Claude Code 會話洩漏報告與分析

Claude Code 會話洩漏報告與分析

Anthropic 正在調查 Claude Code 中潛在的會話洩漏問題

一份用戶報告指出,Claude Code 可能在工作區實例或消費者帳戶之間發生會話或快取洩漏。雖然 Claude Code 團隊表示有信心認為這種行為是幻覺,但該事件引發了關於中間 AI 基礎設施安全性的更廣泛討論。

Anthropic 的官方回應

Claude Code 團隊的 Thariq 表示,公司正嚴肅看待此報告並調查此事,儘管他們目前認為該問題是幻覺。

"We’re confident this is a hallucination but of course take these reports seriously and the team is looking into it. We’ll report back if anything turns up."

"Minecraft" 事件分析

該報告的核心是一個模型引用了 "minecraft.py" 的實例,用戶認為這是來自另一個會話的洩漏。然而,技術分析顯示了一個涉及本地環境文件的更合理的解釋:

  • Pygments Package: 一個工具調用結果包含了一個包含 minecraft.py 的路徑名稱,因為 Pygments package (一個語法高亮工具) 包含一個名為 minecraft.py 的 lexer。
  • Context Window Effects: 一些觀察者指出,極大的會話上下文(例如 800K+ tokens)可能會增加幻覺的可能性,使模型更有可能生成看似合理但錯誤的引用。

對於基礎設施層級數據交換的觀點

雖然官方立場傾向於幻覺,但一些用戶認為「交換的響應」是大型 AI 基礎設施中已知的失效模式。一位貢獻者分享了在其他主要 LLM 提供商處的經驗,即 API gateway 錯誤地處理了 HTTP 狀態碼,導致了「差一錯誤」(off-by-one error),使得用戶收到了原本打算給前一個調用者的響應。

"I’m aware of at least two instances in which the intermediate infrastructure ’swapped’ responses... it’s not that data is being retained, it’s just not being safely isolated in intermediate infrastructure."

其他 LLM 的相關報告

討論強調了類似的「詭異」體驗並非 Claude Code 所獨有:

  • Gemini: 用戶報告收到似乎屬於其他人的答案,例如在無關的研究提示詞中出現了數學輔導的響應。
  • Web-based Claude: 用戶報告模型堅持使用用戶從未提供的訊息前綴或指令,且模型承認這些指令「來自其他地方」。
  • OpenRouter: 用戶報告收到似乎是由其他用戶提供給模型提供商的 URL。

Sources