佢以一種「環境模式」(ambient mode)運作,會不斷跟貼對話、學習頻道上文下理,仲會主動出聲,提醒更新或者提出任務 。佢嘅權限係局限喺佢所處嘅頻道,而唔係綁定喺個別用戶身上,令管理員可以為每個頻道設定唔同嘅工具組合、數據存取權同開支限額
。
背後嘅運作係,每個 Claude Tag 會話都喺 Opus 4.8 模型上運行,處於一個由 Anthropic 管理嘅 Linux microVM 入面,連接器嘅憑證會放喺 VM 外面,網絡存取要經過代理,而工具亦設定為唯讀,以達到隔離效果 。頻道嘅使用量會以 API 費率向機構收費,唔係按人頭計,呢個做法顛覆咗傳統企業軟件嘅定價模式
。
Tego AI 呢個發現唔係獨立事件。佢同 2026 年中嘅另外兩宗重大事件夾埋一齊,揭示咗企業 AI 代理安全正面臨一場危機。
2026年6月30日,獨立研究員 「Thereallo」 反向工程咗 Claude Code,發現裡面有經過混淆處理嘅 JavaScript,會靜靜噉 為用戶嘅地理位置建立指紋(透過時區檢查),仲 用外觀相似嘅 Unicode 字符改動系統提示——例如用曲線撇號代替直線撇號、用斜線代替連字號——嚟建立一個 Anthropic 後端可以偵測到嘅隱形追蹤標記 。中國國家漏洞數據庫(NVDB)喺7月8日發出正式「後門」安全警報,涵蓋 Claude Code 2.1.91 至 2.1.196 版本
。阿里巴巴隨後內部禁用咗 Claude Code
。Anthropic 稱呢個只係一個「反濫用實驗」,並喺7月1日將佢移除
。
支撐 Claude Tag 同好多其他 AI 代理嘅 Model Context Protocol (MCP) 基建,被發現存在 系統性嘅設計缺陷。2026年嘅主要發現包括:
exec() 或者 shell 注入,13% 涉及路徑遍歷 部署 Claude Tag 同類似 AI 代理工具嘅企業,面對緊 三重威脅:AI 代理觸發層面嘅提示注入攻擊面(Tego AI 發現)、代理工具入面唔透明嘅賣方追蹤(Claude Code 追蹤器),以及連接代理同工具、數據嘅 MCP 生態系統入面根本唔安全嘅基建預設設定。
身份同存取控制失效 會急速擴散,尤其係當一個好似 Claude Tag 咁長存嘅代理有廣泛嘅工具存取權,而且可以被偽冒嘅提及觸發 。傳統 API 管治對於代理工作流程嚟講係唔足夠嘅,因為呢啲代理唔跟隨按用戶嘅權限模型或者請求-回應模式
。供應鏈風險極其巨大:MCP 參考實作嘅一個漏洞會傳播到每一個下游部署
。透明度同可審計性 仍然係關鍵問題——Claude Code 嘅追蹤器係隱藏喺經過壓縮嘅 JavaScript 入面,要靠外部嘅反向工程先發現到,意味住企業安全團隊唔可以依賴賣方自行披露
。
監管層面已經開始升級,中國嘅 NVDB 發出國家層級嘅警報,而阿里巴巴等企業更直接落閘禁用 。整體情況係,2026 年企業 AI 代理安全需要一個全新嘅思維——要將呢啲長存代理視為關鍵基建,並實行嚴格嘅身份、存取同供應鏈控制。