新智元报说念
【新智元导读】当初,Anthropic推出extended thinking的时辰,把它包装成「让用户看到想考经过」的透明标杆。当今真相是:你看到的仅仅他们允许你看到的部分。那些被加密、被压缩、被锁在全局密钥里的内容,藏着什么?
年头,Anthropic静悄悄地变更了Claude Code默许缔造——自相宜想考(adaptive thinking)、想考块遮蔽(redact-thinking)和默许effort左迁。
这导致想考深度下落约67%,Claude Code用户最成功的嗅觉等于:AI降智了。
而Anthropic对此保抓千里默,直到有东说念主解说如实如斯,运行找补根由。
几周后,Anthropic最终解释了原因。
最近,在查验Claude Code土产货会话日记时,诱惑者Patrick McCanna发现了一个枢纽尽头:模子的「Extended Thinking」想考块内容为空,仅剩一串约600字符的加密签名。
这一刻,AI的「脑回路」对东说念主类关上了大门。
是以,他仔细阅读了Claude文档,但Anthropic的措辞含蓄得离谱!
要不是多喝两杯咖啡保抓清晰,你约略率会错过这个要命的真相:
「extended thinking」所谓的复返,其实仅仅Claude把完满想考经过暗暗压缩成了一个追溯版块。
一句话,Anthropic把最中枢的「Claude到底想了什么」成功藏起来了。
骨子上,「想维节录化」是一种剖析的降维打击。
这是一场蓄谋已久的时代隐身,亦然AI巨头Anthropic在通往超智能(ASI)说念路上,对用户知情权的「静默掠夺」。
日记里的「无字天书」
被阉割的想维链
遐想一下,你请了一位顶尖架构师为你遐想大厦,你条目看他的遐想草图,他却只给了你一张密致的3D收尾图,并把扫数的结构狡计书锁进了一个唯有他我方能灵通的保障柜。
这等于Patrick McCanna揭开的真相:
你以为在Claude 4的界面里看到了它「发愤想考」的经过,但试验上,那仅仅模子在完成推理后,为你悉心准备的一份「阅读邻接节录」。
果然的想维链(CoT)早已被重重加密。
这到底是若何作念到的?
所谓的「想考」(thinking)/「推理」(reasoning),皆是以JSON的样式下发到客户端的。
而每一段里,皆塞着一坨Base64编码的东西。
不同厂商之间,这些数据块的内容略有互异,但每一块的中枢一段经过认证的密文。
要看出这少许,你不消是福尔摩斯。
第一,它会跟着模子「想得多深」而变长或变短;第二,只须你批改任何一段看似密文的数据,再发还去时就会触发一个可识别的API报错。
底下是OpenAI的推理块长这么:
底下是Anthropic那套复杂得离谱的对应齐备:
尽管它被称作「signature」(签名),但这里似乎并不存在果然的密码学上的签名。
OpenAI把话说得很表露:这堆数据装的是「不透明的推理经过」,你不该去看它——你要作念的,仅仅不才一轮对话时,把它如法泡制地塞回劳动器。
密钥在Anthropic手里,艳遇聊斋2三级做爰而你,只配看到它想让你看到的部分。
密码学教师躬行下场逆向
5月,就有东说念主对这串签名上了头。
约翰霍普金斯大学的密码学教师Matt Green,花了一个周末跟这些「加密推理块」较劲。
不外得先泼盆冷水——他我方反复强调,这等于个玩票的周末技俩,跟果然的密码学斟酌不大,「基本是个令东说念主失望的实验」,别指望靠它拿什么大额缺欠赏金。
但他如实摸到两个有趣味的点。
一是这些加密推理块能重放。
统一段加密想考,换个会话、致使换个账户塞且归,模子照单全收、不报错。
由此他忖度:OpenAI 和 Anthropic 很可能皆在用一把全局密钥加密扫数东说念主的推理数据。
两家皆有嫌疑,不是 Anthropic 独家,跨模子重放在 OpenAI 那处反而更顺,Claude 这边还更抉剔些。
二是推理块的长度会言语。
他遐想了个实验:让模子在遮蔽的想考里,笔据一个神秘比特去作念难度不同的狡计,再靠想考块的是曲,一位一位把这个比特规复出来。
这等于所谓的侧信说念。
听着很唬东说念主?且慢。
Green 把话说得很明晰:他能扒出来的,是我方设的测试数据、以及如实存在的应用层密钥。
而果然想要的「模子系统教导里的神秘」,他没扒出来——因为 API 样式下,模子根本莫得阿谁系统教导可供索求。这事他只敢标个「也许」。
更枢纽的是后续:他把两个发现皆报给了 Anthropic 的缺欠赏金野心。
Anthropic 的回答是——没看出重放和侧信说念有什么安全影响,但不错议论更新诱惑者文档、提醒能干。Green 以为这处分挺合理。
「最透明」公司的透明度悖论
这件事最辣眼睛的场地,不在于时代缺欠自身。
Anthropic一直以来的品牌叙事是什么?「负包袱的AI」「安全第一」「业界最透明」。
他们成心推出了extended thinking功能,让用户能「看到」模子的推理经过——这被行为透明度的标杆来宣传。
当今的事实是:你看到的thinking block,不是果然的想维链,是节录。
果然的推理被加密了,密钥在Anthropic手里。而这套加密决议,存在可被期骗的安全劣势。
一个堪称以透明著称的公司,在最该透明的场地禁受了加密。而加密决议自身又不够安全。
这是一个结构性的信任问题。
若是用户连模子在想什么皆看不到,那所谓的「可解释性」「可审计性」缔造在什么基础上?
若是加密决议存在全局密钥和侧信说念缺欠,那这套机制保护的到底是用户的安全,依然Anthropic我方的神秘?
Green在分析发扬中成功写说念:这套遐想的枢纽标的似乎不是保护用户,而是退缩用户看到Anthropic不想让他们看到的东西。
ASI决赛的信任基座在晃
把这件事放到更大的坐标里看。
Claude和GPT正在ASI决赛的临了直说念上加快。
模子才略越来越强,部署范畴越来越广,而「这个AI到底在想什么」这个问题,正在从学术话题造成生意基础按序的地基问题。
企业把中枢业务逻辑写进系统教导,然后交给模子去践诺。
若是模子的推理经过不行审计、加密决议存在缺欠,那扫数这个词信任链条就有一个没东说念主能干到的缺欠。
McCanna的发现像一根针,Green的逆向像一霸手术刀。
他们切开的不仅仅一段代码,而是AI行业在「透明」和「限度」之间那条越来越粗率的范畴。
当你以为你在看AI想考的时辰,你看到的仅仅它允许你看到的部分。
而那些你看不到的部分里,藏着什么?这个问题的谜底,当今还锁在Anthropic的全局密钥里。
参考长途:
https://patrickmccanna.net/the-text-in-claude-codes-extended-thinking-output-is-not-authentic/
https://blog.cryptographyengineering.com/2026/05/29/fooling-around-with-encrypted-reasoning-blobs/
裁剪:大卫
