学习 Claude Code 泄露源码:一堂价值亿元的 AI 工程课

开篇

2026 年 3 月 31 日， Anthropic 犯了一个很低级的错误。

打包 Claude Code 的 npm 包时，忘记删掉 .map 文件——Source Map ，本来是给开发者调试用的，结果直接把 1906 个源文件、 51.2 万行 TypeScript 代码，原封不动地暴露在互联网上。

这不是第一次了。 2025 年 2 月，同样的原因泄露过一次。一年后又来一遍。

讽刺的是， Claude Code 的源码里有一个叫 Undercover Mode 的子系统，专门用来防止 Anthropic 内部代号出现在 git commit 里。他们精心设计了防泄露机制，然后把整个源码打包进了 npm 。

但抛开 Anthropic 的失误不谈，我想聊的是另外一件事：

这次泄露，可能是 2026 年 AI 工程领域最有价值的一次意外公开课。

因为源码公开后，我第一次有机会完整看完一个生产级 AI Agent 系统的真实实现。不是论文，不是技术博客，不是 PPT——是代码本身。看完之后，我对 AI Agent 的判断被彻底重塑了。

一、最反直觉的发现：它用的是 grep

先来个最让人意外的。

很多人以为 Claude Code 这种级别的 AI 编程工具，搜索代码肯定用上了向量数据库、 Embedding 索引之类的 RAG 方案。毕竟现在谁不聊向量检索都不好意思说自己做 AI 。

但源码显示——

它用的是 grep 和 ripgrep。

就是那个最朴素的文本搜索工具。没有 Embedding ，没有向量数据库，没有语义理解。

为什么？因为 Anthropic 想清楚了什么在这个场景下最可靠。

文本搜索是确定的、快速的、可预测的。你知道你在搜什么，你知道返回的结果是什么。对于代码搜索这场景，精确匹配比语义相关重要得多。

这让我重新审视了过去几年里我们在 AI 工程上的很多决策——我们有多少次是在用”更新的技术”解决一个”更简单的工具”就能解决的问题？

技术的先进性，从来不等于工程的正确性。

最好的 AI 工程师，不是追求”用最新技术”的人，而是追求”用最合适技术”的人。这个判断力，比掌握多少新技术更稀缺。

二、 Harness Engineering ： 60% 模型 + 40% 工程

这是这次源码泄露中，被反复提及但也是最重要的概念。

什么是 Harness Engineering ？

简单说： AI Agent 好不好用，不只取决于模型多强，更取决于围绕模型搭建的那套”笼具”有多好——工具设计、安全机制、记忆系统、上下文管理、多 Agent 协作，所有让 AI 从”能力强但不可预测”变成”稳定可靠能交付”的工程系统，合起来就是 Harness 。

Claude Code 好用，60% 靠模型能力， 40% 靠 Harness 工程。

市面上大量 AI 编程工具底层都在调用 Claude 或 GPT 的 API ，使用体验却天差地别。差异不在模型，在 harness 。

这次泄露最有学习价值的部分，就是这”40% 的 Harness 工程”到底长什么样。

三、源码里值得学的 6 个设计

1. 安全是四层流水线，不是一个开关

Claude Code 的 Auto 模式下，每一个操作请求都要经过四道关卡：

更精妙的是熔断机制：连续 3 次被拒，或累计 20 次被拒，系统自动降级为手动确认模式。

源码注释里写着一个真实数据：3,272 次连续失败的单会话，每天在全球浪费约 25 万次 API 调用。

这是基于 BigQuery 真实数据设计出来的阈值，不是拍脑袋。

安全不是功能，安全是地基。绝大多数团队做安全时想的是”怎么把漏洞补上”，而不是”怎么让系统在失控边缘依然可预测”。

2. 不记代码，只记人

Claude Code 有一套完整的记忆系统，但它做了一个非常反直觉的核心决策：

记忆只存人的偏好和判断，代码相关的事实永远去源码里实时读取。

记忆只存：你的项目习惯、操作偏好、上次讨论到了哪里、你不用分号、你喜欢用全角引号。

不存：哪段代码改了什么、哪个函数有什么 bug 。因为这些， Claude Code 认为应该直接去源码里读，存在记忆里可能过时。

「不记代码，只记人」——这六个字背后，是对 AI 认知局限的清醒认识。记忆系统的价值不在于存了多少，而在于存对了什么。这个判断，比任何向量数据库的优化都更重要。

3. 上下文压缩是 9 段式结构化提取

模型接近上下文窗口极限时，会倾向于草草收尾——Anthropic 管这叫 “context anxiety”。就像一个人知道自己快没时间了，会开始跳步骤、走捷径。

Claude Code 的解法不是简单的”总结一下”，而是一套结构化的 9 段式提取：

核心请求 → 关键概念 → 文件和代码 → 错误和修复 → 解决过程 → 所有用户消息 → 待办任务 → 当前工作 → 下一步行动

九个维度，缺一不可。接近极限时生成这份结构化交接材料，下一个窗口从交接材料开始，不是从一个快撑满的上下文开始。

同时，长输出结果不塞进上下文，直接写到磁盘上，给模型一个文件路径引用。几千行日志换成一行文件引用，节省 90%+ 的上下文空间。

4. 工具延迟加载——50 个工具，只加载你需要的

Claude Code 有 50 多个工具。但默认只加载核心工具，其余按需延迟加载。

因为工具选择本身会消耗模型的推理能力。选项越多越容易选错。

每个工具还带着一套属性：能不能并行执行、会不会修改文件系统、结果超过多大写磁盘、用户打断时是停掉还是继续跑完。

这跟日常使用 MCP 的经验是一个道理——不要给智能体一个海洋馆，给它一个太平洋。多接几个工具让它更”万能”，但实际上每多一个工具，它可用于理解实际问题的上下文空间就缩小一点。

克制，比贪多更重要。

5. Sub-Agent 用完即弃

子 Agent 的价值是：花几万 token 去做一个子任务，做完只把结论交给主 Agent ，中间过程全扔掉。

有四种执行模式，按风险等级逐级隔离：

风险越高，隔离越彻底。同时有防递归机制，防止无限套娃。

6. 判式权限验证——让用户感觉不到等待

工具执行前的分类器判断和弹窗准备是并行执行的：

分类器判断这个命令大概率没问题 → 弹窗直接跳过。用户感知不到等待，因为判断在弹窗准备期间已经做完了。

这种细节决定了用户体验。用户不需要知道背后发生了什么，只会觉得”这个工具响应很快”。

四、隐藏功能：下一代 AI Agent 长什么样

源码中还暴露了一些尚未发布的功能标志，指向 Claude Code 的未来方向：

这些功能说明 Claude Code 不满足于做一个”你问它答”的编程助手，而是走向一个能主动思考、持续运行的 AI 伙伴。

五、源码泄露之后，护城河还在吗

这是所有 AI 创业者和产品决策者最需要想清楚的问题。

很多人以为 Claude Code 的核心壁垒是工程设计，所以源码泄露意味着壁垒消失。

但事实是，这套精密的 Harness 工程，它的真正价值不是”别人抄不走的秘密”，而是”它证明了这个团队有能力把复杂系统做对“。秘密可以被复制，能力不能。

更重要的是——Claude Code 占 Anthropic 年化总收入的 18%， 2026 年初六周内实现了收入翻倍，年化规模是 OpenAI Codex 的 2.5 倍。这些数字背后是数十万付费用户的使用习惯、企业客户的采购合同、以及沉淀在每个团队工作流中的偏好。

这些才是真正的护城河。

六、我们能从中学到什么

看完 Claude Code 的源码，我总结了几个可以立刻用到自己项目里的原则：

这次泄露之后，一个韩国开发者 Sigrid Jin （曾被华尔街日报报道为 Claude Code 最活跃的超级用户，去年单人消耗了 250 亿 Token ）主导了一个叫 claw-code 的项目，基于泄露架构用 Python/Rust 重写。几个小时内， GitHub Star 突破 3 万，成为 GitHub 历史上增长最快的仓库之一。

源码可以被克隆。但理解为什么这样设计——这种工程判断力，才是真正的价值所在。

从长远来看，这或许是这个行业发生过的最有价值的一次”意外开源”。它让所有人第一次有机会如此清晰地看见：在 AI 浪潮的深处，那些真正重要的工程决策，是什么样子的。

你觉得 Claude Code 这波泄露最大的价值在哪？最让你意外的设计是哪一点？欢迎留言聊聊。