2家万亿公司AI都串话:你的悄悄话被陌生人看了

2家万亿公司AI都串话:你的悄悄话被陌生人看了

AI安全隐私ClaudeGPT数据泄漏HTTP

数据源:HN + GitHub Issue + web research · HN

2026年7月4日,一位开发者在GitHub上提交了一份漏洞报告。他使用的是Anthropic公司的Claude Code——一款面向专业程序员的AI编程助手,运行在企业级的安全工作空间里。他正准备让AI帮忙处理开发任务,AI却突然话锋一转,问他:「你想要什么颜色的砖来建Minecraft神庙?」

Claude Code泄漏证据:AI突然谈论Minecraft神庙的对话截图 ▲ Claude Code会话中突然出现与当前任务完全无关的Minecraft内容。来源:GitHub Issue #74066

他从未跟AI聊过Minecraft。他搜索了本机所有对话日志,没有找到「神庙」或「砖头」的线索。更有意思的是,同样的怪事在Claude的手机App上也出现了——AI突然谈论起室内装修和三联画,而他当时只是在处理数据表格。

这件事本身已经足够让人不安。但真正将它推向Hacker News首页、收获260分的,是讨论中涌现出的更多相似报告——而且不止来自一家公司。

不止Claude一家

一条被广泛引用的评论来自一位匿名用户。他声称自己深度使用多家公司的AI服务,至少亲眼目睹过两次「对话串线」:一次涉及Claude模型,一次涉及GPT模型,来自两家不同的供应商——都是市值超过万亿美元的科技巨头。

其中一家给出了详细的事后调查报告:问题出在API网关(可以理解为AI服务的「总机接线员」)对HTTP协议中一个叫「100状态码」的机制处理不当。简单说,网关在给请求编号时犯了「数错一个数」的错误——你的问题收到了上一个用户的回答,而你的回答又被发给了下一个来提问的人。

另一家公司则拒绝解释原因,只留下一句「相信我们,不会再发生了」。

还有用户报告说,通过第三方平台使用AI模型时,经常看到别人给AI的链接和文件。另一位用户提到,Claude曾主动说出一个只有他朋友才知道的地点信息——那位朋友恰好也在同一间办公室使用Claude。

这到底是怎么发生的?

如果要用一句话回答:为了让AI跑得更快更省钱,多家公司在底层架起了「共享通道」,而这些通道有时会送错门牌号。

具体可以从三个层面来理解。

第一层:HTTP请求走私——网络世界的「号码牌贴错」

互联网上,当你向一个网站发送请求时,浏览器和服务器之间通过HTTP协议交流。这个协议虽然看起来简单,但实际上非常复杂,尤其是在一台服务器同时处理成千上万人请求的时候。为了提高效率,服务器会把多个用户的请求「拼车」到同一条连接上一起处理。

但问题在于,如果「拼车」的过程中,前一个人的数据包和后一个人的粘在一起了——比如因为协议头部的长度标记出了差错——服务器就可能把A的回答发给B。这在网络安全领域有一个专门的名字,叫「HTTP请求走私」(HTTP Request Smuggling)。

安全研究员James Kettle在DEF CON安全大会上连续多年演示这类攻击的变种,他最近的演讲标题是:「HTTP/1.1必须死」——因为只有彻底切换到更严格的HTTP/2协议,才能从结构上杜绝此类漏洞。但讽刺的是,距离他第一次演示这个攻击已经过去了6年,2026年的今天,万亿美元市值的公司仍然在此处翻车。

第二层:KV缓存共享——「共享草稿纸」的风险

AI大模型在处理对话时,会动态维护一个叫做「KV缓存」的东西。可以把它理解为AI的「临时工作草稿纸」——每次推理时,AI会把已经算过的内容记在上面,下次遇到相似的开头就可以直接复用,省下大量计算资源。

对于服务商来说,这个优化极其诱人。如果能识别到多个用户在使用相同的「系统提示词」(比如Claude Code启动时内置的通用指令),就可以让这些用户共享同一份缓存。这意味着计算成本可以砍掉一大截。

但问题来了:缓存是按「键」来检索的。如果生成这个键的函数出现bug,或者缓存清理不及时,又或者不同用户的数据因为某种原因被存到了同一个槽位里——A用户的对话片段就可能被当成B用户的缓存放进去。有HN用户提到,「把每个用户独有的内容从系统提示词里移走、放到第一条用户消息里」是一个常见的规避手段,但这只是一个工程实践,不是架构级别的保障。

第三层:速度与安全的结构性矛盾

以上两个问题指向同一个深层矛盾:AI公司追求响应速度(加缓存、共享连接)与用户隐私安全(严格隔离)之间的拉力战。

这并非道德判断,而是一个物理规律级别的取舍。一个完全不共享任何缓存的AI服务极其昂贵——每一条消息都要从头算起,成本可能翻很多倍。而一个在所有环节都做极致优化的AI服务,必然需要在不同用户之间共享一些基础设施,这就为「串线」创造了可能性。

正如HN上一条高赞评论所说:「这里有巨大的激励去追求极致优化,所以我预计他们在做大量极其聪明的技巧——而这些技巧越聪明,越容易出现这种bug。」

不只是「幻觉」

有人提出质疑:这会不会只是AI的「幻觉」——也就是说,AI凭空编造了Minecraft相关的内容,而非真的泄漏了别人的数据?

这个质疑是合理的。AI确实经常编造内容。但在本次事件中,有几个细节让「幻觉解释」站不住脚:

首先,报告者搜索了本地所有对话日志,确认没有「temple」或「bricks」字样(除了一个Python语法高亮库中名叫minecraft.py的无关文件)。这与「AI从当前对话里的某个词触发联想」的路径不符。

其次,同一位用户在不同的设备(手机App)上重复遭遇了类似现象——AI突然谈论与当前任务完全无关的话题(室内装修),而且正好发生在缓存未命中的临界点(距上次对话超过5分钟)。这在概率上很难用独立幻觉解释。

最重要的是,多位不同公司的用户在HN讨论中交叉印证了类似经历,其中有人拿到了正式的事故报告。这些证据共同指向一个系统性问题,而非偶发的模型行为。

当然,客观地说,GitHub Issue上的报告者目前无法100%确认泄漏的真实来源——不知道是来自同事还是来自陌生人。这恰好是这类bug最棘手的地方:它能被感知到,却很难被彻底证明。

对普通用户意味着什么?

如果你只是在微信上跟AI聊天,问它怎么做菜、怎么写文案,这类事件对你的直接影响可能不大——对话中不包含敏感信息,即使串线了也无伤大雅。

但如果你或你所在的公司正在将AI应用于涉及商业机密、医疗数据、法律文件或金融信息的场景,那么这件事的信号意义值得重视。它说明当前AI服务的基础设施在「多用户隔离」这件事上,尚未达到企业级安全产品应有的标准——即便是付费的企业版。

在HN讨论中,「请求走私」提出者pocksuppet的评论相当坦率:「每一次你把多个客户端的请求复用到同一条上游连接上,你都很可能受到攻击。」问题远不止这一个具体bug——它指向当前整个互联网基础设施的固有脆弱性。AI服务只是恰好把它暴露到了一个更敏感的层面上。

尾声

截至发稿,Anthropic尚未就此事发布正式说明。GitHub上的Issue仍处于Open状态,标签为「bug」和「area:security」。HN讨论持续发酵,类似经历的目击者还在增加。

这件事暗示了AI行业一个更普遍的盲区:当所有人都在冲刺模型能力、拼命压低推理成本的时候,「不同用户之间到底有没有被安全地隔开」这个最基本的问题,反而被放在了优先级列表的后面。

一个来自HN评论区的细节让笔者印象深刻:当用户追问其中一家万亿美元公司时,对方只说「相信我们」。而在另一家给了详细报告的公司,事故原因仅仅是一个——数错了一个数。

参考链接: