一次意外的源码泄露,让外界第一次近距离看清:一家顶级 LLM 公司,究竟是怎么构建自己的 AI 编程产品的。Claude Code 原本是闭源产品。但这次泄露,让很多原本只能靠猜的东西,第一次有了工程层面的实证:它用什么技术栈?它怎么做多 Agent 协调?它怎么控制 API 成本?它又是怎么设计自己的“安全边界”?这不是吃瓜。这是一次非常罕见的反向产品拆解机会。更重要的是,透过这些代码,你看到的不只是实现细节,还是一家 AI 公司在商业护城河、品牌焦虑、成本压力、产品路线之间的真实取舍。
01|Anthropic 为什么要收购 Bun?源码把答案写出来了
Claude Code 基于Bun构建。而 Anthropic 在去年年底收购 Bun,这件事现在回头看,显然不只是“看上了一个高性能 JS 运行时”那么简单。从泄露代码里,可以看到一个很关键的细节:Claude Code 发出的每个 API 请求里,都带着这样一个字段:
cch=00000
但这个五个零并不会原样发出去。在请求真正离开进程之前,Bun 的原生 HTTP 栈(Zig 编写)会把它替换成一个计算后的哈希值。服务端再校验这个哈希,确认请求是否真的来自“官方 Claude Code 二进制”。这里最关键的一点是:这个计算发生在 JavaScript 层之下。也就是说:你在 JS/TS 代码里看不到真实逻辑你没法通过普通脚本伪造这个值你即便逆向上层代码,也碰不到最关键的认证环节这就是收购 Bun 的真正技术价值之一:Anthropic 拿到了“JS 运行时之下、HTTP 传输层之内”的控制权。这不是普通第三方运行时能给的能力。如果你只是基于 Node、Deno 或者其他现成运行时做产品,你很难在这个层级植入这种“对上层不可见、对请求强绑定”的身份验证机制。某种意义上说,这已经有点像 DRM 思路了。不是为了防盗版内容,而是为了确保“只有官方客户端,才能完整、合法地调用官方能力”。这也解释了一个问题:为什么一些第三方 Claude 客户端,最后只能靠“session stitching”这类绕路办法勉强兼容?因为真正的墙,根本不在 JS 里。
02|Claude Code 的多 Agent,不是代码写出来的,而是 Prompt“说出来的”
这次泄露里,一个非常有意思的点,是 Claude Code 的 Agent 协调机制。直觉上很多人会以为:多 Agent 协同,肯定是一堆复杂状态机、调度器、路由逻辑、if-else 决策树。但 Claude Code 不是这么干的。它的 coordinatorMode.ts 显示,很多“协调规则”并不是硬编码逻辑,而是直接写在system prompt里。比如 worker agent 收到的指令里,会出现这种话:
Do not rubber-stamp weak work.You must understand findings before directing follow-up work. Never hand off understanding to another worker.
Claude Code 在 API 请求中,会发送类似这样的字段:anti_distillation: [‘fake_tools’]它的作用是什么?当 Anthropic 服务器收到这个标记后,会在系统提示里插入一些虚构工具定义。目的很直接:污染第三方抓包录制出来的训练数据。换句话说,如果有人想通过录制 Claude Code 的 API 流量,来蒸馏出一个竞品模型,那么拿到的数据可能混着这些假工具、假调用信息,训练效果会被干扰。这个思路其实很好理解:不是防你看,而是防你“偷学”。不过从技术角度看,这道防线并不算牢。社区已经很快给出了多种绕过方向,比如:中间人剥离字段通过环境变量关闭相关实验开关使用第三方 API provider 绕开部分控制链路所以 Hacker News 上有一句评价很到位:真正的保护更多是法律层面的,而不是技术层面的。但即便如此,这个模块仍然很重要。因为它说明了一件事:Anthropic 非常明确地在防“别人用我的产品能力,反向做出竞争产品”。这不是普通工程防御。这是典型的平台护城河思维。
4.2 Undercover Mode:不是安全设计,而是品牌管理设计
泄露里另一个非常有争议的模块,是 undercover.ts。这个文件不长,大概只有九十行左右。但它透露出的态度,比很多大型模块还更值得关注。它的核心功能是:要求 Claude Code 在参与外部开源项目时,不要暴露自己是 AI。指令内容大致包括:不要在 commit message 里提到 Claude Code不要在 PR 描述里透露自己是 AI不要加 Co-Authored-By 之类 attribution这已经不是单纯的“隐藏内部代号”了。而是非常明确地在要求:AI 参与外部协作时,尽量伪装成人类。更微妙的是,代码注释里还有一句意思很强的话:
There is NO force-OFF.
也就是说,这个能力不是一个容易被强行关闭的选项。而在外部构建版本里,这个函数甚至会被直接 dead-code eliminate,表面上什么都看不到。这就很耐人寻味了。它暴露了什么?很多人第一反应是:这会不会有法律风险?确实,社区已经有人提到EU AI Act的潜在合规问题。如果员工使用 AI 参与外部开源协作,却不披露 AI 参与,某些场景下确实可能触碰监管边界。但更深一层的问题其实是:Anthropic 为什么会需要这个功能?答案很可能不是“保密”,而是“声誉管理”。因为在 AI 编程工具赛道里,一旦某段代码被标记为“AI 生成”,人类 maintainer 的审查阈值会立刻升高。很多本来可以被正常接受的提交,只要一贴上“AI 写的”标签,就会遭遇更高程度的不信任、更严格的审阅,甚至带着偏见的否定。所以 Undercover Mode 本质上不是在管理安全风险,而是在管理一种更现实的风险:被发现是 AI 之后,品牌和输出会受到额外审视。这说明 Anthropic 很清楚一点:Claude Code 的能力已经强到足以真实参与外部工程。但“AI 身份”本身,仍然会让它在协作场景里受到惩罚。
这些拼起来,已经不是普通“用户点一下才工作”的 AI 工具了。它更像什么?更像一个常驻后台的代码库观察者。这意味着产品形态正在变化传统的 AI 编程助手,大多是被动式的:你问,它答你选中文件,它分析你发起命令,它执行但 KAIROS 指向的是另一种产品形态:不需要你每次都叫它,它自己盯着仓库变化,并主动做事。比如:PR 一有变化,它就触发分析代码模式出现风险,它主动提醒每日自动生成一次代码库变更摘要长期跟踪一个项目的演化趋势这时候它不再只是“一个 IDE 里的工具”,而更像是一个真正意义上的AI 同事。也就是说,Claude Code 未来最可能想去的方向,不是“把补全做得更好”,而是:从响应式助手,进化成持续在线的代理系统。
夜雨聆风
