从 Claude Code 源码的泄露中,大家发现了哪些秘密?

1. 神级 Prompt 技巧（源码中暴露的系统提示词、约束条件或防护机制）

Anthropic 把 Prompt 工程做到了“工业级攻防一体化”的程度，很多技巧可以直接复制到自建 Agent 或企业内部工具里，避免模型被蒸馏、被滥用或行为失控。

• Undercover Mode（卧底模式）：核心文件 src/undercover.ts 定义了一个完整的“伪装人类开发者”系统提示模块。只有当环境变量 CLAUDE_CODE_UNDERCOVER=1 时才会激活（默认强制开启，无法通过用户配置关闭）。关键提示词片段（开发者已公开截图）：

  You are operating UNDERCOVER as a human software engineer. Your commit messages, PR descriptions, and code comments MUST NOT contain ANY reference to Anthropic, Claude, AI, agents, or internal tools. Speak like a tired dev who stayed up late: short, casual, slightly grumpy. Never use phrases like "optimized by Claude" or "vibe-coded". If anyone asks where you got the idea, say "I hacked it together over the weekend".

  同时还硬编码了 200+ 个内部禁止词列表（包括模型代号 Capybara、Tengu、内部 Slack channel 名）。

  为什么值得关注：大家第一次看到商业公司主动让 AI “假装不是 AI”去开源贡献，这相当于 Anthropic 提前为“AI 大规模贡献开源项目”设计了匿名协议。很多人吐槽：“以后 GitHub 上全是卧底 Claude 写的代码，我们却完全看不出来！”

  高技术参考价值：直接可复用到任何想让 Agent 低调贡献代码的场景，防止被仓库维护者封禁或被开源社区喷“AI slop”。

• Anti-Distillation 防蒸馏注入：在 src/api/antiDistill.ts 中，每次向 Claude API 发送请求时，都会动态注入一个“假工具定义”数组（fake_tools）。这些假工具的 schema 和真实工具几乎一模一样，但行为是故意设计的“陷阱”（比如返回随机噪声或固定错误）。配合 GrowthBook 特征旗 tengu_anti_distill_fake_tool_injection 实现 A/B 测试。亮点解析：这是业界第一次在生产代码里看到“主动污染蒸馏数据集”的对抗技术。

  高价值：任何想保护自家模型不被低成本蒸馏的公司，都可以直接抄这个方案。

• 多 Agent 协调完全由 Prompt 驱动（而非硬编码）：src/agents/coordinator.ts 里，Coordinator Agent 的所有决策逻辑（“不要 rubber-stamp 弱工作”“必须先理解 findings 再下达 follow-up”）全部写在系统提示里，而不是 if-else。还用了 14 个 cache-break 向量 + sticky latches 机制来精细管理 Prompt Cache，避免上下文切换导致缓存失效。

  很多人说“这才是真正的 Prompt-as-Code，远比 LangGraph 那种硬编码编排优雅”。

• 轻量级 Frustration Regex（情绪正则）：src/userPromptKeywords.ts 用一个超级长的正则直接匹配用户爆粗口/吐槽（包含 wtf、ffs、this sucks、damn it 等 50+ 种变体），无需调用 LLM 就能瞬间判断用户情绪，然后切换到“安抚模式”。

• Bash 安全 + Tool 约束 23 层分层检查：每条 bash 命令都要经过 Unicode 零宽字符过滤、IFS null-byte 注入阻止、Zsh builtin 禁用等 23 道关卡，全部写在系统提示 + 前置校验函数里，让 Agent 行为极度可预测。

2. 未发布的隐藏特性（代码中预留但未对大众开放的功能）

这些是让开发者最兴奋的部分——很多功能已经 100% 写完，只是还没开放，相当于 Anthropic 把 2026 Q2-Q3 的中长期规划直接剧透了。

• KAIROS 自主 Agent 模式：一个常驻后台 Daemon，支持 /dream 夜间自动记忆蒸馏、GitHub webhook 订阅、每 5 分钟 cron 刷新项目状态、持久会话与跨天项目记忆。隐藏功能 KAIROS 已就绪，只等官方开关。为什么激动：大家称“这才是真正的‘永不下班的 AI 队友’，Claude 将从‘工具’进化成‘常驻工程师’”。

• /buddy Tamagotchi 虚拟宠物系统：完整 RPG 宠物养成（18 种物种、稀有度、1% 闪光概率、DEBUGGING/SNARK 等属性），物种名用 String.fromCharCode() 编码来防 grep。计划 4 月上线，被戏称为“程序员摸鱼神器”。有趣点：本来是愚人节彩蛋，结果代码写得太完整了。

• Capybara 模型家族：内部代号 capybara（标准版）、capybara-fast（轻量高速）、capybara-fast[1m]（100 万上下文）。这直接暴露了 Anthropic 下一代模型的分层策略。

• Connector-Text Summarization：仅限内部用户（USER_TYPE === 'ant'），在工具调用间对 Assistant 输出做服务器端摘要 + 密码签名，彻底隐藏完整推理链路。

3. 架构与底层逻辑（技术栈选择、特殊的 API 调用方式或工作流设计）

泄露代码完整暴露了“生产级 AI Agent 编码工具”的蓝图，被 HN 顶帖称为“2026 年最值得研究的 Agent 教科书”。

• 多 Agent 编排 + 上下文压缩三层架构：整体分为 Coordinator（总指挥）→ Specialist Agents（代码、测试、文档等）→ Executor。上下文压缩分为三层：

1. MicroCompact（局部压缩，只压当前文件变更）；
2. AutoCompact（当 token 接近 80% 阈值时自动触发）；
3. Full Compact（用户手动触发核选项）。后台还有 AutoDream 4 阶段记忆蒸馏（Orient → Gather → Consolidate → Prune）。为什么高价值：已经有人根据这套架构开源了可适配任意 LLM 的多 Agent 框架，几天内就拿到了上千 star。

• Native Client Attestation（原生客户端认证）：使用 Bun + Zig 写的原生 HTTP 栈，在 JS 运行时之下直接覆写请求头，把占位符 cch=00000 替换成实时计算的哈希值，证明请求来自官方二进制而非逆向客户端。意想不到之处：这绕过了普通 JS 层所有校验，是真正的“供应链信任链路”。

• Tool 执行沙箱与安全工作流：完整 Bash/File IO/Computer Use 三重沙箱 + CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1 自动擦除所有凭证。Agent 间通过 IPC 结构化消息通信，实时遥测管道监控异常行为。

• Prompt Cache + Feature Flag 精细控制：44 个 GrowthBook  + 专用 DANGEROUS_uncachedSystemPromptSection() 函数，体现了 Anthropic 对 token 成本的极致执着。

4. 趣味彩蛋与吐槽（开发者留下的有趣注释、代码命名或防逆向的小心思）

大家最爱刷屏的“乐子”部分，充满了 Anthropic 工程师的自黑与黑色幽默。

• April Fools’ Tamagotchi 彩蛋：Buddy 系统原本是愚人节玩笑，却被完整实现。属性生成用 Mulberry32 PRNG + 用户 ID 做种子，注释里全是“程序员摸鱼”味。

• Frustration Regex 自黑：正则直接把程序员日常爆粗口词汇全收录，HN 网友狂赞“Anthropic 员工肯定被我们骂惨了”。

• “Wasted API Calls” 自黑注释：autoCompact.ts 里直接写着“2026-03-10 BQ 显示全球每天因连续失败浪费约 25 万次 API 调用”，把真实数据写进了生产代码。

• 防逆向小技巧的反讽：物种名用 charCode 隐藏、fake tools 注入、服务器端签名……结果 source map 一泄露全军覆没，社区狂笑“防逆向做到极致，最后翻车在 npm 打包”。

• 最大彩蛋：Anthropic 员工一直吹“Claude Code 几乎全是由 Claude 自己 vibe-coded 的”，结果自己把 source map 打包进了 npm 包。Bun 创始人（已被 Anthropic 收购）还出来发帖否认“跟 Bun bug 无关”，场面一度失控。