Claude Code 会话泄露报告与分析

Claude Code 会话泄露报告与分析

Anthropic 正在调查 Claude Code 中潜在的会话泄露问题

一份用户报告表明,Claude Code 可能在工作区实例或消费者账户之间存在会话或缓存泄露。虽然 Claude Code 团队表示有信心认为该行为是幻觉,但这一事件引发了关于中间 AI 基础设施安全性的更广泛讨论。

Anthropic 的官方回应

Claude Code 团队的 Thariq 表示,公司正在认真对待该报告并调查此事,尽管他们目前认为该问题是幻觉。

"We’re confident this is a hallucination but of course take these reports seriously and the team is looking into it. We’ll report back if anything turns up."

对 "Minecraft" 事件的分析

该报告的核心是一个模型引用了 "minecraft.py" 的实例,用户认为这是来自另一个会话的泄露。然而,技术分析表明,一个涉及本地环境文件的更合理的解释:

  • Pygments Package: 一个工具调用结果包含了一个包含 minecraft.py 的路径名,因为 Pygments package(一个语法高亮工具)包含一个名为 minecraft.py 的 lexer。
  • Context Window Effects: 一些观察者指出,极大的会话上下文(例如 800K+ tokens)可能会增加幻觉的可能性,使模型更有可能生成看似合理但错误的引用。

对基础设施级数据交换的看法

虽然官方立场倾向于于幻觉,但一些用户认为 "swapped responses"(交换的响应)是大型 AI 基础设施中已知的失效模式。一位贡献者分享了在其他主要 LLM 提供商处的经验,即 API 网关错误地处理了 HTTP 状态码,导致了 "off-by-one" 错误,使得用户收到了原本属于前一个调用者的响应。

"I’m aware of at least two instances in which the intermediate infrastructure ’swapped’ responses... it’s not that data is being retained, it’s just not being safely isolated in intermediate infrastructure."

其他 LLM 的相关报告

讨论强调了类似的 "eerie"(怪异)体验并非 Claude Code 所特有:

  • Gemini: 用户报告收到似乎属于其他人的答案,例如在无关的研究提示词中出现数学辅导响应。
  • Web-based Claude: 用户报告模型坚持使用用户从未提供的消息前缀或指令,且模型承认这些指令 "came from somewhere else"。
  • OpenRouter: 用户报告收到似乎是由其他用户提供给模型提供商的 URL。

Sources