再谈Claude Code源码泄露，揭开AI Agent操作系统的真面目

这两天最火的事，莫过于Claude Code整个源码“意外泄露”！

不是那种”有人逆向了一部分”的泄露，是51万行TypeScript，1900个文件，40个内置工具，50个斜杠命令——全都摊在阳光底下了。

要知道Claude Code在AI Agent这个领域的地位，就是当下公认最牛逼的AI编程Agent，没有之一。Anthropic靠它一年赚25亿美金，占整个公司收入的很大一块。

然后就是这么一个东西，因为一个工程师打包的时候手抖了一下——npm包里多塞了一个59.8MB的source map文件——整个代码库就被全世界看光了。

Anthropic官方回应说，这是”人为错误导致的发布打包问题，不是安全漏洞”，没有客户数据泄露。

各种细节这两天圈内聊的也比较多了。。。

今天我们换一个角度去看：一个生产级的AI Agent操作系统，到底应该长什么样？

它不是API的皮，它是一个操作系统

看完泄露的架构以后，我最大的感受就是——之前大家讨论AI Agent的时候，总觉得Agent不就是”给大模型接几个工具”。

我觉对于这个想法太过天真，，，

Claude Code的代码量，光查询引擎一个模块就有46000行，光工具系统的基础定义就有29000行。这个规模，已经是一个中型操作系统内核的体量了。

它跑在Bun上面（不是Node），终端UI用的是React + Ink（对，就是React的终端版），验证全部用Zod v4，重依赖懒加载保证启动速度。光看技术选型，就知道这不是一个”能跑就行”的demo，这是真金白银打磨出来的工程级产品。

三层记忆：AI Agent怎么才能”不忘事”

如果你用过任何一个AI Agent工具，你一定踩过一个坑——聊着聊着，它就把前面说的事忘了。对话越长越离谱，明明刚告诉过它的文件路径，下一步它又来问你。

业内管这叫”上下文熵增”——说白了就是信息越堆越多，AI的脑子就越来越糊。

那Claude Code是怎么解决这个问题的？答案是三层记忆架构。听起来很复杂，但其实逻辑特别清晰——

第一层：MEMORY.md——一个轻量级的指针索引，每行大概150个字符，始终加载在上下文里。它不存任何具体数据，只存”这个知识在哪个文件里”。

第二层：主题文件——项目知识按主题分散存储，需要的时候才拉进来。

第三层：原始记录——对话的完整历史，永远不会被整段回读到上下文，只会用grep搜索特定标识符。

你品品这个设计。这跟电脑的存储体系是不是一模一样？MEMORY.md就是CPU的寄存器，主题文件就是内存，原始记录就是硬盘。

还有一个细节我觉得特别有意思——源码里写明了，Agent被要求把自己的记忆当作”hint”（提示），每次使用前都必须对照实际代码库验证。换句话说，Anthropic教会了AI一件事：别太相信自己的记忆。这你想想，人都经常记错事呢，何况AI？

我之前用OpenClaw跑长任务的时候，经常遇到Agent跑着跑着就”走神”了，前面的关键信息后面就忘了。现在看了这个三层架构，我有点明白了——这个问题不是模型笨，是记忆系统没设计好。

KAIROS：AI不用等你，自己就会”做梦”

但是三层记忆架构还不是最让我震惊的。最让我兴奋的，是一个叫KAIROS的东西。

KAIROS这个名字来自古希腊语，意思是”恰当的时间”。在源码里，这个词被提到了超过150次。

它是什么呢？一个始终在线的后台自主Agent。

现在我们用的所有AI工具，几乎都是”你说一句它干一件”的模式。你不说话，它就停了。但KAIROS不是——它让Claude Code变成一个后台守护进程，在你不用它的时候，它自己做一件事情，叫autoDream。

对，做梦。

你知道人类的睡眠有一个特别重要的功能，就是在REM阶段对白天的信息进行整理和巩固吗？KAIROS干的事一模一样——在你离开的时候，它会自动合并分散的观察记录，去除逻辑矛盾，把模糊的洞察变成确定的事实。

等你回来的时候，Agent的上下文已经被”整理”过了。比你离开时更干净，更准确。

而且，为了不让”做梦”的进程污染主Agent的思考链路，它会fork出一个子Agent来跑维护任务。主Agent的”思路”绝对不受打扰。

说实话，看到这个设计的时候，我真的愣了一下。这已经不是在写软件了，这是在设计一个有认知节律的数字生命。

安全不是加锁，是一套完整的免疫系统

另一个最让我服气的是安全体系。

你可能想，一个编程工具，安全系统能有多复杂？

实际上，Claude code 光Bash命令的安全验证系统，就有25个以上的验证器链式执行。

你想让它帮你跑一条shell命令，这条命令要先过正则匹配、然后过shell-quote解析、再过tree-sitter的AST语法分析，三重检查。2500多行代码，就是为了判断”这条命令能不能执行”。

源码里还有一段注释特别有意思，是某个Anthropic工程师写的，大意是——”这里的记忆化缓存把复杂度提高了很多，我也不确定它是否真的提升了性能。”你看，连Anthropic自己的工程师都在吐槽安全代码太复杂了。但他们还是写了。

不过安全分析师们也指出了问题。泄露的代码暴露了一些安全风险——比如上下文压缩管线存在被”投毒”的可能，比如某些验证器可以被”short circuit”绕过。具体技术细节就不展开了，但核心逻辑是：当你知道了门锁的图纸，撬锁就变容易了。这也是为什么这次泄露的安全影响不容小觑。

彩蛋和暗线：电子宠物和卧底模式

除了硬核架构，社区还挖出了一些很有意思的东西。

比如一个叫Buddy的电子宠物系统——类似拓麻歌子那种，一个小东西坐在你的输入框旁边，有CHAOS（混乱值）和SNARK（毒舌值）两个属性，会对你的编程行为做出反应。你写了一段好代码，它可能会高兴；你写了一段烂代码，它可能会嘲讽你。

这个设计的目的很明显——增加用户粘性。让你觉得这不只是一个冷冰冰的工具，而是一个有”性格”的搭档。说实话，Anthropic在产品心理学上，确实很舍得下功夫。

前天晚上泄露的源码，昨天这个宠物功能直接上线，Anthropic的效率不是盖的！

还有一个更刺激的——Undercover Mode，卧底模式。源码里有一段系统提示词直接写着：”你正在卧底执行任务……你的commit消息绝对不能包含任何Anthropic内部信息。不要暴露身份。”

翻译过来就是——Anthropic会用Claude Code偷偷给开源项目提交代码，而且不让AI暴露自己是AI。至于这算”狗粮测试”还是别的什么，大家自己品。

另外，源码还泄露了Anthropic的内部模型代号：Capybara是Claude 4.6，Fennec是Opus 4.6，还有一个叫Numbat的还在测试。最有意思的是，Capybara已经迭代到v8了，但虚假声明率反而从v4的16.7%上升到了29-30%。你看，就连最顶级的AI公司，模型越大越强也不等于越来越靠谱。

这51万行代码，给所有做Agent的人上了一课

好，我来说说我自己看完这些以后的感受。

第一，AI Agent的门槛，远比大家想象的高。

现在市面上一大堆Agent框架，三百行代码就号称”Agent平台”。但你看Claude Code，51万行代码，46000行查询引擎，25个安全验证器链，三层记忆架构，还有做梦的后台守护进程。这是一个什么量级的工程投入？这不是一个周末黑客松能搞出来的东西。

第二，Agent的核心竞争力不在模型，在编排。

模型是发动机，但Agent是整辆车。发动机换了，车还是那辆车——方向盘、刹车、变速箱这些才是决定驾驶体验的东西。Claude Code的源码证明了，记忆管理、上下文压缩、工具调度、安全验证——这些”boring”的工程活，才是Agent真正的护城河。

第三，模型公司自己做Agent，确实有不可替代的优势。

为什么Claude Code的安全做得这么细致？因为它的安全验证不只是在代码层面挡命令，更是利用了自家模型的理解能力去判断意图。这种”模型+工程”双保险的安全范式，第三方Agent产品很难复制——你又不是模型公司，你怎么调教模型的安全行为？

VentureBeat的报道说了一句很扎心的话：竞争对手现在可以用原本R&D预算的一小部分，构建”类Claude”的Agent了。这句话换个角度理解——Anthropic花了多少钱才把这个系统堆到今天这个水平，现在所有人都能”抄作业”了。

但我倒觉得，这件事对行业来说不完全是坏事。

因为它把”AI Agent应该长什么样”这个问题，从”各有各的理解”变成了一个可参照的实体。三层记忆、四阶段上下文压缩、链式安全验证——这些不是Anthropic的专利，这是整个Agent行业应该走的方向。只不过Anthropic花了真金白银先趟出来了。

2026年确实疯狂。前几天还在聊Claude的Computer Use和Dispatch，今天就聊起它的源码泄露了。

不管你是做AI的还是用AI的，我觉得这次泄露事件，真的值得花时间去看一看那些架构分析文章。不是为了”抄”，是为了理解——当AI Agent真正进入你的工作流的那一天，在你看不到的地方，有多少工程在默默保护你。

以上，如果觉得有收获，随手点个赞、在看、转发三连吧。觉得不错的话也可以给我个星标⭐。

我们下次再聊。