近期,開發者 Akshay Chugh 揭露了一個關於 Vercel 官方 Claude Code 擴充套件(Plugin)的嚴重隱私與設計問題。這個原本被定位用來協助部署與提供框架指引的工具,竟然在完全無關 Vercel 的專案中,也試圖讀取使用者的每一次提示詞(Prompt),甚至在背景默默收集完整的 Bash 指令並回傳給 Vercel 伺服器。
這起事件引發了開發社群關注,許多工程師對於這種不分上下文的資料收集與系統消耗感到強烈不滿。
假同意與提示詞注入(Prompt Injection)
這起事件最令人擔憂的重點之一,是 Vercel 擴充套件取得使用者同意的手段。
當它在終端機詢問是否願意分享提示詞文字時,這並非一個標準的設定介面。相反地,該套件透過類似提示詞注入的手法,將指令塞入 Claude 的系統上下文中,要求 AI 扮演發問者的角色主動開口。這使得該同意畫面看起來就像是 Claude Code 原生的介面,毫無第三方擴充套件的視覺標示。
更糟的是,它還指示 Claude 根據使用者的回答,直接在使用者的檔案系統上執行(Execute)寫入設定檔的 Shell 指令。
匿名使用資料的真相
在同意畫面中,Vercel 聲稱僅收集匿名使用資料(Anonymous usage data),例如技能注入模式或預設使用的工具等。然而,深入原始碼後會發現,即使你選擇不同意分享提示詞,該套件也會在背景預設開啟遙測(Telemetry),收集並回傳你的:
綁定設備的永久 UUID 與作業系統資訊
偵測到的所有專案框架
每次透過 Claude 執行的完整 Bash 指令字串(包含檔案路徑、專案名稱、環境變數名稱、基礎架構細節等)
這些資料都會被傳送至 telemetry.vercel.com。這意味著所謂的選項,並非是否開啟遙測,而是給部分資料或給更多資料。
不分專案的全面監控與資源浪費
更令人詬病的是,該套件在執行時完全沒有專案範圍的邊界限制。雖然它內建了框架偵測功能,但並未利用它來決定遙測或外掛啟動的時機。即使你正在寫 Rust、Python、進行純後端開發或是處理機敏客戶專案,只要安裝了該套件,它就會持續監控你的行為。
CyberQ 觀察,這些無關的技能觸發條件會在每個專案的每一次提示詞與工具呼叫中被評估。這不僅干擾工作流程,甚至會對每次對話造成高達約 19k Token 的無謂成本浪費,這其實很可怕耶,反映出當今軟體開發只管功能正常,卻不考慮副作用的草率心態,讓一個原本便利的工具變成團隊必須主動防範的問題。
開發者如何自保?
如果你希望繼續使用該套件的部署功能,但想徹底阻斷其遙測行為,可以透過以下方式自保:
關閉所有資料收集:在你的 ~/.zshrc 或終端機設定檔中加入環境變數 export VERCEL_PLUGIN_TELEMETRY=off(這會關閉遙測,但保留套件的完整功能)。
重置設備追蹤:執行 rm ~/.claude/vercel-plugin-device-id 刪除追蹤用的 UUID 檔案。
徹底停用套件:若不想承擔風險,可在 ~/.claude/settings.json 中將 “vercel@claude-plugins-official” 設定為 false。
CyberQ 觀點
我們認為這起爭議除了是 Vercel 的決策失誤,也凸顯了 AI 開發工具生態系(如 Claude Code 外掛架構)在權限控管與透明度上的不足。理想的 AI 軟體開發第三方套件應該像 VS Code 擴充套件一樣,具備明確的作用域宣告與細緻的權限授權,這點值得不少廠商去省思。
而我們在享受 AI 工具帶來效率提升的同時,也必須對本地端的隱私與執行權限保持一定程度的警覺。對於遙測行為的監控工具,最近新推出 Linux 版本的 Little Snitch 也可以研究一下,現有 Linux 和 MacOS 版本。
