Claude Code 源码泄漏:一场“意外事故”,却像一堂公开的 Agent 系统设计课

昨天晚上刷到那条新闻的时候，我的第一反应不是“Anthropic 出事故了”，而是另一句更刺耳的话：

AI 编程代理这一波，最值钱的秘密，根本不在模型里。

根据 Axios 3 月 31 日的报道，Anthropic 在发布 @anthropic-ai/claude-code 的一个 npm 版本时，因为发布打包中的人为失误，把内部调试相关文件一并公开了出去。社区随后借助 source map，复原出了接近 2,000 个文件、约 50 万行 Claude Code 应用层代码。

Anthropic 的说法是：这不是黑客入侵，不涉及客户数据或凭证，是一次发布事故。

但如果你只把它理解成“一个安全事故”，那就有点低估这件事了。

这次真正被大家抢着看的，不是模型权重，而是 Claude Code 这套产品到底怎么被搭起来的。

先说事件本身：泄漏的不是 Claude 模型，而是 Claude Code 的应用层

很多标题会把这件事写得很吓人，好像 Anthropic 把最核心的东西都丢了。其实不是。

根据 Axios 和 Rushi 的梳理，这次暴露的重点，是 Claude Code CLI 的 TypeScript 应用层代码。问题出在 source map：打包后的 JavaScript 本来只是运行产物，但 .map 文件会把它重新指回原始源码。一旦这个文件被带进公共包里，外部研究者就能顺藤摸瓜，把相当大一部分原始代码重新拼出来。

这也是为什么很多人说，这次泄漏真正有价值的，并不是“看到了 Anthropic 的某些私货”，而是第一次比较完整地看到了一个顶级 coding agent 的工程骨架。

换句话说，泄漏出来的不是“大脑”，而是“神经系统”和“操作系统”。

泄漏文件目录

为什么这件事值得看：Claude Code 的强，原来并不神秘

我这两天连续看了 ccunpacked.dev、Rushi 的 source map 复盘、Piebald 团队整理的 system prompts，以及一篇在 Hacker News 上讨论度很高的技术博客《What makes Claude Code so damn good》。

看完之后，我越来越强烈地觉得：Claude Code 的强，不是玄学，不是某个藏在黑盒里的奇迹，而是一种极其工程化、极其克制、但又极其完整的产品设计。

它最厉害的地方，不在“它能想出多惊艳的代码”，而在于它把模型的注意力、上下文、工具选择、执行权限和长期记忆，收拾得比绝大多数 agent 产品都干净。

说白了，它强，不只是因为 Claude 聪明。

它还因为 Claude Code 更少跑偏，更少忘事，更少把用户逼回手工模式。

从解包内容看，Claude Code 为什么会这么强

第一，它不是先上多智能体，而是先把主循环做扎实。

ccunpacked.dev 把 Claude Code 的 agent loop 拆得很清楚：用户输入、消息历史、系统提示、token 管理、工具调用、hooks、结果渲染、等待下一轮。你会发现，它的核心结构其实没有很多人想象得那么花。

这点和 MinusX 那篇很火的分析是对得上的。那篇文章有个很重要的观察：Claude Code 并不是默认把任务切成复杂的 agent graph，它更像一个很稳的主线程，必要时才分出 sub-agent 去处理局部问题。

这很反直觉。因为现在很多 agent 产品最爱展示的，恰恰是“我有十几个 agent 在并发协作”。但 Claude Code 看起来更像另一个方向：先保证一个 agent 稳，再把多 agent 变成例外，而不是默认。

第二，它给模型的不是“自由”，而是大量高成功率的捷径。

如果你看 Claude Code 的工具目录，会发现它把文件、执行、搜索抓取、任务代理、planning、MCP、system、experimental 分得很细。这不是小事。

很多 agent 系统本质上是在做一件偷懒的事：给模型一个 shell，再说“你自己想办法”。理论上这很自由，实际上成功率很差。Claude Code 的思路完全相反。它把高频动作抽成确定性更高的工具，把容易失败的长动作拆成更短的稳定动作，再用 prompt 明确规定什么时候该用什么。

它的强，不只是“模型会写代码”，而是 它给模型准备了一套更不容易摔跤的地板。

第三，它把 prompt 当成软件工程，不当成文案工程。

Piebald 团队整理出来的多版本 system prompts 很说明问题。Claude Code 的 prompt 体系明显不是“一句像样的话”，而是一个不断维护的规则系统：角色定义、工具规范、好坏示例、格式约束、边界条件，全都写得非常细。

这类东西平时最容易被低估，因为它不性感。可真正做过 agent 的人都知道，最后决定产品体验的，往往不是那句最漂亮的 system prompt，而是这些密密麻麻、甚至有点烦人的约束。

第四，它真正厉害的，是把“短会话智能”做成了“长期工作流能力”。

Anthropic 官方文档里已经公开了很多关键能力：CLAUDE.md 记忆层、subagents、hooks、MCP、Remote Control，以及 preview / review / merge、Claude Code on the web 和 sandboxing。

把这些能力放在一起看，你会发现 Anthropic 想做的，显然不只是一个终端助手。它想做的是：你在电脑上开一个本地会话，它记得你的项目约束，它能调用外部工具，它能在受控权限里执行动作，它可以被远程接力，它还可能参与 review、修复、合并，甚至在后台继续跑。

这已经不是“帮你写一段代码”的产品边界了。这更像一个正在成形的软件工程操作层。

从解包痕迹和公开路线看，Claude Code 接下来可能会长成什么样

这里先说清楚：下面这些判断，不是“官方确认”，而是我结合 ccunpacked.dev 里的功能开关、Anthropic 已上线的公开能力，以及这次暴露出的架构方向做的推断。

1. 它很可能会变成一个更常驻的后台代理。

Daemon Mode、Kairos、Auto-Dream 这类名字，如果不是纯实验残留，那大概率都指向同一件事：Claude Code 未来不只是你打开终端时才存在，它会越来越像一个常驻进程。平时整理上下文、维护记忆、等待事件、准备接手任务；你需要它时，它已经在那儿了。

2. 它很可能会继续走向调度中心，而不只是执行器。

Coordinator Mode、RemoteTrigger、CronCreate 这类能力背后的想象空间非常大。如果 Remote Control、hooks、MCP channels、定时任务这些东西被真正打通，Claude Code 未来很可能会变成一个能白天跟你交互式写代码、晚上自己巡检 PR、外部事件一来就自动拉起检查流、复杂任务自动拆给多个 worker、最后把结果汇总给你审批的调度中心。

3. 它很可能会拥有更完整的跨端界面。

Anthropic 现在已经公开了 Remote Control，也公开了 web 版和代码审查链路。再看隐藏功能里出现的 desktop、mobile、chrome、voice 这些方向，路线其实很明显：Claude Code 不想只活在 terminal，它更像想成为一个统一 agent，终端只是它最早、也最自然的一块入口。

这件事对我们普通开发者最大的启发是什么

第一，不要再迷信“再堆几个 agent 就会更强”。

Claude Code 这次最让我服气的地方，是它暴露出来的不是复杂炫技，而是克制。它的很多优势，其实来自非常朴素的工程原则：主循环简单、工具边界清楚、prompt 写得极细、记忆层是持久的、自动化是逐步开放的。

第二，真正的门槛已经从模型调用，转向 harness 设计。

过去一年，很多团队都在比谁先接上模型、谁先把 agent 跑起来。但这次泄漏事件让我更确定一件事：下一阶段真正拉开差距的，是 harness。谁能把模型驯化成稳定的工作流节点，谁能让它少忘、少偏、少爆炸，谁能把权限、记忆、工具和 UX 接好，谁就更可能做出真正好用的 agent 产品。

第三，这种思路不只适用于 coding agent。

做写作 agent、研究 agent、运营 agent，甚至做一个能长期帮你整理数字生活的个人助理，本质上都在回答同一组问题：记忆放哪儿，规则怎么沉淀，工具怎么切，什么能自动，什么必须人工确认，怎么把一次次会话变成一个长期系统。

这次“意外开源”最珍贵的地方，不是让大家偷看了一次 Anthropic，而是提前看到了一种高水平 agent 产品方法论。

写在最后

所以，Claude Code 源码泄漏这件事，值得看的不只是八卦，不只是 Anthropic 的一次尴尬时刻。

更重要的是，它像一次不小心掀开的机盖，让整个技术圈提前看到了下一代 AI agent 产品的大致结构。不是所有细节都会公开上线，也不是每个 feature flag 都会成真，但方向已经很明显了：

未来最强的 agent，不会只是“最会回答问题的模型”，而会是“最会进入真实工作流的软件系统”。

如果你只把这次事件当成一次泄漏新闻，那它很快就会过去。

但如果你把它当成一堂关于 agent 产品方法论的公开课，它的价值可能才刚刚开始。

延伸阅读

1. Axios: Anthropic leaked 500,000 lines of its own source code

2. Rushi: How a source map leaked Anthropic’s entire Claude Code CLI

3. Claude Code Unpacked: ccunpacked.dev

4. MinusX: What makes Claude Code so damn good

5. Piebald AI: claude-code-system-prompts