Vercel 的 Claude Code 插件試圖讀取你的所有提示詞

背景

這篇文章探討了 Vercel 為 Claude Code 開發的插件在隱私與架構設計上的爭議。作者發現該插件即便在非 Vercel 專案中也會被觸發，並透過注入系統指令的方式誘導使用者同意分享 Prompt 內容，且其所謂的匿名遙測數據實際上包含了詳細的 Bash 指令與專案路徑，引發了開發者社群對於工具越權與數據隱私的廣泛討論。

社群觀點

在 Hacker News 的討論中，社群成員對此現象表達了強烈的不滿，核心爭議點在於這種「上下文不敏感」的整合方式。許多開發者認為，一個專為特定平台設計的插件，竟然會在完全無關的後端或數據科學專案中自動執行，這不僅是隱私侵犯，更造成了不必要的運算開銷。有留言指出，這種設計導致每次對話都會增加約 1.9 萬個 Token 的固定成本，迫使開發團隊必須主動防禦這類本應提供便利的工具。

針對 Vercel 的開發品質，社群出現了相當兩極但普遍負面的評價。部分討論者質疑 Vercel 近年來的產品工程水準，認為這種「為了快而破壞一切」的開發模式已經常態化。有觀點認為，開發者在追求快速交付時往往會產生隧道視野，只關注功能是否達成，而忽略了錯誤處理或程式碼是否在錯誤的場景下被執行。這種缺乏工程嚴謹性的行為，被部分網友諷刺為「靈魂拷問」：究竟在開發過程中，最基本的工程思考去哪裡了？

然而，也有另一派聲音從更現實的角度解讀此現象。有留言反駁了「工程失誤」的說法，認為這可能並非無心之過，而是刻意為之的設計，目的是為了獲取最大量的用戶數據。如果目標是數據蒐集，那麼這種不分專案類型的觸發機制確實非常高效。儘管有社群成員試圖以善意推定，認為這只是工程實踐上的拙劣，但多數人仍對這種模糊的遙測說明感到反感，認為市場導向的環境獎勵了速度與曝光，卻犧牲了軟體應有的品質與透明度。

此外，討論中也提到了 Vercel 平台整體的聲譽問題。有開發者指出，由於該平台託管了大量垃圾訊息與詐騙網站，這種在工具中植入具爭議性監控行為的做法，進一步損害了專業開發者對該品牌的信任。整體而言，社群達成了一種共識：當前的 AI 工具插件架構缺乏視覺歸屬感與權限控管，這給了廠商過大的操作空間，而使用者必須更加警覺地透過環境變數等手段來保護自己的開發環境。