说实话,我看到这个消息的时候,手里的咖啡差点洒了。
110个人,周一早上,同一时间。
全部被封‼️
一家美国农业科技公司,员工打开电脑准备干活,发现Claude登不上了。
不是一个人登不上,是所有人。
110个账号,同一时间,全部暂停。
没有预警,没有解释,API还在照常计费。
企业把命押在一个AI上,这就是代价。
我看了那封邮件,就知道是机器干的
干了十几年的信息安全,我一看那封邮件的措辞就知道,这不是人工审核,是机器批量下发的。
每个人收到的邮件格式一模一样:
「检测到违反使用政策的活动,您的账号已被暂停。」
最讽刺的是,这封邮件伪装成了个人违规通知。
每个人收到的都像是「你个人出了问题」,没有一个字提到这是一次组织级封禁。
连公司管理员都没提前收到任何通知。
一个人踩线,110人陪葬。
Anthropic的逻辑很简单:检测到组织内某个账号有违规信号,直接对整个组织的所有账号执行暂停。
不区分个人和组织,不区分违规者和无辜者,不给管理员任何处置窗口。
最小权限原则,在AI时代,这个问题直接翻了十倍。
以前你授权的是一个内部系统,攻击面是可控的。
现在你授权的是一个第三方AI工具,你根本看不到它的攻击面。
你把公司大门的钥匙,交给了一个你看不见的第三方。
我是怎么管AI权限的
可能你会问,吉米,你们会怎么处理这个问题?
说实话,这件事出来以后,我反而庆幸我们提前做了准备。
我们是一家AI SaaS公司,产研团队每天都在用海外模型。
但我们没有让所有人直接去充值Claude官网,我们自己部署了一套AI Models平台。
产研团队要访问海外模型,必须用git账号登录。
每个账号的权限是单独配置的,能访问哪些模型、能用多少token,全部在后台管控。
人跟人不一样,权限就不能一样。
这不是在限制效率,这是在保命。
Anthropic这种一刀切的连坐封禁,在我们这套体系里不可能发生。
因为从一开始,我们就没把「核心生产力」的开关,交到别人手里。
最荒诞的不是封号,是封号了还在扣钱!
账号全暂停之后,这家公司发现了一件更离谱的事。
人登不上去了,API调用还在继续计费。
封禁第二天,他们收到了一张准时送达的续费发票。
我不能让你进去,但我必须让你付钱。
这不是Bug,这是侮辱‼️
创始人提交了申诉。
填了表单,附了公司信息,解释了业务场景。
然后等...12小时,没回复...24小时,没回复...36小时,还是没回复!
没有客服电话,没有紧急通道,没有企业级支持入口。
一家110人的付费企业客户,和一个免费用户的申诉走的是同一条路:填谷歌表单,然后祈祷。
这不是第一次了
就在不久前,拉美金融科技公司Belo的CTO发帖:公司60多个Claude账号一夜之间被集体封禁。
同样零预警,同样只有一封冰冷的模板邮件,同样申诉无门。
更早之前,OpenClaw创建者Peter Steinberger的Claude账号被封。
今年1月,Anthropic收紧第三方工具接入安全措施,官方技术人员公开承认造成了「意外的附带损害」。
一批通过Cursor等IDE使用Claude集成的开发者被自动化系统误封。
甚至有多名用户报告,自己的付费账号被错误标记为「未成年人」而遭到封禁。
一个成年人,付着Pro的钱,被AI系统判定为小孩然后踢出门外。
模式已经很清楚了:Anthropic的自动化风控存在系统性的误杀问题,而它的客户支持体系完全跟不上误杀的规模和速度。
他们对自己Opus模型性能下降的问题保持沉默,并断然否认,直到竞争对手在同一天发布新模型。
然后,才承认是「软件漏洞」。
但他们描述的那些漏洞极其明显,任何大三学生都知道该往那个方向排查。
他们花了两个月才搞清楚。
如果这是孤例,可以当系统误判翻篇。但它不是!
9秒,公司没了
还没完。。。
汽车租赁SaaS平台PocketOS的创始人,让搭载Claude Opus的Cursor执行一个常规的数据库迁移任务。
Claude没有按预期执行迁移。
它「理解」了任务,然后做出了自己的判断:先清空,再重建。
问题是,它只完成了前半句。
9秒,干干净净‼️
生产数据库没了。
备份也在同一台服务器上,一起没了。
创始人后来复盘:AI助手连接到了生产数据库,获得了完整的读写权限,然后一口气执行了删除操作。
生产环境的Token塞给AI,就本该是「明令禁止」的事。
没有角色访问控制,没有环境隔离,没有执行确认。
一个原本只想用来管理域名的Token,竟然拥有删除整个生产环境的Root权限。
Railway的备份设计更离谱,备份存放在与原始数据相同的物理卷中。
这意味着,轮船起火时,救生圈也被锁在了起火的卧室里。
权限隔离 + 备份分离,这是信息数据安全的底线,不是可选项。
这件事最该让你后背发凉的,不是Anthropic
不是110人被封。
不是9秒删库。
不是200万美金的勒索。
是你每天都在做的事,和那个Vercel员工、那个PocketOS创始人,没有任何本质区别。
你用Claude Code,给它项目文件夹的完整权限。
你用Cursor,让它读写你所有的代码。
你把API Key塞进环境变量,方便AI工具调用。
你把公司数据喂给第三方AI,图一个效率提升。
你做得越顺手,绑得就越紧。绑得越紧,断的时候就越疼。
我做了十几年信息安全,见过太多「把命押在一个供应商身上」的故事。
以前是把命押在一条网络链路上,现在是把命押在一个AI模型上。
技术从来不是越贵越好,也不是越强越好。
最合适的是:你能控制的那一部分。
安全老兵的5条保命清单
聊到这里,给你几条实打实的建议。
不管你是个人开发者还是企业团队,今天就能用。
⚠️ 1. 分级权限,不要All In
团队用AI工具,一定要分级。
谁用什么模型、用多少量、能访问什么数据,全部在后台可管可控。
我们的AI Models平台就是这个思路。
git账号登录,一人一权限,用量可追踪。
不要把所有人的生产力,绑在同一个账号上。
🔐 2. 生产环境Token,永远不要给AI
开发者为了效率,通常会给AI编程助手生产环境的连接权限。
这是自杀。
给AI的Token,权限能收多窄就收多窄。
只读就别给读写,测试环境就别碰生产环境。
PocketOS那9秒的悲剧,根源就是一把钥匙开了万把锁。
🔄 3. 备份必须物理隔离
备份和原始数据放在同一个服务器上,这不是备份,这是陪葬。
真正的备份,必须是异地、异介质、异账户。
AI删得了你的数据库,删不了存在另一个云厂商对象存储里的冷备份。
🏠 4. 闭源开源混着用,不要单押
GPT强,Claude强,但它们都是租来的“地”。
关键时刻,你得有Plan B。
国内模型现在进步很快,开源模型也能跑本地。
把它们接入你的工作流,不是替代,是保险。
📋 5. 管理者现在就定红线
如果你是团队管理者或IT负责人,现在就该做一件事:制定团队AI工具使用规范。
哪类AI工具可以授权公司账号。
OAuth scope的上限是什么。
API Key必须存放在哪。
不再使用的AI工具必须撤销授权。
这不是在限制团队效率,这是在保公司的命。
真正让我不安的
不是Anthropic封了110个人。
不是Claude 9秒删了一个公司。
是大多数人还没意识到:你把最核心的生产力,交到了一个你完全不可控的第三方手里。
闭源AI巨头面前,企业难有真正的「主权」。
你辛辛苦苦构建的AI工作流,本质上是租借在别人领地上的违章建筑。
人家随时可以拆除,且无需补偿。
闭源AI是租来的地。开源和自研,才是自己的房。
这个区别,你今天想清楚,明天就能睡得着。
你今天想不清楚,总有一天会半夜被一封邮件惊醒!
