愚人节炸穿 AI 圈!前端一个手抖,180 亿美金的 Claude Code 51 万行源码全漏了

社恐的下水道蟑螂
0 阅读23分钟

本文作者:连夜拖完源码、喊上 Claude Opus 当「小龙虾程序员」啃完 51.2 万行代码的前端开发者友情提示:全文无胡编乱造,所有技术细节均来自泄露源码与权威技术拆解,既有八卦梗,也有能直接抄作业的 Agent 工程化标准答案

2026 年 3 月的最后一天,估值超 180 亿美金的 Anthropic,给全球 AI 圈和前端圈送了一份愚人节超级大礼 —— 不是新模型发布,不是 API 降价,而是自家旗舰产品 Claude Code 的完整生产级源码,因为一个前端开发者都会踩的低级失误,完完整整暴露在了全世界面前。

没有黑客攻防,没有数据拖库,导火索只是一个不该出现在 npm 生产包里的cli.js.map文件。这个 59.8MB 的 source map 文件,像一张精准的逆向地图,把 1906 个 TypeScript 源文件、51.2 万行未经混淆的核心代码,连注释带命名规范全给扒了个底朝天。

安全研究员 Chaofan Shou 在 3 月 31 日早上率先发现这个问题并公之于众,短短一小时内,GitHub 上的源码备份仓库星标直接破万,fork 数比 star 数还夸张,全球开发者的动作出奇一致:先存了再说,万一明天就被 DMCA 了。我也没能免俗,连夜拉完了完整源码,甚至直接喊来了 Claude Opus 本人当我的「小龙虾虚拟程序员」,让它逐行啃完了这 51 万行代码,把我们最关心的核心秘密、藏在注释里的未发布功能、工业级 Agent 的工程化细节,全给挖了出来。

image.png

先澄清!这次泄露的到底是什么?没泄露什么?

网上很多人张口就来「Claude 大模型源码泄露」,这里必须先给大家掰扯清楚 —— 这次泄露的不是 Claude 大模型的权重、训练代码,也不是后端服务架构,而是运行在用户本地的 Claude Code CLI 客户端完整源码。

但千万别觉得「只是个客户端,没什么大不了的」。恰恰相反,对于所有做 AI Agent、AI 编程工具的开发者来说,这次泄露的内容,比大模型权重还要珍贵 10 倍。

它完整曝光的东西,全是 Anthropic 打磨了数年、从未对外公开的核心商业机密:

  • 1906 个 TS 源文件、51.2 万行生产级代码,完整的 Agent 工程化架构
  • 110 + 个系统提示词片段,总长度超 7000 行,包括安全、多 Agent、记忆系统的核心 prompt
  • 权限系统、沙箱系统、安全防御的完整实现逻辑
  • 内部 Feature Flag 和多个未发布的隐藏功能,包括代号 KAIROS 的王炸功能
  • 从 token 成本优化、上下文管理到错误重试机制的全链路工程化实践

而它没有泄露任何用户数据、API 密钥、服务端凭证,更没有大模型的核心训练资产。说白了,Anthropic 把自己做顶级 Agent 的「武林秘籍」,连招式带心法全公开了,而我们只需要翻开这本秘籍,就能抄到经过市场验证的标准答案。

先吹爆!这是 JS/TS 开发者的顶级荣光

在扒核心技术之前,我必须先替所有前端开发者喊出这句话:地表最强、SWE-Bench 基准测试得分断层第一的 Coding Agent,核心代码全是用我们天天写的 TypeScript 写的

在此之前,很多人都觉得,能把代码写得比 10 年资深程序员还溜的 AI 工具,背后一定是我们看不懂的底层黑科技、专属编程语言,甚至觉得前端只是套了层 API 壳子。但这次源码泄露,直接把这个偏见砸得粉碎。

Claude Code 的完整技术栈,就是一套纯纯的现代前端 / Node.js 技术体系:

  • 开发语言与运行时:全量 TypeScript 编写,运行在 Anthropic 自家收购的 Bun 高性能环境下
  • 终端 UI 渲染:创意性使用 React + Ink,像写网页前端一样构建复杂的终端交互界面
  • 工程化体系:用 Commander.js 处理命令行参数,Zod v4 做全链路数据结构校验
  • 核心架构:高度解耦的插件化设计,40 + 独立工具模块、50 + 面向开发者的斜杠命令

更夸张的是,它的核心大脑QueryEngine.ts,整整 46128 行代码,全是用 TypeScript 实现的,负责意图解析、上下文管理、多 Agent 调度、工具调用全流程,支撑起了 200K 超长上下文的处理能力,在 SWE-Bench 基准测试里拿下了 80.8% 的恐怖得分,比第二名高出整整 8 个百分点。

这波直接给所有 JS/TS 开发者打了一针强心剂:别再说前端只能写页面了,我们手里的这门语言,已经撑起了全球顶级的 AI Agent 产品,定义了下一代编程工具的标准。那些天天唱衰「前端已死」的人,怕是没想到,前端技术已经卷到了 AI Agent 的最核心地带。

源码级拆解!Anthropic 把 Agent 的武林秘籍全公开了

之前我们做 Agent,都是摸着石头过河,东拼西凑一个 demo 就觉得很厉害;现在 Anthropic 直接把自己打磨了几年的工业级标准答案拍在了桌上,从记忆系统到多 Agent 协作,从安全管控到成本优化,每一个环节都给你扒得明明白白。

一、记忆系统:AI 产品真正的护城河,远比你想的更恐怖

这是我扒完源码最震撼的部分,也印证了我一直以来的观点:大模型大家都能调用,API 谁都能接,但 AI 能不能记住你、记得好不好、能不能真的懂你,才是产品之间真正的差距

很多人以为,Claude Code 的记忆就是把对话历史存下来,全量塞进上下文。但源码告诉我们,它做了一套完全反常识、和人类认知逻辑完全匹配的记忆体系,甚至连向量数据库都没用,纯靠本地文件系统就实现了精准、高效、永不遗忘的记忆能力。

1. 四层独立又协同的记忆子系统,覆盖全场景记忆需求

它没有把所有记忆塞在一个篮子里,而是做了四层严格分工的子系统,分别解决不同时间尺度的记忆需求:

表格

记忆子系统核心作用触发方式核心能力
Auto Memory跨会话持久化核心规则会话启动时自动读取 + 查询时智能召回加载项目级 CLAUDE.md 规则,用户的全局偏好、代码规范
Extract Memories实时提取会话高价值信息每轮 query 结束后后台 fork 子代理执行自动抓取用户纠正的错误、踩过的坑、核心决策
Auto Dream长周期记忆整合与沉淀会话结束 24 小时 / 累计 5 次会话后触发合并相关记忆、清除矛盾信息、固化成长期知识
Session Memory当前会话上下文管理达到 token / 工具调用阈值时触发动态管理会话上下文,避免窗口溢出

2. 反常识的存储设计:不用向量数据库,纯本地文件实现精准检索

在 RAG 和向量数据库大行其道的今天,Claude Code 走了一条完全相反的路:记忆系统完全基于本地文件系统,没有 Pinecone,没有 Weaviate,甚至连 SQLite 都不用。

它的核心存储结构极简又高效:

  • 顶层索引CLAUDE.md:会话启动时自动读取,只保留前 150 行最核心的上下文,是给 AI 定的「项目规矩」
  • 主记忆文件MEMORY.md:自动更新的记忆摘要,严格控制长度,保证启动加载速度
  • 分类主题记忆文件:按用户记忆、反馈记忆、项目记忆、参考记忆四大类拆分,用 frontmatter 格式做标签管理,检索时精准定位
  • 状态存储state.json:全量记忆仓库,支持对话中实时检索,容量无上限

最绝的是它的「小模型分流检索」设计:不是什么内容都丢给大模型去筛选,而是先用轻量级的 Claude Haiku 当「记忆检索员」,先从记忆库里挑出和当前问题最相关的 5 条内容,再喂给大模型处理。既保证了记忆的精准性,又把 token 成本降到了极致,完全不会出现「全量塞上下文浪费钱,只塞最近几条又失忆」的尴尬情况。

3. Auto Dream「梦境记忆」:你睡觉的时候,AI 在偷偷帮你整理笔记

源码里最浪漫的设计,就是这个Auto Dream自动梦境进程。它完全复刻了人类睡眠时的记忆整理机制:当你关闭终端、处于空闲状态时,它会 fork 一个独立的子代理,在后台默默审阅你的所有历史记录36氪。

这个进程的系统提示词里写着一句话:「你正在做梦。反思你的记忆,合成持久知识,清理噪声」。它会做这几件事:

  • 合并重复、相关的记忆内容,剔除冗余信息
  • 清除相互矛盾的记忆,保留用户最新的反馈和偏好
  • 把你随口说的需求、临时踩过的坑、纠正过的错误,固化成持久化的知识
  • 对记忆做分级压缩,核心洞察永久保留,原始记录仅在深度检索时调用

更贴心的是,它做了严格的互斥设计:如果主会话正在运行,梦境进程绝对不会启动,不会占用你的资源;如果执行失败,会完整保留原始数据,绝对不会丢失你的任何信息。说白了,它不是一个只会接需求的工具人,而是在后台偷偷帮你整理所有信息,把你最重要的话、最在意的习惯,全都记在心里。

4. 三层上下文压缩机制:实现真正的「无限会话」

很多 Agent 用着用着就「失忆」,核心问题就是上下文窗口撑爆了,只能粗暴压缩历史记录,导致关键信息丢失。Claude Code 用三层递进式压缩机制,完美解决了这个问题:

  • 第一层 micro_compact:最轻量的无损失压缩,工具执行结果用完之后,悄无声息地替换成精简索引,磁盘保留完整备份,完全不丢失信息
  • 第二层 auto_compact:token 占用超过阈值时触发,用 Haiku 模型对历史对话做摘要,只保留核心逻辑和决策,有轻微信息损失但不影响主流程
  • 第三层 reactive_compact:API 报上下文溢出错误时的应急响应,最激进的压缩模式,只保留核心任务目标和关键结论,优先保证任务能继续执行

二、多 Agent 编排:AI 当产品经理管一群 AI 干活,全是工程化的智慧

很多人做 Agent,都喜欢让一个大模型从头干到尾,结果就是写着写着就忘了初始需求,上下文乱成一锅粥,自己写的 bug 自己都找不到。Claude Code 直接给出了标准答案:Coordinator-Workers 主从架构,说白了就是「AI 产品经理管着一群 AI 程序员干活」,而这套复杂的协作逻辑,从权限管控到工作流设计,全在源码里写得明明白白。

image.png

1. 核心架构:权责分离,从根源解决上下文污染

单体 Agent 的致命缺陷,就是执行复杂任务时,反复试错会产生大量垃圾上下文,导致后续推理直接「精神分裂」。Claude Code 的解法极其粗暴有效:把「想」和「干」彻底分开。

  • 主 Agent(协调者 Coordinator):直接被剥夺了操作文件、执行命令的所有权限,它唯一能做的三件事,就是派生子 Agent、发消息、终止任务。它的核心工作,就是需求拆解、工作流规划、结果验收,像一个纯粹的产品经理,全程保持干净的上下文
  • 子 Agent(工人 Worker):被派生出来后,只能干具体的活,而且被明确限制「不能再创建子 Agent,你是工人,不是经理,必须自己用工具完成任务」,从根源上杜绝了无限套娃。每个 Worker 都在独立的 git worktree 里执行任务,彼此完全隔离,不会互相污染上下文

2. 严格的工作流设计,连反模式都给你禁了

这套编排系统不是让 Agent 随便乱干,而是强制执行一套严格的瀑布流工作流:Research(并行调研)→ Synthesis(综合决策)→ Implementation(串行执行)→ Verification(结果验证)

最绝的是,它在系统提示词里直接写死了反模式禁令:绝对不允许出现「Based on your findings, fix the bug」这种把综合推理推给 Worker 的指令。协调者必须先完整理解 Worker 的调研结果,再发出可落地、无歧义的具体执行指令,绝对不做甩手掌柜。

同时它还做了两种模式适配,覆盖不同场景:

  • SIMPLE 模式:Worker 只能使用 Bash/Read/Edit 基础工具,适合简单并行任务,速度快、成本低
  • FULL 模式:Worker 可以使用完整工具集,适合复杂项目重构、全链路测试等重型任务

3. 跨 Agent 信息同步 + 缓存黑科技,并行任务几乎不花钱

很多多 Agent 系统,都会遇到两个致命问题:并行的 Agent 之间信息不同步,重复干活;每个子 Agent 都要重新加载系统提示词,token 成本直接翻倍。Claude Code 用两个设计,完美解决了这两个问题。

第一个是Scratchpad 共享机制:一个持久化的跨 Worker 知识存储,所有子 Agent 都可以无权限限制地读写,并行调研的结果可以实时同步,彻底解决了信息孤岛问题,避免重复干活。

第二个是Fork Agent 黑科技:普通子 Agent 是从零开始,需要重新加载所有上下文和系统提示词;而 Fork 出来的子 Agent,会完整继承父 Agent 的对话上下文和系统提示词,并且共享 prompt cache。源码里特意做了设计,让 Fork 出来的 Agent 和父 Agent 的 API 请求前缀字节完全一致,最大化缓存命中率,并行执行任务几乎是零额外缓存成本。

除此之外,它还配套了 Plan Mode 只读规划模式和 Watchdog 看门狗代理:复杂任务先让只读 Agent 做全量调研和方案规划,用户确认后再执行,防止 AI「先动手再改错」;Watchdog 代理全程拦截 prompt 注入,哪怕用户的代码里藏着恶意指令,也会在执行前直接介入。

三、安全体系:23 道检测 + 2400 行安全代码,把谨慎刻进了 DNA

如果说记忆系统决定了它有多好用,那安全系统就决定了它敢不敢被大规模商用。扒完源码我才知道,我们在 Claude Code 里敲的每一条命令、每一次文件修改,在执行之前,都要经过整整 23 道安全检测,背后是一套长达 1500 行的核心安全提示词,和 2400 行的纵深防御代码。

1. 四层安全决策流水线,每一步都把风险锁死

它的安全体系不是简单的「允许 / 拒绝」开关,而是一套四层递进的决策流水线,任何一条 Shell 命令、一次文件修改,都要完整走完这套流程,任一环节不通过就会中断执行:

  1. 第一层:权限规则匹配:先匹配 8 层权限规则,包括系统级白名单、用户自定义规则、项目级禁区,比如你定义了「核心配置文件禁止修改」,这一层就会直接拦截
  2. 第二层:模式模拟:不实际执行命令,先做沙箱模拟运行,检查是否有高危操作、元字符注入、路径穿越风险
  3. 第三层:只读工具白名单:如果是只读操作,直接匹配白名单快速放行,不做多余校验,保证基础操作的流畅性
  4. 第四层:AI 分类器:用专门微调过的安全模型,对命令的语义、意图、潜在风险做最终判断,给出最终决策

最终它会输出四态决策结果,完美平衡安全和用户体验:允许直接执行、直接拒绝、弹窗询问用户、低风险操作默认放行,既不会因为管控太严让用户觉得烦,也不会因为权限太松出安全事故。

2. BashTool 纵深防御:一个文件 2400 行代码,防住 30 余种攻击向量

最能体现它安全功底的,是负责 Shell 命令执行的BashTool模块,仅bashSecurity.ts一个文件,就有超过 2400 行代码,覆盖了从 Shell 元字符注入到 Zsh 特有攻击向量的 30 余种安全校验。

和市面上那些只会做简单关键词拦截的「玩具安全系统」不同,它做了全语义级的安全分析:

  • 不会把grep返回 1 这种正常情况误判为错误,减少不必要的用户弹窗
  • 每个安全检查都有独立的数字 ID,用于遥测记录攻击向量的触发频率,持续迭代加固
  • 支持命令分级,低风险的lscd等命令直接放行,高危的rmchmod、重定向命令必须经过多层校验
  • 内置熔断机制,短时间内多次触发高危检测,直接锁定自动执行权限,必须用户手动解锁

对比一下市面上那些连基本权限隔离都做不好的「Claude 平替」,就知道这套安全体系有多领先 —— 人家已经把安全做成了多层纵深防御体系,而很多人还在纠结要不要给 AI 开终端权限。

除此之外,源码里还曝光了它完整的三层封号检测 + 提前预警机制,实时解析 API 响应里的流量控制头,在你账号即将被限流、封号之前,就提前给出预警,甚至会自动调整请求频率,帮你避开限流。

四、成本优化:刻进源码每一行的省钱哲学,Anthropic 比你还心疼你的 token

「省钱」这件事,真的是贯穿了整个代码库的每一个角落。Anthropic 把 token 成本控制,做到了字节级的极致,看完源码你就会明白,为什么同样是用 Claude API,人家的产品能做到又好用又便宜,而你的 demo 跑两下就几百块钱没了。

1. Prompt Cache 工程学:字节级精打细算,榨干缓存的每一分价值

Claude Code 是重度依赖 Prompt Cache 机制运转的,而缓存的触发条件是「前缀严格一致」,但凡改了一个标点,缓存链路就会断裂,所有 token 都要重新计费。为此,Anthropic 在services/api/claude.ts里,把提示词组装做到了字节级的精打细算:

  • 把系统提示词拆成静态段和动态段,用硬编码的SYSTEM_PROMPT_DYNAMIC_BOUNDARY做分界线,静态段全局可缓存,动态段会话级缓存
  • 工具描述严格按字母表确定性排序,避免因为顺序变化导致缓存失效
  • 配置文件路径使用基于内容的哈希值映射,保证不同环境下前缀一致性
  • Agent 列表从工具描述里剥离,放到消息附件里,不影响主提示词的前缀一致性

仅这一套优化,就减少了约 10.2% 的 Cache Creation Tokens 消耗,长期使用下来,省下的成本是指数级的。

2. 模型分级调用:好钢用在刀刃上,最高省 60% 成本

源码里藏着一个已经实现但未大规模宣传的opusplan模式,完美解决了「用 Opus 贵,用 Sonnet 不够聪明」的痛点。它的逻辑极其简单又极其聪明:让 Opus 只负责出方案、做架构设计这种脑力活,让 Sonnet 负责写代码、跑测试、改 bug 这种体力活。

实测下来,这个模式比纯用 Opus 能省下差不多 60% 的费用,但方案质量几乎没有下降。甚至它还做了更细的模型分级:日常的文件读取、内容搜索、记忆检索,全用 Haiku;常规的代码编写、bug 修复,用 Sonnet;只有复杂的架构设计、高难度的技术攻关,才会调用 Opus。真正做到了杀鸡不用牛刀,不浪费一个 token。

3. 全链路成本优化细节,把省钱刻进了 DNA

除了核心的缓存和模型分级,源码里到处都是省钱的小细节,每一处都能看出 Anthropic 对成本控制的执念:

  • 编译时 Feature Flag 裁剪:用bun:bundle的特性标志实现内外版本分离,比运行时 if/else 判断更彻底,零运行时开销,代码体积更小
  • 上下文自动清理:工具执行结果、调试日志这些用完即丢的内容,会自动做精简清理,绝不长期占用上下文
  • 粘性锁存器管理缓存断点:全代码库做了 14 个缓存断点,防止模式切换、工具调用导致缓存失效
  • 共享缓存池:所有子 Agent、Fork 进程都共享父级的提示词缓存,并行任务几乎不产生额外的缓存开销

五、藏在源码里的王炸:KAIROS,7×24 小时永不离线的 AI 合伙人

除了这些已经上线的核心功能,源码里还曝光了 Anthropic 还没正式发布的王炸功能 ——KAIROS,这个词在古希腊语里的意思是「恰好的时机」,在整个代码库里出现了超过 150 次36氪。

很多人以为 Claude Code 只是一个终端里的 AI 编程工具,你问一句它答一句。但 KAIROS 的出现,直接把这个认知彻底推翻了:它是一个真正意义上「永不关机」的 AI,是一个能 7×24 小时在线、自主运行、主动服务的全天候技术合伙人。

从源码里的实现细节来看,KAIROS 有几个颠覆式的能力,是普通版本完全不具备的:

  1. 常驻后台的自主运行能力:它不需要你主动输入指令,会通过定时任务、外部信号自主决定是否采取行动,维护着一个只追加的每日日志文件,记录所有观察、决策和操作
  2. 三个专属主动交互工具:普通版本只能被动响应用户指令,而 KAIROS 拥有三个专属工具:SendUserFile(给用户主动推送文件)、PushNotification(给用户发推送通知)、SubscribePR(订阅 GitHub PR 动态),能主动和用户交互
  3. 严格的用户体验保护:它设置了 15 秒的阻塞预算限制,任何可能打断用户工作流的主动操作,如果执行时间超过 15 秒,会被自动延后,绝对不会突然弹窗打扰用户
  4. 全场景外部系统对接:支持 GitHub Webhook、MCP 通道通知,能订阅代码仓库的 PR、Issue 动态,甚至能通过社交软件接收指令,外部事件触发后自动执行任务
  5. 和 Auto Dream 深度结合:用户空闲的时候,它会在后台自动整合记忆、沉淀知识、梳理项目文档,等你打开电脑的时候,它已经把所有准备工作都做好了36氪

简单来说,普通的 Claude Code 是你随叫随到的程序员,而 KAIROS 是一个真正陪你成长的技术合伙人。你睡觉的时候,它在帮你整理项目文档;你放假的时候,它在帮你监控仓库动态;你忘了的需求,它帮你记着,在恰当的时机主动提醒你、帮你推进。

这次泄露,不是事故,是整个 Agent 行业的开源狂欢

很多人说,这次泄露是 Anthropic 的重大事故,会让它的核心竞争力荡然无存。但我反而觉得,这次意外,会让整个 AI Agent 行业迎来真正的繁荣。

在此之前,Agent 的工程化知识,完全被头部公司垄断。中小开发者和创业团队,想要做一个工业级的 Agent,只能自己踩坑,连一套标准的参考方案都没有。大家都在卷大模型调用,卷 prompt 花活,却没人知道一套能商用的 Agent 系统,该怎么设计记忆体系、怎么做安全管控、怎么控制成本、怎么做多 Agent 编排。

而现在,Anthropic 直接把自己打磨了几年的完整方案,免费开源给了整个社区。它相当于把 Agent 开发的「武林秘籍」公之于众,从记忆系统到多 Agent 协作,从安全管控到成本优化,每一个环节都有现成的、经过市场验证的标准答案。整个行业的入门门槛,直接被拉低了一个量级。

未来,我们一定会看到,越来越多优秀的、有特色的 Agent 产品涌现出来,整个行业的技术水平,会因为这次意外,迎来一次质的飞跃。而对于我们 JS/TS 开发者来说,更是直接拿到了一套教科书级别的代码库,从工程化到架构设计,全是值得我们学习的干货。

最后说句真心话

扒完这 51.2 万行代码,我最大的感受不是震撼,而是释然。

原来顶级的 AI 产品,从来不是靠什么遥不可及的黑科技,而是把最基础的事情做到了极致。它记得用户说过的每一句话,懂用户没说出口的需求,把用户的成本放在第一位,把安全管控做到了每一个细节里,这些,才是它真正的核心竞争力。

大模型的军备竞赛终会落幕,参数卷到最后都会趋同,API 谁都能接,模型谁都能调。但真正能留住用户的,从来不是这个 AI 有多聪明,而是它能不能真的懂你、记得你,把你的事放在心上。

毕竟,技术的尽头,永远是人心。

avatar
文章
阅读
粉丝