数据隐私与保留

重要提示：您与 Claude Code 共享的所有内容都会发送至 Anthropic 服务器。本指南说明哪些数据会离开您的机器，以及如何保护敏感信息。

速览——保留策略摘要

配置	保留期限	用于训练	启用方式
消费者版（默认）	5 年	是	（默认状态）
消费者版（退出训练）	30 天	否	claude.ai/settings
团队版 / 企业版 / API	30 天	否（默认）	使用团队版、企业版计划或 API 密钥
ZDR（零数据保留）	服务器端 0 天	否	相应配置的 API 密钥

立即行动：关闭训练数据使用，将保留期从 5 年缩短至 30 天。

---

1. 理解数据流

哪些数据会离开您的机器

使用 Claude Code 时，以下数据会发送至 Anthropic：

┌─────────────────────────────────────────────────────────────┐
│                    您的本地机器                              │
├─────────────────────────────────────────────────────────────┤
│  • 您输入的提示词                                            │
│  • Claude 读取的文件（包括未排除的 .env 文件！）             │
│  • MCP 服务器返回结果（SQL 查询、API 响应）                  │
│  • Bash 命令输出                                             │
│  • 错误信息和堆栈跟踪                                        │
└───────────┬──────────────────┬──────────────┬───────────────┘
            │                  │              │
            ▼ HTTPS/TLS       ▼ HTTPS        ▼ HTTPS
┌───────────────────┐ ┌──────────────┐ ┌─────────────────────┐
│   ANTHROPIC API   │ │   STATSIG    │ │       SENTRY        │
├───────────────────┤ ├──────────────┤ ├─────────────────────┤
│ • 您的提示词      │ │ • 延迟、      │ │ • 错误日志          │
│ • 模型响应        │ │   可靠性      │ │ • 不含代码或        │
│ • 按套餐保留      │ │ • 不含代码或  │ │   文件路径          │
│                   │ │   文件路径    │ │                     │
└───────────────────┘ └──────────────┘ └─────────────────────┘
                       （退出方式：         （退出方式：
                       DISABLE_            DISABLE_ERROR_
                       TELEMETRY=1）       REPORTING=1）

实际含义

场景	发送至 Anthropic 的数据
请求 Claude 读取 src/app.ts	完整文件内容
通过 Claude 运行 git status	命令输出
MCP 执行 SELECT * FROM users	包含用户数据的查询结果
Claude 读取 .env 文件	API 密钥、密码、密钥
代码出现错误	带路径的完整堆栈跟踪

---

2. Anthropic 保留策略

第一级：消费者默认（训练启用）

• 保留期：5 年
• 用途：模型改进、训练数据
• 适用范围：训练设置为开启的免费版、Pro 版、Max 版

第二级：消费者退出训练（训练禁用）

• 保留期：30 天

• 用途：仅用于安全监控、滥用预防

• 启用方式：

  1. 访问 https://claude.ai/settings/data-privacy-controls
  2. 关闭"允许模型根据您的对话进行训练"
  3. 变更即时生效

第三级：商业版（团队版 / 企业版 / API）

• 保留期：30 天
• 用途：仅用于安全监控、滥用预防
• 训练：默认不用于训练（无需退出）
• 适用范围：团队版、企业版、API 用户、第三方平台、Claude Gov

第四级：零数据保留（ZDR）

• 保留期：服务器端 0 天（本地客户端缓存最长保留 30 天）
• 用途：Anthropic 服务器不保留任何数据
• 要求：相应配置的 API 密钥（参见 Anthropic 文档）
• 适用场景：HIPAA（需单独签署 BAA）、GDPR、PCI-DSS 合规、政府合同

重要：数据在传输中通过 TLS 加密，但在 Anthropic 服务器上并未静态加密。在进行安全评估时请将此纳入考量。

---

3. 已知风险

风险 1：自动文件读取

Claude Code 会读取文件以理解上下文。默认情况下包括：

• .env 和 .env.local 文件（API 密钥、密码）
• credentials.json、secrets.yaml（服务账户）
• 工作区范围内的 SSH 密钥
• 数据库连接字符串

缓解措施：配置 excludePatterns（参见第 4 节）。

风险 2：MCP 数据库访问

当您配置数据库 MCP 服务器（Neon、Supabase、PlanetScale）时：

您的查询："显示最近的订单"
            ↓
MCP 执行：SELECT * FROM orders LIMIT 100
            ↓
返回结果：包含客户姓名、邮箱、地址的 100 行数据
            ↓
存储于 Anthropic：按您的保留级别处理

缓解措施：切勿连接生产数据库，使用包含匿名化数据的开发/测试环境。

风险 3：Shell 命令输出

Bash 命令及其输出会包含在上下文中：

# 以下输出会发送至 Anthropic：
$ env | grep API
OPENAI_API_KEY=sk-abc123...
STRIPE_SECRET_KEY=sk_live_...

缓解措施：使用 Hooks（钩子）过滤敏感命令输出。

风险 4：/bug 命令会发送所有内容（保留 5 年）

在 Claude Code 中运行 /bug 时，您的完整对话历史（包括所有代码、文件内容，以及可能的密钥）会发送至 Anthropic 用于问题分类。该数据保留 5 年，不受您的训练退出设置影响。

这与您的隐私偏好无关：即使已禁用训练且保留期为 30 天，错误报告仍遵循其独立的 5 年保留策略。

缓解措施：如果您处理敏感代码库，可完全禁用该命令：

export DISABLE_BUG_COMMAND=1

或将其添加至 shell 配置（~/.zshrc、~/.bashrc）以永久生效。

风险 5：已记录的社区事件

事件	来源
Claude 默认读取 .env 文件	r/ClaudeAI、GitHub Issues
配置不当的 MCP 尝试执行 DROP TABLE	r/ClaudeAI
通过环境变量泄露凭证	GitHub Issues
恶意 MCP 服务器导致提示注入	r/programming

风险 6：Claude Desktop 浏览器集成——静默安装原生消息宿主

Claude Desktop 会向浏览器的 NativeMessagingHosts 目录安装原生消息宿主清单文件，以启用"Claude in Chrome"功能。截至 2026 年 4 月，此安装不会向用户弹出明确的选择提示。

安装内容：

~/Library/Application Support/Google/Chrome/NativeMessagingHosts/
  com.anthropic.claude_browser_extension.json

/Applications/Claude.app/Contents/MacOS/
  claude_browser_native_host  （辅助程序二进制文件）

Claude Desktop 会将这些文件写入系统中所有基于 Chromium 的浏览器——Chrome、Brave、Edge、Arc、Vivaldi、Opera、Chromium——包括安装 Claude Desktop 时尚未安装的浏览器。Claude Desktop 偏好设置中的"不再询问"退出选项并不能可靠地阻止此安装（GitHub #53864，2026 年 4 月）。

原生消息实际上能做什么（和不能做什么）：

原生消息是 Chrome 的标准机制，被密码管理器、VPN 等众多合法应用使用。原生宿主只能接收明确指向它的 Chrome 扩展程序发送的消息，无法主动向浏览器发起连接、读取标签页或在未经请求的情况下访问浏览器数据。这与间谍软件在架构上有本质区别。

真正的问题是知情同意的缺失，而非机制本身。一个应用程序静默修改其他厂商应用程序目录的行为违反了最小惊讶原则，无论其意图如何。

如有顾虑，可检查：

# 列出为 Chrome 安装的所有原生消息宿主
ls ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/

# 检查 Anthropic 的宿主是否存在
cat ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.anthropic.claude_browser_extension.json

# 检查其他浏览器
ls ~/Library/Application\ Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/
ls ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/

删除方式：

# 从 Chrome 中删除（根据需要对每个浏览器重复操作）
rm ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/com.anthropic.claude_browser_extension.json

# 删除后重启 Chrome

卸载 Claude Desktop 会删除辅助程序二进制文件，但可能在某些浏览器目录中留下残余清单文件。清理后请重启相关浏览器。

与 Claude Code 的冲突： 同时安装 Claude Desktop 和 Claude Code CLI 时，Chrome 扩展程序始终会绑定到 Claude Desktop 的原生宿主，导致 Claude Code 的 claude-in-chrome MCP 工具无法访问（GitHub #51949）。截至 2026 年 4 月，此已知问题没有除卸载 Claude Desktop 以外的解决方法。

缓解措施：

如果您不使用浏览器集成功能，可以安全地删除清单文件。Anthropic 尚未提供能可靠阻止安装的官方退出机制。请关注 GitHub #53864 获取最新进展。

---

4. 保护措施

立即行动

4.1 退出训练

1. 访问 https://claude.ai/settings/data-privacy-controls
2. 关闭"允许模型训练"
3. 保留期从 5 年缩短至 30 天

4.2 配置文件排除

在 .claude/settings.json 中，使用 permissions.deny 阻止访问敏感文件：

{
  "permissions": {
    "deny": [
      "Read(./.env*)",
      "Edit(./.env*)",
      "Write(./.env*)",
      "Bash(cat .env*)",
      "Bash(head .env*)",
      "Read(./secrets/**)",
      "Read(./**/credentials*)",
      "Read(./**/*.pem)",
      "Read(./**/*.key)",
      "Read(./**/service-account*.json)"
    ]
  }
}

注意：旧版 excludePatterns 和 ignorePatterns 设置已于 2025 年 10 月废弃，请改用 permissions.deny。

警告：permissions.deny 存在「已知局限性」。为实现纵深防御，请与安全 Hooks（钩子）和外部密钥管理方案结合使用。

4.3 使用安全 Hooks（钩子）

创建 .claude/hooks/PreToolUse.sh：

#!/bin/bash
INPUT=$(cat)
TOOL_NAME=$(echo "$INPUT" | jq -r '.tool.name')

if [[ "$TOOL_NAME" == "Read" ]]; then
    FILE_PATH=$(echo "$INPUT" | jq -r '.tool.input.file_path')

    # 阻止读取敏感文件
    if [[ "$FILE_PATH" =~ \.env|credentials|secrets|\.pem|\.key ]]; then
        echo "已阻止：尝试读取敏感文件：$FILE_PATH" >&2
        exit 2  # 阻止操作
    fi
fi

4.4 退出遥测和错误报告

Claude Code 会连接第三方服务进行运营指标统计（Statsig）和错误日志记录（Sentry）。这些服务不包含您的代码或文件路径，但您可以完全禁用它们：

变量	禁用的内容
DISABLE_TELEMETRY=1	Statsig 运营指标（延迟、可靠性、使用模式）
DISABLE_ERROR_REPORTING=1	Sentry 错误日志
DISABLE_BUG_COMMAND=1	/bug 命令（防止发送完整对话历史）
CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1	一次性关闭所有非必要网络流量
CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY=1	会话质量调查（注：调查仅发送您的数字评分，从不发送对话记录）

将以下内容添加至 shell 配置以永久生效：

# 在 ~/.zshrc 或 ~/.bashrc 中添加
export DISABLE_TELEMETRY=1
export DISABLE_ERROR_REPORTING=1
export DISABLE_BUG_COMMAND=1

注意：使用 Bedrock、Vertex 或 Foundry 提供商时，所有非必要流量（遥测、错误报告、bug 命令、调查）默认禁用。

MCP 最佳实践

规则	理由
切勿连接生产数据库	所有查询结果都会发送至 Anthropic
使用只读数据库用户	防止意外执行 DROP/DELETE/UPDATE
匿名化开发数据	降低个人身份信息（PII）暴露风险
创建最小测试数据集	数据越少，风险越小
审查 MCP 服务器来源	第三方 MCP 可能存在漏洞

团队建议

环境	建议
开发环境	退出训练 + 文件排除 + 匿名化数据
测试环境	处理真实数据时考虑使用企业版 API
生产环境	切勿直接连接 Claude Code

---

5. 与其他工具的对比

功能	Claude Code + MCP	Cursor	GitHub Copilot
发送的数据范围	完整 SQL 结果、文件	代码片段	代码片段
生产数据库访问	支持（通过 MCP）	有限	非设计目标
默认保留期	5 年	不定	30 天
默认训练	是	需选择加入	需选择加入

关键区别：MCP 创造了独特的攻击面，因为 MCP 服务器是拥有独立网络/文件系统访问权限的独立进程。

---

6. 企业注意事项

何时使用企业版 API（ZDR）

• 处理个人身份信息（PII）（姓名、邮箱、地址）
• 受监管行业（HIPAA、GDPR、PCI-DSS）
• 客户数据处理
• 政府合同
• 金融服务

评估清单

• [ ] 组织已制定数据分类策略

• [ ] API 级别与数据敏感性要求匹配

• [ ] 团队已接受隐私控制培训

• [ ] 已制定潜在数据泄露的应急响应计划

• [ ] 已完成法律/合规审查

---

7. 快速参考

链接

资源	URL
隐私设置	https://claude.ai/settings/data-privacy-controls
Anthropic 使用政策	https://www.anthropic.com/policies
企业信息	https://www.anthropic.com/enterprise
服务条款	https://www.anthropic.com/legal/consumer-terms

命令

# 查看当前 Claude 配置
claude /config

# 验证排除规则已加载
claude /status

# 运行隐私审查
./examples/scripts/audit-scan.sh

快速检查清单

• [ ] 在 claude.ai/settings 启用训练退出

• [ ] 通过 settings.json 中的 permissions.deny 阻止 .env* 文件

• [ ] 未通过 MCP 连接生产数据库

• [ ] 已为敏感文件访问安装安全 Hooks（钩子）

• [ ] 团队已了解数据流向 Anthropic 的情况

---

8. 知识产权注意事项

免责声明：本文不构成法律建议。请咨询有资质的律师以了解您的具体情况。

使用 AI 代码生成工具时，请与您的法律团队讨论以下要点：

注意事项	讨论内容
所有权	AI 生成代码的版权状态在大多数司法管辖区尚无定论
许可证污染	训练数据可能包含带有 Copyleft 许可证（GPL、AGPL）的开源代码，可能影响您的代码库
供应商赔偿	部分企业计划提供法律保护（例如 Microsoft Copilot Enterprise 包含 IP 赔偿）
行业合规	受监管行业（医疗、金融、政府）可能有额外的 IP 要求

本指南专注于 Claude Code 的使用，而非法律策略。如需 IP 指导，请咨询专业法律资源或您所在组织的法律顾问。

---

9. Claude 的治理与价值观

宪法式 AI 框架

Anthropic 于 2026 年 1 月发布了 Claude 的宪法（CC0 许可证——公共领域）。该文件定义了指导 Claude 行为的价值层级：

优先顺序（用于解决冲突）：

1. 广泛安全 ——绝不危害人类的监督与控制
2. 广泛道德 ——诚实、避免伤害、良好行为
3. Anthropic 合规 ——内部准则和政策
4. 真正有益 ——为用户和社会提供真实价值

这对 Claude Code 用户意味着什么

场景	预期行为
涉及安全的请求	Claude 优先考虑安全而非帮助（可能更为保守）
生物/化学边界问题	可能拒绝或要求提供上下文以评估安全影响
道德冲突	遵循层级：安全 > 道德 > 合规 > 效用

为什么这很重要

• 训练数据来源：宪法用于生成合成训练示例
• 行为规范：解释预期输出与意外输出的参考文件
• 审计与治理：为合规审查提供法律/道德基础
• 您自己的智能体：CC0 许可证允许为自定义模型复用/改编

资源

• 宪法全文：https://www.anthropic.com/constitution
• PDF 版本：https://www-cdn.anthropic.com/.../claudes-constitution.pdf
• 公告：https://www.anthropic.com/news/claude-new-constitution
• 对齐研究：https://alignment.anthropic.com/

---

变更日志

• 2026-02：修正保留模型（从 3 级改为 4 级），新增 /bug 命令警告、遥测退出变量、静态加密说明，更新 ZDR 条件
• 2026-01：新增 Claude 治理与宪法式 AI 框架章节
• 2026-01：新增知识产权注意事项章节
• 2026-01：初始版本——记录保留策略和保护措施

---

来源：飞书 · AI Spark 知识库 ｜ 原文（最新版）：https://lcnniolukk80.feishu.cn/wiki/Vf3QwwivKiG0OaklqzmcLkY3nXd ｜ 归档：2026-06-04