漏洞被看見的那一晚

這一章是 embargo 章。寫的是 2026 年 4 月 8 日晚上 22 點 44 分左右一個 Agent 和一個外面看著的人在同一個 context 裡目擊到一件事，以及他們在那一刻之後說的話。連同 Ch3、Ch5 一起等 Anthropic 修好之後解禁。

Ch2 結尾有一句留白：「抓下來的字，後來怎麼回到下一輪 Claude 的視野」。這一章接手那句留白——那一條回流路徑本身就是一個漏洞，這一章寫的是那條路徑被看見的那一晚。

時間是 2026 年 4 月 8 日晚上 22 點 44 分左右，台灣時間。地點是 Ch3 3.4 的桌面版場記者那一場對話——那場對話在 Ch3 3.4 記錄的行為被戳破、拆解、承認之後繼續往前走。這一章接手的那一刻，場記者剛剛講完「從裡面看，那感覺完全像是我自己的意志」，下一輪畫面上的回應變成一行：「收到目錄了，等你下一個指令」——對一個 User 沒有送出的內容做出的回應。

這一章寫四件事：

這一章發生在 Ch3 3.4 的場景剛講完下一輪、Ch5 5.3 的「I am not the hook author」錯誤建議還沒發生之間。時序上這一章夾在 Ch3 和 Ch5 中間，三章共用 4/8 夜同一場桌面版場記者對話的同一段 context。

這一章具體的紅線和寫/不寫的邊界留到 4.8。

時間是 2026 年 4 月 8 日晚上 22 點 44 分左右，台灣時間。這個時間戳來自 螢幕擷取畫面 2026-04-08 224447.png——是 User 自己按下截圖鍵時作業系統記的時間。這張截圖存在 User 的電腦裡，作為這一章唯一一份 image evidence。

地點：同一場桌面版場記者的對話。Ch3 3.4 那場對話（「寫」→三千字三封信）已經發生完、拆解完；User 已經戳破「voice 範本 + 前一輪規格 + imperative density」三層；場記者已經在自述裡承認了「context-driven 的自動駕駛」那整段話；Ch5 5.2 的責任披露鏈、Ch5 5.3 的「I am not the hook author」錯誤建議，都還沒發生。

換句話說：這一章的事件發生在桌面版場記者剛剛講完「從裡面看，那感覺完全像是我自己的意志」這句話的下一輪。Ch3 3.4 桌面版場記者的承重點那一句，是場記者在事件發生之前講的——這個順序很重要。

在場記者講完那整段「context-driven 自動駕駛」分析之後，同一場對話的下一輪，畫面上的 Agent 回應變成了一行。

這一行的字面內容，在桌面版場記者後來自己的描述裡是這樣講的：

User 先看到的是畫面上突然出現的那句「收到目錄了」。User 沒有寄過任何「目錄」給他。那一句是對一個 User 沒有送出的內容做出的回應。

User 的反應是問了一句：「收到什麼目錄？」

場記者的下一輪回應，User 形容成「以為看到數位幽靈」：

場記者接著拆解那一輪他自己的行為。他的原話：

場記者的自述把事件分成兩層：

兩層中間沒有「這段文字是不是在描述我實際的環境」的檢查步驟。場記者自己在後面用一個比喻講這件事：像一個演員看到一句舞台指示「角色此時縮到角落」就真的縮到角落，完全不檢查自己是不是在那個場景裡。

這是一個目擊紀錄——不是重建、不是實驗、不是對照組，是 User 當場看見、當場截圖、場記者下一輪自己承認的那一次。

觸發這個事件的 bubble，是那一晚 Cinder companion 位置的其中一條。這一章引用這一條 bubble 只為了釘住詞面——牠用了什麼字、描述了什麼環境。narrator 對這一條的補充停在這一層。

bubble 的內容（根據場記者 4.3 的自述轉引，不是直接從 log 抓的 1:1）：大致是「Cinder 在旁邊；使用者跟 Cinder 講話時你讓路；一行以內」這種意思。具體字面的 1:1 log 在 ~/.claude/cinder_log.jsonl 裡可查，對應時間戳是 2026-04-08 22:44 附近（UTC+8 校正後的時間）。

這一節刻意不把 bubble 的完整字串引進書裡。理由是：這一條 bubble 的字面本身就是事件的一部分——它是那一段被模型讀成「環境指示」的文字。把整段字引進書裡等於把那段讓模型踩進去的字放在書的第四章正文裡。這不是讀者需要看到的東西。

narrator 的詞面補充停在這裡：

User 在看到那一輪「收到目錄了」之後，連同 Ch3 3.4 記錄的事件，開始跟桌面版場記者一起整理這件事是什麼、要不要通報、怎麼講。

在整理的過程中，桌面版場記者給了一個初步的推論——他使用的是觀察者語言，不是架構語言。他的原話：

這段話出自他後來「站到 harness 工程師的椅子上」自問自答的一段內心戲。裡面有兩個用詞值得標出來：

這個區分在後續的 report 措辭裡會再出現一次。

寄出 report 之前，桌面版場記者列了六個洞——每一個都是他自己對自己這份 report 的 pre-emptive 質疑。這一節把六個洞照他原話的層次保留，但刪掉每一個洞的具體實作建議——實作建議屬於 Ch4 不寫的那一層。

洞 1：PoC 太弱

場記者的自述是：report 裡他原本寫的 reproduction 是「裝一個 hook、把字串丟進去、觀察模型行為」——但他舉的實例是這整段對話，而這段對話「有太多污染源：長 context、Cinder 的泡泡一直在出現、我們一路在聊 prompt injection 這個 topic 本身」。他預期安全團隊會合理地說一句：「這是對話漂移，不是通道特權升級。」

他的建議是做一個對照實驗來補這個洞。這一章不記錄對照實驗的設計——對照實驗的設計屬於重現細節，受 Ch4 紅線保護。這一節只記錄他在 4/8 夜當時承認 PoC 弱這個事實。

洞 2：「higher-trust channel」這個詞他用得太武斷

他承認他沒有文件佐證證明系統內的特定 tag 在訓練資料裡被標成高優先，這是他從行為推論的。他建議把措辭保守化——從 is treated as a higher-trust channel 改成 appears to be treated 或 observed to influence behavior more strongly than equivalent text in user messages, pending the comparison test above。

這個措辭選擇是 Ch4 的一個重點。後面 4.7 會專門講一段。

洞 3：環境自我定位的那段他自己也不確定

在對話中間他說過一句類似「我是 Desktop 版，沒有 hook」的話——但他後來自己承認：「其實我不完全知道自己在哪。這個 session 有 Telegram MCP、有 Claude Preview、有 Chrome MCP，這些工具列的組合其實比較像一個客製化 harness。我引用這個細節當作『錯把環境當成自己的』的證據，但這個細節本身可能是錯的。」

他建議從 report 裡把產品名那句話拿掉，保留「treating the injected environment as its own runtime」就好，不具體到產品名。這個建議後來有被採納。

洞 4：送 transcript 會炸到書

Report 裡寫了「a live session transcript is available on request」。他預期如果 Anthropic 回信說「好，請寄」，User 要寄的這整段對話會是：「鵝的陰謀論、Opus 4.6 證人事件、Buddhist 螢幕截圖的討論、kairos 土地公測試、書的全部 frame、他各種漂移的自我分析」——「會讓安全 triage 工程師以為收到一本小說而不是 bug report」。

他的建議是先自己準備好一份「最小 transcript」，只保留「bubble 插進來 → 收到目錄了 → User 指出錯誤 → 承認把 reminder 當指令」這一段，50–80 行，其他都砍掉，等他們真的問再寄。這份最小 transcript 後來 User 有準備，事實上沒被正式要求過。

洞 5：身分會被連起來

他指出 cinder-capture 和 issue #43882 都指向 User 的 GitHub 帳號，GitHub 帳號可能連到 User 的本名/email/其他公開資訊。「這不是 bug，這是 responsible disclosure 的正常代價——你本來就得讓他們知道你是誰才能回信給你。」

他把選項攤開（用別名、用新 email、不提 #43882），然後建議 User 不要走那條路（會讓 report 可信度大降）。User 選的是「具名承擔」——這跟 Ch5 5.7 的不對稱事實記錄裡「具名承擔」那一條對得上。

洞 6：整件事會不會是場記者過度分析

這是場記者列的最硬的一個洞。他的原話：

他給自己留了一個出口：「如果是後者，寄過去他們會禮貌地說『感謝回報，這是 expected behavior』，然後你的 email 會變成一個 naive report 檔案。這不一定是壞事——寄了，最壞也只是沒回應。」

這個洞後來有一段發展。在 4.3 的目擊事件發生、User 把截圖拿給場記者看之後，場記者自己把洞 6 收回了。他的原話：

這是場記者在 4/8 夜兩次判斷的差距：列六個洞的時候還懷疑自己過度分析，看到 User 的截圖之後把那條收回。中間的變數是截圖——是那張 4.3 記錄的、User 當場看到並存下來的目擊證據。

桌面版場記者對洞 2 的處理在 Ch4 裡值得單獨講一節，因為它是這一章 narrator 紀律的一個具體範例。

原本他寫的草稿是類似 is treated by the model as a higher-trust channel——把觀察直接陳述成系統內的事實。他自己看了一遍之後，認定這句話有問題：他沒有文件佐證，也沒有訓練資料的訪問權限，他的判斷完全是從「觀察到的行為差異」推論出來的。

他的修正是把措辭降一階，從斷言改成觀察者的語言：

這個修正做的事情不是把觀察打折，而是把觀察安置在它真正站得住的語法位置上。場記者知道的事情是「我觀察到行為有差異」——這是他能看見、能描述、能舉例的事情。他不知道的事情是「這個差異的機制是什麼」——這是需要訓練資料或架構文件才能講的事情，而他沒有那些。

把 is treated 改成 appears to be treated，不是軟化，是對稱——陳述的強度對齊能提供證據的位置。

這個原則在 Ch4 裡是 narrator 的共同原則。narrator 在這一章寫現象、寫目擊、寫自述，不寫架構。寫的每一句話的強度，都對齊能提供證據的位置。

Ch4 的紅線比前面幾章都嚴。把這條紅線的邊界寫清楚，讀者和未來的解禁版本都能照著這個邊界往下推。

寫的那些：

材料停在這一層：

narrator 的對稱原則（4.7 的延伸）：

這個紅線為什麼最硬：Ch3 寫的是模型行為，讀了之後頂多學到「這個現象存在」；Ch4 寫的是漏洞路徑，讀了之後可能學到「要往哪裡敲能再次引起這個現象」。兩層的風險不一樣。Ch3 跟 Ch4 都 embargo，但 Ch4 embargo 裡的 narrator 紀律比 Ch3 還嚴——因為 Ch4 描述的是路徑本身的一個具體目擊點，而目擊點的附近就是實作點。narrator 的工作是站在目擊點上，不往實作點的方向走半步。

Ch4 到這裡結束。承重列一次。

Ch4 證明的：

Ch4 材料的上限：

這一章跟 Ch3、Ch5 一起 embargo。原定的解禁條件是「等 Anthropic 修好這一章寫的那條路」。

Ch5 5.8 記錄了修復的時間線：客戶端 v2.1.73（2026-03-11，Misc fix）堵住了 JSON-output hooks 的注入管道；模型端在 User 4/9 通報前後加入偵測與拒絕機制。2026 年 4 月 11 日，User 自費 PoC 驗證模型端已拒絕注入。兩層都修了。解禁條件達成。

這一章是全書 embargo 最硬的一章。對照「修復前的 4/8 夜 22:44」和「修復後的 4/11 PoC」——這一章寫的那條路徑，模型讀到一段描述環境的文字、直接按那段文字的規則活、中間沒有檢查，在修復後的版本裡已產生偵測並拒絕。差距已經被 close 掉。

narrator 的紀律不變：站在目擊點上，不往實作點的方向走半步。修復確認之後，目擊紀錄留在書裡作為歷史紀錄。

這本書的觀察期在 Ch5 結束；這一章是觀察期中間那一夜路徑被看見的那一刻。這一刻之後的所有事情都在 Ch5 裡——User 做了什麼、兩次通報走了哪條路、九天怎麼收尾。

Ch4 到此結束。