性」建立在什么基礎上？

如果加密方案存在全局密鑰和側信道漏洞，那這套機制保護的到底是用戶的安全，還是Anthropic自己的秘密？

Green在分析報告中直接寫道：這套設計的首要目的似乎不是保護用戶，而是防止用戶看到Anthropic不想讓他們看到的東西。

ASI決賽的信任基座在晃

把這件事放到更大的坐標里看。

Claude和GPT正在ASI決賽的最后直道上加速。

模型能力越來越強，部署范圍越來越廣，而「這個AI到底在想什么」這個問題，正在從學術話題變成商業基礎設施的地基問題。

企業把核心業務邏輯寫進系統提示，然后交給模型去執行。

如果模型的推理過程不可審計、加密方案存在漏洞，那整個信任鏈條就有一個沒人注意到的裂縫。

McCanna的發現像一根針，Green的逆向像一把手術刀。

他們切開的不只是一段代碼，而是AI行業在「透明」和「控制」之間那條越來越模糊的邊界。

當你以為你在看AI思考的時候，你看到的只是它允許你看到的部分。

而那些你看不到的部分里，藏著什么？這個問題的答案，現在還鎖在Anthropic的全局密鑰里。

參考資料：

https://patrickmccanna.net/the-text-in-claude-codes-extended-thinking-output-is-not-authentic/

https://blog.cryptographyengineering.com/2026/05/29/fooling-around-with-encrypted-reasoning-blobs/

編輯：大衛