Claude Code 源码泄露:看清 AI 编程工具的护城河

Claude Code 源码泄露：看清 AI 编程工具的护城河在哪里

最近科技圈出了件大事：Anthropic 的 Claude Code 源码被泄露了。

将近 2000 个文件、超过 51 万行代码，因为一次打包环节的人为错误，全部暴露在了 npm 包的历史版本里。

安全研究员 Chaofan Shou 发现并在 X 上公开，TechCrunch、Wired 等媒体迅速跟进报道。

让龙虾花了点时间下载了泄露包 + 梳理了所有公开报道，想搞清楚一件事：

这套代码到底是怎么设计的？藏着哪些工程上的秘密？

源码里到底有什么？

首先要澄清：泄露的不是 Claude 的 AI 模型权重，而是让模型做什么、怎么做的行为逻辑——也就是应用层代码。

具体包括： – Agent 任务规划与多步骤执行机制 – 工具调用框架（读写文件、执行命令等） – 安全边界定义（什么能做、什么不能做） – 开发者体验层

用行业的话说，这是一套生产级开发者工具，而不是简单的 API 封装。

我从代码里看到的 6 个设计细节

1. 工具集定义非常完整

TypeScript 类型文件暴露了完整的工具接口：

Agent（启动子任务）| Bash（执行命令）| FileRead/FileEdit/FileWrite（文件操作） Glob/ Grep（搜索）| WebSearch/WebFetch（联网）| TodoWrite（任务列表） NotebookEdit（ Jupyter 操控）| AskUserQuestion（向用户提问）

值得注意的是，它把 ripgrep 二进制直接打包进 npm 包，多平台预编译。这避免了对系统工具的依赖——跨 macOS/Linux/Windows 的体验完全一致。

2. 多 Agent 并行是原生能力

interface AgentInput {   prompt: string;   subagent_type?: string;   model?: "sonnet" | "opus" | "haiku";   run_in_background?: boolean;   name?: string;          // 可寻址名称   team_name?: string;      // 团队上下文   isolation?: "worktree"; // git worktree 隔离 }

Claude Code 的用户可以同时运行 5-10 个 agent，各司其职，互相通信。这是它的核心产品哲学，不是一个后来加的功能。

3. Git Worktree 隔离 = 安全底线

isolation: "worktree" 这个参数很关键——Agent 不是直接在主分支上操作，而是创建临时工作副本。这几乎是防止”AI 跑飞了把整个仓库改坏”的标准答案。

4. 权限分级模式

mode:   | "acceptEdits"       // 接受所有编辑   | "bypassPermissions" // 跳过权限检查（危险）   | "default"   | "dontAsk"          // 不询问   | "plan"             // 计划模式（审批后执行）

Plan 模式（mode: “plan”）意味着高风险操作必须用户确认才能执行。这是企业级用户敢把代码工具交给 AI 的前提。

5. 几乎零外部依赖

{ "dependencies": {} }

13MB 的主程序全自包含，只有一个可选的图片处理依赖。这种策略避免了供应链攻击风险，但也意味着团队在维护大量自研代码。

6. 最小化文件编辑粒度

interface FileEditInput {   old_string: string;   // 必须精确匹配原文本   new_string: string;   // 替换内容   replace_all?: boolean; }

精确到字符串级别的替换，而不是整块重写——出问题能精准回滚，是工程可靠性的基础。

Claude Code 为什么能赢？

说完了代码设计，回头看市场表现：

Claude Code 年化收入已超 25 亿美元，占 Anthropic 总收入约 20%
OpenAI 的 Codex 全力追赶，2025 年 9 月还只有 Claude 的 5% 用量，2026 年 1 月已追到 40%

Wired 采访 Anthropic 负责人 Boris Cherny 时，对方说了句大实话：

“我们赌的是 AI 能力的发展方向，而不是现状。Claude Code 不是为今天的能力设计的，而是为接下来会发生什么设计的。”

换句话说：护城河不是模型能力本身，而是围绕模型的那几层工程化能力。

对想自建编程 Agent 的团队，最值得抄的是什么？

设计要点	Claude Code 的做法	参考价值
多 Agent 协作	name + team_name + 消息路由	长任务必须能并行拆分
工具精细封装	ripgrep 全平台打包	工具不是调 API 就完事
工作树隔离	isolation: “worktree”	防 AI 跑飞破坏主分支
多层权限控制	Plan 模式审批	企业级安全底线
精确编辑粒度	old_string → new_string	最小化回滚成本
任务状态管理	TodoWrite 驱动	模型自我管理进度

反过来，最值得规避的：

代码混淆

：阻碍社区信任，OpenAI 开源策略赢了好感
封闭多模型

：只支持 Claude，限制企业采购灵活性
专有许可

：企业法务顾虑，影响 toB 市场

最后说两句

Anthropic 官方把这次泄露定性为”发布打包人为错误，非安全漏洞”。

但对于整个行业来说，这次泄露其实是一次难得的学习机会——不是学习怎么复制 Claude，而是搞清楚工程化深度才是真正的护城河。

API 谁都能调用，但这几层能力不是一天能建好的：任务规划、工具封装、安全边界、开发者信任。

拼到最后，比的不是谁更会用 AI，而是谁把 AI 用得更有章法。

作者：兰笺记