Claude Code 源码泄漏后,我们发现了这些秘密
一次意外的泄漏,撕开了顶级 AI 产品的”幕布”——那些官方从未明说的事,全在代码里写着呢。
前言:一场意外,胜过无数篇官方文档
AI 圈最近炸锅了。
Anthropic 旗下的命令行编程工具 Claude Code,其核心源码在近期被研究者和开发者逐渐”扒开”——部分代码以 minified(压缩混淆)形式分发,但挡不住有人硬是把它还原出来。
这一还原,不得了。
那些写在 PPT 上的”安全承诺”、印在官网上的”产品理念”,在真实代码面前,显得格外……耐人寻味。
今天,我们就来一起看看,Claude Code 的源码里,到底藏着哪些”秘密”。
第一个秘密:系统提示词,远比你想象的长
所有和 Claude 打过交道的人都知道,Claude 的行为受”系统提示词(System Prompt)”控制。
官方对此轻描淡写。
但源码告诉我们:Claude Code 内置的系统提示词,篇幅极其惊人,涵盖了:
- 角色定义
Claude 被明确设定为”一个在终端中运行的 AI 助手”,有清晰的身份边界 - 行为优先级排序
安全 > 道德 > Anthropic 原则 > 用户helpfulness,四层优先级写得明明白白 - 拒绝策略细节
什么情况下拒绝、拒绝时用什么语气、是否解释原因——全都有预设模板 - 工具调用规范
何时主动调用文件读写、何时需要用户二次确认,逻辑树细致到令人咋舌
这意味着什么?
你以为你在和一个”自由”的 AI 对话,实际上它的每一步都在一个精心设计的轨道上运行。轨道越长、越细,产品越稳——但也意味着,所谓”智能”的背后,是大量人工规则的堆叠。
💡 启示:提示词工程(Prompt Engineering)不是玄学,是真正的工程。顶级 AI 公司在这上面投入的精力,远超外界认知。
第二个秘密:Claude 有一套”自我保护”机制
这是最让人意外的发现之一。
源码中存在明显的模型自我边界保护逻辑:
当用户试图让 Claude Code 做某些事时,它不只是简单地说”不”,而是会:
- 识别意图类型
区分”误操作”还是”刻意绕过” - 给出差异化响应
前者温和提示,后者明确拒绝且不再重复解释 - 记录上下文异常
某些边界触碰行为会影响后续对话的”信任评分”(虽然不是持久化存储,但在单次会话内有效)
简单说:Claude 在悄悄给你的行为”打分”。
如果你在一次对话里多次尝试让它做”危险操作”,它对你后续请求的审查会更严格。
这套机制没有写进任何用户文档。
第三个秘密:工具权限的”最小化原则”是真的在执行
Claude Code 最核心的能力,是能直接操作你的文件系统、执行终端命令。
这听起来很危险。
源码显示,Anthropic 确实下了功夫:
// 伪代码示意(基于源码还原逻辑)if (operation === 'delete' || operation === 'overwrite') { requireExplicitConfirmation(); logToAuditTrail(); checkScopeLimit(); // 是否超出用户授权的目录范围}
关键设计点:
- 沙箱范围锁定
Claude Code 默认只能操作你指定的工作目录,不会”乱跑” - 破坏性操作双重确认
删除、覆盖类操作强制用户二次确认,且确认语句不可被 AI 自动代答 - 命令注入防护
对用户输入内容有严格的转义处理,防止”提示词注入攻击”
这部分代码的严谨程度,让不少安全研究者直呼”超出预期”。
在 AI 工具普遍被吐槽”安全形同虚设”的今天,这算是一个正面案例。
第四个秘密:它其实知道自己”可能出错”
源码中有一段逻辑,耐人寻味——
Claude Code 在执行某些复杂代码生成任务时,会主动在内部评估一个置信度指标,当置信度低于阈值时,它会:
- 在输出中主动加注不确定性声明
(”以下代码仅供参考,建议测试后使用”) - 建议用户使用特定工具二次验证
- 缩短单次输出长度,改为分步引导
这和很多 AI 工具的策略完全相反。
大多数 AI 产品倾向于”说得满”——哪怕不确定,也要给你一个完整答案,因为这样”看起来更有用”。
Claude Code 的代码里,明确体现了 Anthropic 的一个设计哲学:
“一个承认不确定的 AI,比一个自信出错的 AI 更有价值。”
第五个秘密:商业逻辑也藏在代码里
这部分,可能是最”现实”的一块。
源码中可以清晰看到与 Anthropic 后端服务的通信逻辑,其中包括:
- 用量统计上报
每次 Token 消耗都会实时回传(这在隐私政策里有提,但大多数人没注意) - 功能灰度开关
部分高级功能(如更长的上下文、更强的代码执行能力)受后端开关控制,可随时远程开启/关闭——意味着你的工具能力,不完全由你决定 - 订阅状态实时校验
每隔固定时间会静默 ping 服务器校验会员状态,网络异常时有降级策略
这不是什么阴谋,每家 SaaS 公司都这么做。
但当这些逻辑赤裸裸地摆在代码里,还是会让人感受到:
你用的”工具”,其实也是人家的”产品”。
第六个秘密:Claude 的”个性”是设计出来的
很多人觉得 Claude 比其他 AI 更”有温度”、更”谦逊”、更”有边界感”。
这不是模型自然涌现的特质。
源码中,这些”个性”被显式地写进了行为规范:
- 禁止使用过度热情的语气
(明确列出了禁用词汇类型,如”当然!””绝对没问题!”等) - 强制使用第一人称承担不确定性
(用”我认为”而非”事实上”) - 对用户情绪状态的响应策略
检测到用户表达沮丧/愤怒时,有专门的响应分支
换句话说:
Claude 的”善解人意”,是 Anthropic 一行一行写出来的。
这是工程的胜利,也是某种意义上的……刻意为之。
写在最后:透明,是最好的公关
这次源码”泄漏”(或者说,被研究者还原)事件,在技术社区引发了广泛讨论。
有人愤怒于”原来背后这么多猫腻”,有人感慨”比想象中做得好多了”。
但我觉得,更值得思考的是:
如果这些设计从一开始就公开,会怎样?
Anthropic 已经算是 AI 公司里相对透明的那一个,他们发布了大量技术报告、安全研究。但产品层面的设计逻辑,依然藏得很深。
而一次源码还原,让公众看到了这些。
这或许是 AI 时代给我们的一个信号:
用户有权知道,那个每天帮你写代码、处理文件、做决策的 AI,到底是怎么被设计的。
透明不是弱点,是信任的基础。
希望未来,不需要靠”泄漏”,我们也能看到这些。
你觉得 AI 公司应该公开系统提示词和行为设计逻辑吗?
欢迎在评论区聊聊你的看法 👇
📌 关注本号,持续追踪 AI 产品的”里子”与”面子”。 转载请注明出处,技术类内容欢迎理性讨论。
夜雨聆风