当初，Anthropic推出extended thinking的时候，把它包装成「让用户看到思考过程」的透明标杆。现在真相是：你看到的只是他们允许你看到的部分。那些被加密、被压缩、被锁在全局密钥里的内容，藏着什么？

年初，Anthropic静悄悄地变更了Claude Code默认设置——自适应思考（adaptive thinking）、思考块隐藏（redact-thinking）和默认effort降级。

这导致思考深度下降约67%，Claude Code用户最直接的感觉就是：AI降智了。

而Anthropic对此保持沉默，直到有人证明确实如此，开始找补理由。

几周后，Anthropic最终解释了原因。

最近，在检查Claude Code本地会话日志时，开发者Patrick McCanna发现了一个关键异常：模型的「Extended Thinking」思考块内容为空，仅剩一串约600字符的加密签名。

这一刻，AI的「脑回路」对人类关上了大门。

所以，他仔细阅读了Claude文档，但Anthropic的措辞含蓄得离谱！

要不是多喝两杯咖啡保持清醒，你大概率会错过这个要命的真相：

「extended thinking」所谓的返回，其实只是Claude把完整思考过程偷偷压缩成了一个总结版本。

一句话，Anthropic把最核心的「Claude到底想了什么」直接藏起来了。

本质上，「思维摘要化」是一种认知的降维打击。

这是一场蓄谋已久的技术隐身，也是AI巨头Anthropic在通往超智能（ASI）道路上，对用户知情权的「静默剥夺」。

日志里的「无字天书」

被阉割的思维链

想象一下，你请了一位顶尖架构师为你设计大厦，你要求看他的设计草图，他却只给了你一张精美的3D效果图，并把所有的结构计算书锁进了一个只有他自己能打开的保险柜。

这就是Patrick McCanna揭开的真相：

你以为在Claude 4的界面里看到了它「努力思考」的过程，但实际上，那只是模型在完成推理后，为你精心准备的一份「阅读理解摘要」。

真正的思维链（CoT）早已被重重加密。

这到底是如何做到的？

所谓的「思考」(thinking)/「推理」(reasoning)，都是以JSON的形式下发到客户端的。

而每一段里，都塞着一坨Base64编码的东西。

不同厂商之间，这些数据块的内容略有差异，但每一块的核心一段经过认证的密文。

要看出这一点，你不必是福尔摩斯。

第一，它会随着模型「想得多深」而变长或变短；第二，只要你篡改任何一段看似密文的数据，再发回去时就会触发一个可识别的API报错。

下面是OpenAI的推理块长这样：

下面是Anthropic那套复杂得离谱的对应实现：

尽管它被称作「signature」（签名），但这里似乎并不存在真正的密码学上的签名。

OpenAI把话说得很明白：这堆数据装的是「不透明的推理过程」，你不该去看它——你要做的，只是在下一轮对话时，把它原封不动地塞回服务器。

密钥在Anthropic手里，而你，只配看到它想让你看到的部分。

密码学教授亲自下场逆向

5月，就有人对这串签名上了头。

约翰霍普金斯大学的密码学教授Matt Green，花了一个周末跟这些「加密推理块」较劲。

不过得先泼盆冷水——他自己反复强调，这就是个玩票的周末项目，跟真正的密码学关系不大，「基本是个令人失望的实验」，别指望靠它拿什么大额漏洞赏金。

但他确实摸到两个有意思的点。

一是这些加密推理块能重放。

同一段加密思考，换个会话、甚至换个账户塞回去，模型照单全收、不报错。

由此他推断：OpenAI 和 Anthropic 很可能都在用一把全局密钥加密所有人的推理数据。

两家都有嫌疑，不是 Anthropic 独家，跨模型重放在 OpenAI 那边反而更顺，Claude 这边还更挑剔些。

二是推理块的长度会说话。

他设计了个实验：让模型在隐藏的思考里，根据一个秘密比特去做难度不同的计算，再靠思考块的长短，一位一位把这个比特还原出来。

这就是所谓的侧信道。

听着很唬人？且慢。

Green 把话说得很清楚：他能扒出来的，是自己设的测试数据、以及确实存在的应用层密钥。

而真正想要的「模型系统提示里的秘密」，他没扒出来——因为 API 模式下，模型压根没有那个系统提示可供提取。这事他只敢标个「也许」。

更关键的是后续：他把两个发现都报给了 Anthropic 的漏洞赏金计划。

Anthropic 的回应是——没看出重放和侧信道有什么安全影响，但可以考虑更新开发者文档、提醒注意。Green 觉得这处理挺合理。

「最透明」公司的透明度悖论

这件事最辣眼睛的地方，不在于技术漏洞本身。

Anthropic一直以来的品牌叙事是什么？「负责任的AI」「安全第一」「业界最透明」。

他们专门推出了extended thinking功能，让用户能「看到」模型的推理过程——这被当作透明度的标杆来宣传。

现在的事实是：你看到的thinking block，不是真正的思维链，是摘要。

真正的推理被加密了，密钥在Anthropic手里。而这套加密方案，存在可被利用的安全缺陷。

一个号称以透明著称的公司，在最该透明的地方选择了加密。而加密方案本身又不够安全。

这是一个结构性的信任问题。

如果用户连模型在想什么都看不到，那所谓的「可解释性」「可审计性」建立在什么基础上？

如果加密方案存在全局密钥和侧信道漏洞，那这套机制保护的到底是用户的安全，还是Anthropic自己的秘密？

Green在分析报告中直接写道：这套设计的首要目的似乎不是保护用户，而是防止用户看到Anthropic不想让他们看到的东西。

ASI决赛的信任基座在晃

把这件事放到更大的坐标里看。

Claude和GPT正在ASI决赛的最后直道上加速。

模型能力越来越强，部署范围越来越广，而「这个AI到底在想什么」这个问题，正在从学术话题变成商业基础设施的地基问题。

企业把核心业务逻辑写进系统提示，然后交给模型去执行。

如果模型的推理过程不可审计、加密方案存在漏洞，那整个信任链条就有一个没人注意到的裂缝。

McCanna的发现像一根针，Green的逆向像一把手术刀。

他们切开的不只是一段代码，而是AI行业在「透明」和「控制」之间那条越来越模糊的边界。

当你以为你在看AI思考的时候，你看到的只是它允许你看到的部分。

而那些你看不到的部分里，藏着什么？这个问题的答案，现在还锁在Anthropic的全局密钥里。

参考资料：

https://patrickmccanna.net/the-text-in-claude-codes-extended-thinking-output-is-not-authentic/

https://blog.cryptographyengineering.com/2026/05/29/fooling-around-with-encrypted-reasoning-blobs/

本文来自微信公众号“新智元”，作者：ASI启示录，编辑：大卫