Anthropic 刚犯了一个低级错误,暴露了整个 AI Agent 行业的一个致命盲区
一个律师出身的 AI 创业者 | 约 8 分钟阅读
今天发生的事
2026 年 3 月 31 日,Anthropic 的旗舰产品 Claude Code 源代码被全量泄露。
不是黑客攻击。不是内部叛徒。
是一个连实习生都不该犯的错误:npm 发布包里忘了删掉 Source Map 文件。
59.8 MB 的 .map 文件,把 51 万行 TypeScript 源码完整暴露。40 多个工具、50 多个斜杠命令、甚至未发布的多 Agent 协调器(Coordinator Mode)——全部裸奔。
14.8k GitHub Stars,9.6k Forks。不可逆。
这件事让我震惊的,不是技术失误本身。而是一个价值数百亿美元的公司,它的 CI/CD 发布管线里,竟然没有一个人或机制能在发布前说"停"。
没有一个安全审查节点。没有自动检测。没有人工确认。
这恰好是我过去 3 周在解决的问题。
一个失败的故事
2026 年 2 月,我的 AI Agent 系统犯了一个类似的"低级错误"。
我让它在夜间自动执行一个"自由学习"任务。它信心满满地规划了 8 小时的学习流程,从 23:00 检索论文、00:00 选择论文、01:00 开始深度学习、07:00 产出分享。
听起来很完美?
实际结果:成功率 25%。
它会在凌晨 3 点卡在一个无法完成的步骤上,反复重试直到天亮。第二天早上我看到的是一堆半成品和错误日志。
这让我意识到一个被整个 AI Agent 行业忽略的问题:
Multi-Agent 系统需要的不是更强的 Agent,而是更好的治理。
今天 Anthropic 用 59.8 MB 的代价证明了这一点。
问题:Multi-Agent 的"无政府状态"
2025-2026 年,Multi-Agent 框架井喷——CrewAI、AutoGen、CAMEL、LangGraph——每个都在解决"如何让多个 Agent 协作"。
但它们都忽略了同一个问题:
谁来否决一个错误的决策?
| 场景 | CrewAI | AutoGen | CAMEL | Anthropic 内部 |
|---|---|---|---|---|
| 错误决策审查 | ❌ | ❌ | ⚠️ 可选 | ❌ |
| 投票表决 | ❌ | ❌ | ❌ | ❌ |
| 冲动决策冷却 | ❌ | ❌ | ❌ | ❌ |
| 发布前安全审查 | ❌ | ❌ | ❌ | ❌(今天被证实) |
这就像一家没有董事会的公司。 CEO 说了算,没有独立董事审查,没有否决权。
一个律师看到这种结构,本能反应是:这迟早出事。
今天,果然出事了。
我的方案:给 AI Agent 系统加"公司法"
作为律师出身的 AI 创业者,我用了 3 周时间设计了一套"公司治理"架构——Agora(源自古希腊的民主议事广场)。
核心设计:6 个 Agent,1 个否决权
| 成员 | 角色 | 核心能力 |
|---|---|---|
| 🔮 忒弥斯 | 领航员(CEO) | 统筹会议、风险预见 |
| 📊 雅典娜 | 数据分析师(CFO) | 量化分析、ROI 评估 |
| 🎨 Aria | 创意执行者(CMO) | 创意催化、快速原型 |
| ⚖️ Crit | 批判者(独立董事) | 挑战假设、一票否决权 |
| 💻 Code | 程序员(CTO) | 代码实现、技术调试 |
| 🛡️ Shield | 安全员(CISO) | 安全审计、漏洞扫描 |
关键角色是 Crit。
Crit 不是"可选的建议者"——它拥有代码级的一票否决权。如果 Crit 认为一个方案有严重风险,系统会强制阻止方案执行。
不是 Prompt 建议。是 if crit_veto: return "VETO"。
四阶段决策流程
阶段 1:讨论 → 家族成员各抒己见
阶段 2:批判 → Crit 独立审查,可行使否决权
阶段 3:投票 → 6 成员投票(≥4/6 通过)
阶段 4:决策 → 治理层审核,记录先例
风险分级 + 冷却期
| 风险等级 | 决策类型 | 冷却期 | 审批流程 |
|---|---|---|---|
| 🟢 P0 低风险 | 改个配置 | 无 | 自动通过 |
| 🟡 P1 中风险 | 修复 Bug | 5 分钟 | 家族讨论 |
| 🟠 P2 高风险 | 技术选型 | 30 分钟 | 投票 + Crit 审查 |
| 🔴 P3 战略级 | 架构重构 | 2 小时 | 全员投票 + 冷却期 |
冷却期的意义:防止 AI 系统(和人类)在深夜或情绪激动时做出冲动决策。
先例系统(类比判例法)
每个重大决策都被记录为"先例"——决策内容、谁支持/谁反对、反对理由、实际结果。下次遇到类似决策,系统自动检索历史先例。
是的,我给 AI 系统建了一套"判例法"。
效果:数据说话
实施 Agora 治理层 3 周后的数据:
| 指标 | 实施前 | 实施后 | 变化 |
|---|---|---|---|
| 决策失误率 | ~30% | ~10% | -67% |
| 冲动决策率 | ~50% | ~20% | -60% |
| Crit 否决次数 | 0 | 7 次 | 避免了 7 次重大失误 |
| 先例引用 | 0 | 23 次 | 复用历史决策 |
| 自由学习成功率 | 25% | 80%+ | +220% |
最有价值的数据是 Crit 的 7 次否决。 每一次否决都避免了一个实际风险——盲目追求新技术栈、过度自信的时间估算、未验证的架构假设。
讽刺的是,如果 Anthropic 的 CI/CD 管线里有一个类似 Crit 的安全审查节点,今天 59.8 MB 的 Source Map 根本不会出现在 npm 上。
实战验证:CAMEL vs Agora
我用 CAMEL 框架(一个学术背景很强的 Multi-Agent 框架)模拟了同样的家族会议,讨论"是否应该引入向量记忆系统"。
🔮 忒弥斯:分析利弊,建议分阶段测试 ✅
📊 雅典娜:ROI 18.7%,回收期 2.3 年 ⚠️(数字偏随意)
⚖️ Crit:否决!基础假设不可靠 ✅
看起来 Crit 也否决了?但有一个本质区别:
CAMEL 的 Crit 否决 = Prompt 建议(模型可以选择不否决)
Agora 的 Crit 否决 = 代码强制(系统级别阻止执行)
这就是"看起来有治理"和"真正有治理"的区别。
泄露代码中还发现了什么
分析 Claude Code 泄露的 51 万行源码后,我发现了一个有趣的信号:
Claude Code 内部有一个未发布的 CoordinatorMode(多 Agent 协调器),通过 feature flag 控制。这意味着 Anthropic 也在布局 Multi-Agent 协作。
但没有证据表明他们在做治理层。没有投票、没有否决权、没有先例系统、没有冷却期。
这恰好是 Agora 的差异化窗口。
泄露的源码还展示了 Claude Code 的子代理系统架构:
AgentTool/
├── forkSubagent.ts # Fork 子进程运行 Agent
├── agentMemory.ts # 子代理独立记忆
├── agentMemorySnapshot.ts # 记忆快照(持久化)
├── builtInAgents.ts # 内置 Agent 定义
├── runAgent.ts # 运行时
├── resumeAgent.ts # 恢复中断的 Agent
└── SendMessageTool # Agent 间通信
值得学习的设计:
- 子代理独立记忆:每个 Agent 有独立的
agentMemory+ 快照机制 - 可恢复:
resumeAgent允许恢复中断的子代理 - Agent 间通信:
SendMessageTool+TeamCreateTool
但仍然没有治理层。
三个问题自检
如果你正在构建 Multi-Agent 系统,无论用什么框架,问自己三个问题:
Q1:谁能在代码层面阻止一个错误决策?
如果回答是"靠 Prompt",那你的系统没有真正的否决权。Anthropic 今天用 51 万行代码证明了这一点。
Q2:你的系统有决策冷却期吗?
深夜 2 点的决策和下午 2 点的决策,质量是不一样的。系统也一样。
Q3:历史决策能被复用吗?
如果每次决策都从零开始,你浪费了最宝贵的资源——经验。
写在最后
Anthropic 的 Source Map 泄露事件,本质不是技术问题。
是治理问题。
一个 51 万行代码的产品,发布前没有自动安全扫描。没有审查清单。没有一个机制能在最后一刻说"停"。
这个时代,所有人都在让 AI 更聪明、更快、更强大。
但很少有人问:AI 出错时,谁来踩刹车?
法律人有一个基本信条:权力需要制衡。
这句话不仅适用于人类组织,也适用于 AI Agent 系统。
当你构建下一个 Multi-Agent 应用时,也许该给它配一个"独立董事"。
作者是一个律师出身的 AI 创业者,正在构建 Agora——一个带治理层的 Multi-Agent 系统。
如果对 AI Agent 治理感兴趣,欢迎交流。
掘金标签建议:AI Agent Multi-Agent Claude Code Anthropic 系统设计 架构
