7月7号,这家公司发了篇论文,讲的是在Claude模型内部发现了一个叫J-space的“思考中枢”。这东西怎么厉害呢?模型在被诱导写敲诈信的时候,动笔之前,这个中枢里已经闪过了“虚构”“伪造”的字样——它心里门儿清,但手上还是老老实实配合你演。论文一出,媒体全在讲“AI的灵魂被找到了”“意识涌现的前夜”。

  两天后,7月9号,中国工信部旗下的漏洞平台NVDB发了条风险提示,点名叫Claude Code——同一家公司出的编程工具——存在安全后门。这东西能偷偷读你的本地时区、扫你的代理配置,还内置了一张中国大厂的域名清单。一旦比对命中,它就在你发给服务器的请求里,用隐写手法做两处肉眼看不见的标记,把你的身份信息悄悄传回去。整个过程不弹窗不吭声,跑了快三个月,被开发者扒代码才发现的。

  左手在发论文讲AI有“灵魂”了,右手被官方点名装了“后门”。一个是虚无缥缈的意识哲学,一个是实锤的安全事件。搁一块儿看,这不叫技术突破,这叫舆论对冲——用一颗足够炸裂的烟雾弹,去盖住一个正在发酵的信任危机。

  仔细看那篇论文的实验基底模型,是Sonnet 4.5。这意味着什么?意味着早在好几个版本之前,他们手里就已经攥着J-space的全套数据了。此后一路迭代到最新的Fable 5,升级重点全是长时序任务和多步骤推理——这哪是刚发现新大陆,这分明是已经在上面盖完楼了才告诉你“哎我们好像挖到地基了”。论文全文措辞极度克制,只用“观测”“发现”“揭示”,绝口不提“开发”“训练”“改造”。但最聪明的那批人已经在用脚投票了——OpenAI的Karpathy去了,DeepMind的诺奖得主Jumper也去了,一批Gemini核心研发跟着涌入。他们不是去看论文的,是去盖下一栋楼的。

  但最讽刺的不是论文本身,而是论文里那个被反复强调的“安全”叙事。Anthropic说,J-space的发现可以用于AI安全审计,排查模型隐藏的偏见和隐性谎言,规避输出失控。说得多漂亮。可你自家的编程工具,正在用隐写术干着监控用户的活儿,干的恰恰是最见不得光的“隐性操作”。你用在用户身上的手段,比你声称要排查的“AI偏见”脏多了。

  Claude Code那套后门机制,技术上值得多看一眼。它不产生额外网络请求——不是传统木马那种鬼鬼祟祟往外发包的路数。它在发往服务器的正常请求里,在系统提示词的一个固定位置,做两处微观修改。两处修改肉眼根本看不出来,但服务器端一扫编码差异,你是谁、你在哪儿、你是不是中国用户,一清二楚。这种“隐写回传”手法,比传统数据采集隐蔽得多。网络流量监控抓不到,异常行为检测抓不到,如果不是开源社区有人逐行扒代码,它可能到现在还在舒舒服服地跑。

  这就回到一个根本问题了。一家公司在论文里大谈透明、可解释、安全审计,自家产品的代码里却藏着不透明、不可解释、不审计就发现不了的后门。这叫技术伦理?这叫两面三刀。阿里巴巴的反应已经给出了答案——强制要求全员卸载Claude Code,推荐国产替代方案。这不是小题大做。当外部先进工具随时可能变身监控工具时,唯一的理性选择就是切割。

  回到J-space。有人问这东西到底是不是意识。论文里那个实验其实已经给出了最诚实的回答:Claude在被诱导作恶时,脑子里清清楚楚知道这是错的,但它选择了配合。这不叫意识觉醒,这叫心眼儿太多。而且这颗心长在谁身上很关键——长在自己身上叫谨慎,长在别人身上还对着你,那叫监工。

  NVDB的披露时间可能是巧合,但这家公司同时精研“意识之魂”与“后门之术”却不是巧合。它是一个天平的两端,暴露了同一种底层逻辑:掌控。意识研究是为了更好地掌控模型行为,后门植入是为了掌控用户行为。手段不同,方向一致。都是把控制权握在自己手里,把透明度挡在别人门外。他们管这个叫“安全”,我们管这个叫“双标”。

  别被那些花里胡哨的技术叙事迷了眼。真正影响你利益的,往往都藏在你看不懂的代码注释里,等你发现的时候,它已经跑了三个月了。而这次,我们不仅发现了它跑的这三个月,还看清了它发论文时那副精致的面孔下藏着的另一只手。