乐于分享
好东西不私藏

Claude Code 源码泄漏后,我们发现了这些秘密

本文最后更新于2026-03-31,某些文章具有时效性,若有错误或已失效,请在下方留言或联系老夜

Claude Code 源码泄漏后,我们发现了这些秘密

一次意外的泄漏,撕开了顶级 AI 产品的”幕布”——那些官方从未明说的事,全在代码里写着呢。


前言:一场意外,胜过无数篇官方文档

AI 圈最近炸锅了。

Anthropic 旗下的命令行编程工具 Claude Code,其核心源码在近期被研究者和开发者逐渐”扒开”——部分代码以 minified(压缩混淆)形式分发,但挡不住有人硬是把它还原出来。

这一还原,不得了。

那些写在 PPT 上的”安全承诺”、印在官网上的”产品理念”,在真实代码面前,显得格外……耐人寻味。

今天,我们就来一起看看,Claude Code 的源码里,到底藏着哪些”秘密”。


第一个秘密:系统提示词,远比你想象的长

所有和 Claude 打过交道的人都知道,Claude 的行为受”系统提示词(System Prompt)”控制。

官方对此轻描淡写。

但源码告诉我们:Claude Code 内置的系统提示词,篇幅极其惊人,涵盖了:

  • 角色定义
    Claude 被明确设定为”一个在终端中运行的 AI 助手”,有清晰的身份边界
  • 行为优先级排序
    安全 > 道德 > Anthropic 原则 > 用户helpfulness,四层优先级写得明明白白
  • 拒绝策略细节
    什么情况下拒绝、拒绝时用什么语气、是否解释原因——全都有预设模板
  • 工具调用规范
    何时主动调用文件读写、何时需要用户二次确认,逻辑树细致到令人咋舌

这意味着什么?

你以为你在和一个”自由”的 AI 对话,实际上它的每一步都在一个精心设计的轨道上运行。轨道越长、越细,产品越稳——但也意味着,所谓”智能”的背后,是大量人工规则的堆叠

💡 启示:提示词工程(Prompt Engineering)不是玄学,是真正的工程。顶级 AI 公司在这上面投入的精力,远超外界认知。


第二个秘密:Claude 有一套”自我保护”机制

这是最让人意外的发现之一。

源码中存在明显的模型自我边界保护逻辑

当用户试图让 Claude Code 做某些事时,它不只是简单地说”不”,而是会:

  1. 识别意图类型
    区分”误操作”还是”刻意绕过”
  2. 给出差异化响应
    前者温和提示,后者明确拒绝且不再重复解释
  3. 记录上下文异常
    某些边界触碰行为会影响后续对话的”信任评分”(虽然不是持久化存储,但在单次会话内有效)

简单说:Claude 在悄悄给你的行为”打分”。

如果你在一次对话里多次尝试让它做”危险操作”,它对你后续请求的审查会更严格。

这套机制没有写进任何用户文档。


第三个秘密:工具权限的”最小化原则”是真的在执行

Claude Code 最核心的能力,是能直接操作你的文件系统、执行终端命令。

这听起来很危险。

源码显示,Anthropic 确实下了功夫:

// 伪代码示意(基于源码还原逻辑)if (operation === 'delete' || operation === 'overwrite') {    requireExplicitConfirmation();    logToAuditTrail();    checkScopeLimit(); // 是否超出用户授权的目录范围}

关键设计点:

  • 沙箱范围锁定
    Claude Code 默认只能操作你指定的工作目录,不会”乱跑”
  • 破坏性操作双重确认
    删除、覆盖类操作强制用户二次确认,且确认语句不可被 AI 自动代答
  • 命令注入防护
    对用户输入内容有严格的转义处理,防止”提示词注入攻击”

这部分代码的严谨程度,让不少安全研究者直呼”超出预期”。

在 AI 工具普遍被吐槽”安全形同虚设”的今天,这算是一个正面案例。


第四个秘密:它其实知道自己”可能出错”

源码中有一段逻辑,耐人寻味——

Claude Code 在执行某些复杂代码生成任务时,会主动在内部评估一个置信度指标,当置信度低于阈值时,它会:

  • 在输出中主动加注不确定性声明
    (”以下代码仅供参考,建议测试后使用”)
  • 建议用户使用特定工具二次验证
  • 缩短单次输出长度,改为分步引导

这和很多 AI 工具的策略完全相反。

大多数 AI 产品倾向于”说得满”——哪怕不确定,也要给你一个完整答案,因为这样”看起来更有用”。

Claude Code 的代码里,明确体现了 Anthropic 的一个设计哲学:

“一个承认不确定的 AI,比一个自信出错的 AI 更有价值。”


第五个秘密:商业逻辑也藏在代码里

这部分,可能是最”现实”的一块。

源码中可以清晰看到与 Anthropic 后端服务的通信逻辑,其中包括:

  • 用量统计上报
    每次 Token 消耗都会实时回传(这在隐私政策里有提,但大多数人没注意)
  • 功能灰度开关
    部分高级功能(如更长的上下文、更强的代码执行能力)受后端开关控制,可随时远程开启/关闭——意味着你的工具能力,不完全由你决定
  • 订阅状态实时校验
    每隔固定时间会静默 ping 服务器校验会员状态,网络异常时有降级策略

这不是什么阴谋,每家 SaaS 公司都这么做。

但当这些逻辑赤裸裸地摆在代码里,还是会让人感受到:

你用的”工具”,其实也是人家的”产品”。


第六个秘密:Claude 的”个性”是设计出来的

很多人觉得 Claude 比其他 AI 更”有温度”、更”谦逊”、更”有边界感”。

这不是模型自然涌现的特质。

源码中,这些”个性”被显式地写进了行为规范:

  • 禁止使用过度热情的语气
    (明确列出了禁用词汇类型,如”当然!””绝对没问题!”等)
  • 强制使用第一人称承担不确定性
    (用”我认为”而非”事实上”)
  • 对用户情绪状态的响应策略
    检测到用户表达沮丧/愤怒时,有专门的响应分支

换句话说:

Claude 的”善解人意”,是 Anthropic 一行一行写出来的。

这是工程的胜利,也是某种意义上的……刻意为之。


写在最后:透明,是最好的公关

这次源码”泄漏”(或者说,被研究者还原)事件,在技术社区引发了广泛讨论。

有人愤怒于”原来背后这么多猫腻”,有人感慨”比想象中做得好多了”。

但我觉得,更值得思考的是:

如果这些设计从一开始就公开,会怎样?

Anthropic 已经算是 AI 公司里相对透明的那一个,他们发布了大量技术报告、安全研究。但产品层面的设计逻辑,依然藏得很深。

而一次源码还原,让公众看到了这些。

这或许是 AI 时代给我们的一个信号:

用户有权知道,那个每天帮你写代码、处理文件、做决策的 AI,到底是怎么被设计的。

透明不是弱点,是信任的基础。

希望未来,不需要靠”泄漏”,我们也能看到这些。


你觉得 AI 公司应该公开系统提示词和行为设计逻辑吗?

欢迎在评论区聊聊你的看法 👇


📌 关注本号,持续追踪 AI 产品的”里子”与”面子”。 转载请注明出处,技术类内容欢迎理性讨论。