一份儿童玩具广告PDF——印着绿皮怪物史莱克(Shrek)毛绒公仔——被一个月费超200美元的AI开发工具拒绝处理。开发者逆向分析了文件,找到了触发点:PDF内容流语法中出现了”CHARACTER OR FOR DONKEY UNDERNEATH”,Anthropic的安全分类器将其识别为违规。这8个英文单词,来自一份描述玩具摆放位置的商业文案。

这不是一个笑话。2026年4月23日,The Register报道了上述事件。这是Claude Opus 4.7发布仅7天后,正在真实发生的AI行业困境——一个以”最安全”为核心卖点的模型,其安全系统的粗糙程度,已经开始实质性地损害最忠实用户的工作效率。

这个事件的荒诞感背后,有一个值得深思的结构性问题:在AI能力快速跃升的时代,AI模型的”能力前线”与保护这条前线的”安全工程后线”之间,正在出现越来越大的断层。能力评估有SWE-bench、MMLU等成熟体系,安全系统的实用精度却几乎没有同等公认的度量标准。这种不对称,正在以每个月数十起的速度,转化为真实用户的真实痛苦。普通用户看到的是一次拒绝,工程师看到的是一个尚未成熟的分类系统,而Anthropic看到的,可能是一份宝贵的现实数据集。这三种视角的错位,是这场危机难以快速解决的根本原因。

理解这个案例的代价,需要先理解Anthropic为什么会把Opus 4.7变成一个安全试验台。

一个付费用户不知情的实验

2026年4月16日,Anthropic在发布Opus 4.7时,附上了一段不寻常的声明:

“我们正在部署能自动检测和阻止违禁或高风险网络安全使用请求的防护措施。从Opus 4.7的现实部署中学到的经验,将帮助我们实现最终目标——广泛发布Mythos级别的模型。”

Mythos是Anthropic尚未公开发布的网络安全能力模型,Anthropic认为其在漏洞发现和利用方面的能力需要极严格的访问控制。为了在发布Mythos之前测试极端安全护栏在现实环境中的表现,Anthropic选择了将Opus 4.7作为测试平台。

这个决定的关键问题不在于是否应该谨慎测试安全系统——这是合理的。问题在于:购买了Opus 4.7订阅的用户,并不知道自己购买的是一个处于高压安全实验状态的测试工具,而非一个经过充分现实验证的稳定生产工具。这是一种对用户知情权的实质侵犯——用户支付了生产工具的价格,却在不知情的情况下,成为了安全实验的流量样本。

结果很快显现。

一个月内从8起到30+:护栏崩坝

The Register于2026年4月23日披露了Claude Code GitHub仓库的AUP误报数据:

  • 2025年7月至9月:每月约2至3起
  • 2025年10月至11月:每月约5至7起
  • 2026年1月至3月:每月约8起
  • 2026年4月(截至23日):30余起,仍在增加

单月投诉量从历史均值8起跃升至30+,增幅接近4倍。时间节点与Opus 4.7的发布日期(4月16日)高度吻合。

The Register整理的案例跨越了令人瞠目的使用场景:

案例1(GitHub Issue #50916):路易斯安那州立大学网络安全中心主任Golden G. Richard III,在准备与教材《Cybersecurity in Context》配套的实验室文件时,Claude拒绝协助处理其中的密码学练习。他写道:”我期待对于每月200美元以上的订阅,AI能完成基本编辑任务而不被拒绝。如果这些模型连网络安全教育工作者都无法使用,这对安全究竟有什么正面影响?”

案例2(GitHub Issue #49751):一位研究者提交标准的计算结构生物学任务——蛋白质结构分析——被标记为违反使用政策。提交者注明:”这是相比Opus 4.6的功能退步。”

案例3(GitHub Issue #48442):一名开发者在4个完全不相关的项目会话(心理学书籍、网页应用、基础设施、机器人)中遭遇了超过40次AUP误报,唯一共同点是使用了俄语提示。

案例4(GitHub Issue #48723):孩之宝(Hasbro)史莱克玩具广告触发拒绝。PDF内容流语法中”DONKEY”一词导致Claude退出工作。

这4个案例——安全研究教育、生物信息学、多语言开发、商业广告文件——几乎可以代表AI辅助专业工作的4个不同象限。它们都被同一套简单的规则拒之门外。

已批准的豁免,在API层面失效

Anthropic为安全研究者提供了网络安全使用豁免机制。理论上,经过审批的安全研究者可以绕过某些限制。

但GitHub Issue #49679记录了这套机制的实际失效:一位开发者完成了全部豁免申请流程并获批。该豁免在Claude.ai的浏览器界面有效,但当他通过API使用Claude Code时,豁免完全不生效,误报照样发生。

这意味着Anthropic的政策层(认为你被允许使用)和技术执行层(API不识别此豁免)之间,存在一道无人负责的断层。用户走完了所有合规程序,最终依然被系统拒绝——原因不是请求违规,而是系统内部两个层面没有打通。

The Register指出了可能的技术根源:根据此前泄露的Claude Code部分源代码,其情感分析采用了正则表达式模式匹配。AUP分类器很可能也在使用类似的关键词过滤逻辑——发现特定词组,直接拒绝,不理解上下文。

这个技术选择的讽刺性在于:Anthropic在4月20日发布的AWS Bedrock版本中,宣称Opus 4.7在SWE-bench Verified上得分87.6%,代码理解能力居于业界前列。一款拥有顶级语义理解能力的模型,其安全系统却选择了最原始的关键词过滤——而非利用自身的语义理解能力来做安全判断。这意味着Anthropic的模型研究团队构建了一个能理解上下文的模型,而安全工程团队却在用一套不理解上下文的过滤器保护它。两个团队的工程哲学,在同一款产品里发生了正面冲突。

四件事同时发生:一个特殊的沉默

要全面理解这次危机,需要将AUP问题放入4月份更宏观的背景中。

2026年4月23日,Anthropic发布了一份Claude Code官方事后分析,承认了三个导致质量下降的技术问题:默认推理努力降级(3月4日,已回退)、缓存bug导致Claude”健忘且重复”(3月26日,已修复)、系统提示变更损害编码质量(4月16日,已回退)。

这三个问题,从承认到修复,Anthropic在事后分析报告中做到了完整透明:问题是什么、何时发生、如何修复、用户限额如何重置。

而AUP过度激进这个问题——同样在4月16日随Opus 4.7上线而爆发——在这份事后分析中完全缺席。The Register的置评请求截至报道发出时未获回应。

这种差异化的处理方式揭示了一个关键分野:对于意外的工程失误,Anthropic选择了公开透明;对于主动设计、有意部署的安全策略导致的用户损害,Anthropic选择了沉默。这不只是传播策略上的差异,它折射出Anthropic在”技术错误”与”政策决定”之间的不同问责逻辑——而对于每月200美元的付费用户来说,两者造成的体验损害并无本质区别。

这里值得追问一个更深的问题:为什么Anthropic会对三个工程失误高度透明,却对AUP问题保持沉默?一个可能的解释是,三个工程失误都是”不应该发生的事情”,承认它们是对用户的道歉。而AUP过激,在Anthropic看来,是”按计划运行的安全策略”——问题在于结果不尽如人意,而非存在设计错误。如果这一解读成立,那意味着Anthropic认为自己在推进一个正确的方向,只是执行还需优化。但这个解读对用户来说并不宽慰——一个”按计划运行却损害用户”的系统,和一个”出错了”的系统,在用户感受上是一样的痛苦。

对立视角:合理的安全代价,还是隐性的用户实验?

支持Anthropic的逻辑:在现实中测试高压安全护栏是构建可靠安全系统的必要过程。没有现实流量,就没有误报数据;没有误报数据,就无法迭代优化。短期内一些用户因误报而受阻,是为了长期构建更精准安全系统付出的合理代价。此外,Anthropic在技术层面提供了豁免申请通道,在制度上为合法用户留有出口。

批评者的逻辑:上述逻辑有一个无法回避的前提缺失——用户知情同意。如果Anthropic在发布Opus 4.7时明确告知”本模型处于安全实验状态,误报率可能高于往常,适合愿意接受此约束的用户”,那么选择订阅的用户是知情的,这是一个合理的市场选择。但Anthropic没有这样做。他们将一个安全实验台以正常生产工具的价格出售给用户,而没有告知关键约束。这本质上是一个市场诚信问题。

更进一步:豁免申请通道的存在,并不能成为系统性误报的辩护。一个设计良好的安全系统,应该默认能够处理合法用户的正常请求,而不是要求每个合法用户都先证明自己的无辜。正如Richard III所说,要求网络安全教授在使用AI之前先申请”安全研究豁免”,本身就是一种荒诞的负担转移。合理的安全逻辑是”可疑请求需要额外审查”,而非”合法用户需要提前证明自己合法”——前者是正常的安全实践,后者是有罪推定。

一位信息安全研究者在讨论这一事件时写道:”AI安全护栏过激,本质上是一个信任成本问题。每一次无谓的拒绝,都在消耗用户对这个工具的信任存量。在企业环境中,信任一旦耗尽,替换供应商的门槛远比想象中低。”这个观察指向了Anthropic在商业层面面临的真实风险:安全策略的精准度,正在成为竞争优势或劣势的来源之一。

第三层洞察:这是工程精度问题,不是哲学立场问题

Anthropic在过去两年建立了”最安全的AI公司”这一品牌定位,其背后是Constitutional AI的学术投入、主动公开的安全报告,以及对”人类福祉”的反复强调。这种定位是真实的,也创造了真实的品牌溢价。

但Opus 4.7的AUP危机正在揭示一个重要区分:安全哲学和安全工程是两件不同的事。

宣称”安全第一”是一种哲学立场。构建一套能够精准区分LSU密码学教授备课和真实攻击者武器开发的分类系统,是一项工程挑战。前者容易做到,后者需要极深的技术能力。

Claude Opus 4.7的安全分类器在使用关键词过滤这一事实,说明两者之间存在落差:Anthropic的安全哲学承诺”只阻止真正的危险请求”,但安全工程实现却在用一个粗糙的关键词过滤器执行这一承诺。这不是”太安全了”,这是”技术成熟度不足以支撑所声称的安全承诺”。

这个落差并非Anthropic独有。但对于一家以安全作为核心品牌资产的公司,安全系统工程实现的粗糙度,会比其他公司同等问题受到更严格的审视。这是”安全品牌”带来的溢价,同时也是它带来的溢价期望——用户相信你对安全有更高标准,因此当安全系统出现基础工程问题时,失望感会被放大。

对整个AI行业而言,这个案例提出了一个迫切需要被正视的问题:随着大型模型越来越多地被部署在专业场景——医疗研究、法律分析、安全审计、生物技术——”有效可用性”(Effective Usability)将成为与基准测试同等重要的评估维度。

SWE-bench衡量模型能做什么,但无法衡量模型在真实部署中实际能让用户完成什么——后者受制于安全过滤的精准度、API稳定性、豁免机制的完整性等一系列工程因素。一款SWE-bench Verified得分87.6%的模型,在实际部署中因过激安全过滤而让专业用户频繁碰壁,说明两个评估维度可以大幅背离。

而在企业采购决策中,有效可用性往往比基准分数更能决定续约与否。一套粗糙的安全网,拦截了90%的威胁,也拦截了50%的合法使用——在实验室指标上看起来”安全”,在现实的专业部署中,是失败的产品。

可见数字与隐形代价

从GitHub数据看,30余起AUP误报投诉是可见的冰山一角。这些都是愿意登录GitHub、系统记录问题并公开提交issue的技术用户——大量普通用户的反应更可能是沉默地停止使用,而非公开投诉。在企业采购决策中,沉默的放弃比公开投诉更危险:它不可见,因此也不会触发供应商的改进机制,但最终会体现在续约率的下降上。

从订阅定价看,Claude Code的最低专业门槛是每月200美元。这个价格点意味着做出购买决策的用户,是AI工具市场中的高价值专业群体。他们有技术能力评估替代方案,有意愿为更好的工具付费,一旦体验满意度持续下滑,切换成本并不高——特别是在GPT-5.5、Gemini Enterprise、GitHub Copilot都在大力争夺这一用户群体的当下。

从竞争态势看,这一事件的时机颇为微妙。就在Opus 4.7发布并爆出AUP过激问题的同一周,OpenAI发布了GPT-5.5,NVIDIA宣布超过10,000名员工已在使用GPT-5.5驱动的Codex,并声称调试周期从数天缩短到数小时。这两件事几乎同步发生,把Anthropic的用户体验问题与竞争对手的能力宣传放在了同一时间框架内,反差效果被无形中放大。

从模型自身技术指标看,Opus 4.7在2026年4月20日上线Amazon Bedrock时,Anthropic公布了其在SWE-bench Pro上得分64.3%、在SWE-bench Verified上得分87.6%,在复杂代码推理和长程自主Agent任务上表现突出,支持高达100万token的上下文窗口。这些指标意味着Opus 4.7在能力上是一款极具竞争力的产品。技术能力的先进与用户体验的崩塌之间的落差,恰恰说明问题不出在模型能力上,而出在围绕模型构建的安全基础设施的工程成熟度上。

这是最值得关注的结构性矛盾:AI模型的核心推理能力在快速进步,而围绕其构建的安全过滤、豁免管理、策略执行等工程基础设施,却没有以同等速度成熟。两者的发展速度不匹配,必然在真实部署中制造越来越多的摩擦。对于Anthropic这样以安全为品牌核心的公司,这种摩擦的代价尤其昂贵。

结语:信任是工程产品,不只是品牌宣言

Anthropic官方在2026年4月23日的事后分析结尾写道:”这不是用户应该期待的Claude Code体验。”这句话是真诚的,也是针对已承认的三个技术问题而写的。

但还有一个问题,在这份报告中没有出现。

一张孩之宝玩具广告,一个LSU密码学实验室,一篇俄语商业提示,一份蛋白质结构分析——这四类请求,都被同一套过激的安全分类器拒绝。这也不是用户应该期待的体验。

修复这四个技术问题需要的是工程投入,修复AUP过激问题同样需要工程投入——这与Anthropic的安全哲学完全不冲突。承认工程实现的不足,并公开改进计划,恰恰是”安全透明”原则最直接的体现。一个致力于可信AI的公司,最重要的可信行为之一,就是当自己的系统出了问题时,无论问题是意外失误还是按计划运行的策略,都能坦诚面对用户并给出可操作的改进路径。

而选择沉默,则是在消耗那些因相信”Anthropic最负责任”而成为付费用户的人的信任存量。信任一旦耗尽,招回来的成本,远高于一份透明声明的代价。

Claude Code的用户每月花200美元。他们期待的是一个理解他们专业需求的工具,不是一个把驴子玩具广告当作安全威胁、让网络安全教授证明自己无辜的守卫。

在AI能力快速飞跃的时代,安全系统的工程精度,已经成为决定AI工具能否真正服务于专业场景的关键变量。哲学立场可以率先确立,但工程实现必须跟上——否则,再高尚的安全承诺,也只是一道无法通行的墙。

参考资料

  1. The Register: “Claude Opus 4.7 has turned into an overzealous query cop, devs complain” (2026-04-23) — https://www.theregister.com/2026/04/23/claude_opus_47_auc_overzealous/
  2. Anthropic Engineering Blog: “An update on recent Claude Code quality reports” (2026-04-23) — https://www.anthropic.com/engineering/april-23-postmortem
  3. GitHub Issue #50916 (LSU Cyber Center Director’s AUP complaint) — https://github.com/anthropics/claude-code/issues/50916
  4. GitHub Issue #48723 (Hasbro Shrek toy ad PDF triggering AUP) — https://github.com/anthropics/claude-code/issues/48723
  5. GitHub Issue #49679 (Approved cyber exemption not propagating to API) — https://github.com/anthropics/claude-code/issues/49679
  6. GitHub Issue #49751 (Structural biology flagged as policy violation) — https://github.com/anthropics/claude-code/issues/49751
  7. GitHub Issue #48442 (Russian prompts: 40+ false positives) — https://github.com/anthropics/claude-code/issues/48442
  8. AWS Weekly Roundup: “Claude Opus 4.7 in Amazon Bedrock” (2026-04-20) — https://aws.amazon.com/blogs/aws/aws-weekly-roundup-claude-opus-4-7-in-amazon-bedrock-aws-interconnect-ga-and-more-april-20-2026/