昨天有个挺有意思的事情:Claude Code 的部分源码意外泄露了。不是黑客,是 Anthropic 自己不小心把 npm 包里的内容暴露出来了一段时间。社区里的工程师们抓紧截图,发现里面有大段的系统提示词(system prompt)、工具定义和 Agent 编排逻辑。
这件事有意思的地方不是"Anthropic泄露了秘密",而是它让我们第一次能比较系统地看清楚:Claude Code 这个东西,骨子里是怎么设计的。
作为目前公认的最强 AI 编程工具之一(没有之一这个说法有争议,但在复杂代码库理解和多文件修改这两个维度上,它的确是目前最接近"可信赖"的),Claude Code 的设计理念和技术实现值得认真拆一拆。
它不是插件,是个有主动权的 Agent
先说一个容易被忽视的认知差异:Claude Code 和大多数 AI 编程助手的根本差异,不在于模型有多强,而在于控制流的归属不同。
Copilot 是"你写代码,它补全"------像个聪明的输入法,你还是司机,它只是给你导航提示。
Claude Code 完全不同:你给它一个任务,它自己规划、读代码、写代码、跑测试、修 bug、然后来问你"这样改可以吗"。你不再是司机,你是坐在副驾上偶尔拍板的人。
这个差异牵出两个直接后果:
• 工具集完全不同:需要文件读写、终端执行、代码搜索------不只是生成代码,而是主动"探索"代码库
• 上下文管理复杂得多:一次会话可能横跨几十个文件,跟踪任务状态的难度远超单次补全
工具设计:五类核心能力
从泄露的内容和官方文档来看,Claude Code 的工具集可以分成五类:
1. 文件系统操作(read_file / write_file / list_directory / search_files)
这是最基础的,但实现细节很讲究。read_file 支持指定行号范围,避免把整个大文件塞进上下文;search_files 支持 glob 和 regex,能高效定位目标代码。
2. 终端执行(bash / run_command)
这是最有争议的一个。让 AI 执行任意 shell 命令是个很大的能力授权,Anthropic 的策略是:默认需要用户确认,但支持 --dangerously-skip-permissions 模式绕过(这个参数名起得非常坦诚)。实际用下来,在 CI 环境里全自动跑是很有用的,但个人开发环境还是建议保留确认步骤。
3. 代码搜索与理解(grep / find / ast_search)
这里有个有意思的设计选择:Claude Code 大量依赖 grep/find 这类传统工具,而不是构建自己的代码索引系统。好处是零依赖、适配所有代码库;坏处是语义理解能力弱,对大型单体仓库的导航效率不高。
4. 多文件编辑(str_replace_editor / create_file)
str_replace_editor 是个精妙的设计------它不是重写整个文件,而是基于精确字符串匹配做局部替换。
类比一下:这就像外科手术的缝合,而不是把整张皮肤重新移植。精准替换目标行,diff 干净,引入 off-by-one 错误的概率大幅降低。
5. 浏览器/网络访问(web_search / web_fetch)
相对克制,主要用于查文档和 Stack Overflow,不是通用的网络代理。
System Prompt 工程:泄露内容揭示的设计哲学
泄露的系统提示词篇幅很长,但有几个核心设计模式值得关注:
显式的能力边界声明
提示词里大量使用"你必须......"、"你不应该......"的硬性规则,而不是模糊的"尽量"。比如关于破坏性操作:
sql
// 系统提示词中的约束示例(根据泄露内容重构)
NEVER run commands that could:
- Delete files without explicit user confirmation
- Modify system-level configurations
- Make network requests to external services without user knowledge
- Install packages globally without asking
When uncertain about destructive impact, ALWAYS ask first.这种"白名单思维"(先限制,再授权)比"黑名单思维"(先放开,再堵漏)在 Agent 场景下安全得多。
任务分解的强制模式
提示词里明确要求 Claude 在执行复杂任务前先输出计划,且计划要足够具体("我将修改 A 文件的第 X 行",而不是"我将修改相关文件")。这其实是在用提示词工程弥补 LLM 的一个已知弱点:直接执行比先规划后执行的准确率低得多。
上下文压缩指令
有意思的是,提示词里包含对"如何管理上下文"的元指令:当对话长度接近限制时,主动总结已完成的工作状态,避免丢失关键信息。这是个工程师视角的设计------他们知道 200K context window 在真实的大项目里根本不够用。
架构设计:为什么选择 CLI 而非 IDE 插件?
Claude Code 的一个反直觉的设计决策是:它是个命令行工具,不是 VS Code 插件。Anthropic 不是不会做插件,这是个主动选择。
想象两种外卖员:一种骑着自己的电动车,能送到城市任何角落(CLI);另一种只能在商场内部走廊穿行,效率高但出不了商场(IDE 插件)。前者通用,后者受约束。
背后的逻辑是这样的:
CLI vs IDE 插件的权衡
用户发出任务指令
↓ CLI路径→ 直接访问文件系统、任意工具、任意终端命令,跨编辑器通用 插件路径→ 受限于 Extension API,需为每个 IDE 单独适配,终端访问有沙箱限制 ↓ Agent 完成任务
CLI 方式的最大好处是零依赖于宿主环境。无论你用 VS Code、Vim 还是 Zed,Claude Code 都能工作。而且 CLI 对 shell 命令的访问权限是最完整的,这对一个需要跑测试、执行构建、管理依赖的 Agent 来说很重要。
当然也有代价:没有原生的代码高亮、没有一键 accept/reject 的 diff UI(虽然后来 VS Code 插件版本补上了),交互体验相对原始。
我的判断是:这是个务实的早期决策,在产品验证阶段先把能力做扎实,UI 体验可以后补。Cursor 走了相反的路------先做好 UI 体验,再慢慢补 Agent 能力,两种路径各有其合理性。
上下文管理:200K 窗口够用吗?
Claude 3.7 的 200K context window 听起来很大------但在真实的编程 Agent 场景里,这个"大书架"很快就塞满了。
就像你以为 28 寸行李箱完全够用,结果充电器、洗发水、换洗衣服一放,发现空间已经去了一半。token 消耗也是这个感觉:
ini
# 一个中等规模 React 项目的上下文消耗估算
system_prompt = ~8,000 tokens # Claude Code 系统提示词
project_structure = ~3,000 tokens # 目录结构
key_files_read = ~40,000 tokens # 读取的相关文件(10个文件 × 4K)
conversation_history = ~20,000 tokens # 多轮对话历史
tool_call_results = ~30,000 tokens # 工具调用结果(grep/run等)
─────────────────────────────────────
total ≈ 101,000 tokens # 还剩一半,但已经消耗一半对于大型单体仓库(几十万行代码),200K 根本不够把关键文件都读进来。Claude Code 的应对策略:
• 懒读取:不一次性读入所有文件,按需读取,用完即"忘"(不保留全文,只保留摘要)
• 分段读取:read_file 支持行号范围,只读相关段落
• CLAUDE.md 约定:鼓励用户在项目根目录写 CLAUDE.md,描述项目结构和关键约定,用少量 token 传递高密度信息
• 会话压缩:长对话中主动总结,压缩历史
CLAUDE.md 这个设计挺聪明------它实际上是把"代码库理解"的工作部分转移给了开发者,用人工维护的文档换取更高效的 Agent 运行。有点像 README,但专门写给 AI 看的。
交互设计:权限模型与信任机制
Claude Code 的权限设计是我觉得整个产品里最值得学习的部分。
它把操作分成三个层级:
| 层级 | 操作类型 | 默认行为 | 覆盖方式 |
|---|---|---|---|
| 只读 | 读文件、搜索、grep | ✅ 自动执行 | 无需配置 |
| 写操作 | 修改文件、创建文件 | ⚠️ 需确认 | --auto-accept-edits |
| 执行 | 终端命令、包安装 | 🚫 必须确认 | --dangerously-skip-permissions |
这个设计的聪明之处是:权限成本和操作风险正相关。读文件不需要任何额外配置,写文件需要一次确认,执行命令需要显式开启危险模式(名字起得好,让用户清楚知道自己在做什么)。
对比一下 Devin(另一款 AI 编程 Agent)的策略:Devin 默认在隔离的云端沙箱里运行,权限问题通过环境隔离来解决,而不是细粒度的用户确认。两种思路的差异折射出产品定位的不同------Devin 更像"外包给 AI",Claude Code 更像"和 AI 结对编程"。
商业逻辑:为什么 Anthropic 要做这个
Claude Code 的商业逻辑其实挺直接:它是个高粘性的 API 消耗器。
一个活跃的开发者每天用 Claude Code 工作几小时,消耗的 token 量是普通对话用户的 10-50 倍。而且编程场景对模型质量很敏感------用差一点的模型写出的代码 bug 变多,用户很快就能感知到,不容易被便宜的竞品替代。
从定价来看,Claude Code 本身不单独收费(包含在 Claude Pro 订阅或 API 用量里),这是个"工具免费,用量付费"的模式,和 AWS 的工具链免费但计算收费的逻辑类似。
更深层的战略意图是:在开发者心智中建立"Claude = 最懂代码的 AI"的认知。一旦开发者在日常工作中深度依赖 Claude Code,迁移成本极高------不只是换个工具,而是要重新建立 CLAUDE.md、重新适应工作流、重新校准对 AI 输出的信任度。
和 GitHub Copilot 的正面竞争策略也是清晰的:Copilot 的优势是 IDE 集成深度和微软生态,Claude Code 的优势是在复杂推理任务上的能力上限。前者更适合日常补全,后者更适合"帮我重构这个模块"这类复杂任务。Anthropic 没有试图替代 Copilot,而是在它不擅长的区间建立据点。
实际使用:几个真实的踩坑经验
纸面分析完了,说点实际的。用了几个月下来,有几个观察:
它在"局部有定义、全局有约束"的任务上表现最好。比如"给这个 API 加一个参数,同时更新所有调用方"------任务边界清晰,Claude Code 能找到所有调用点,逐一修改,准确率很高。
它在"需要产品判断"的任务上不可信。"帮我设计这个功能的架构"------它会给出一个看起来合理的方案,但通常是最通用的那个,不是最适合你项目约束的那个。这类任务还是要自己主导。
CLAUDE.md 的投入产出比很高。花一两个小时写清楚项目结构、命名约定、禁止使用的库,能显著降低 Claude Code 犯低级错误的概率。这个文件会被每次对话读入,相当于给 AI 做了定制化培训。
它会"过度自信"。有时候 Claude Code 会表现得好像它完全理解了代码库,然后做出一个基于错误假设的修改。多问几个"你确定这个函数的所有调用方都改了吗"之类的验证性问题,能有效降低这类错误。
与同类产品的关键差异
| 产品 | 核心定位 | 上下文管理 | 执行环境 | 适合场景 |
|---|---|---|---|---|
| Claude Code | 结对编程 Agent | 懒读取 + CLAUDE.md | 本地 CLI | 复杂重构、多文件修改 |
| Cursor | AI-native IDE | 代码库索引 | IDE 内置 | 日常编码、补全、chat |
| Devin | 全自动 AI 工程师 | 独立会话 | 云端沙箱 | 独立小任务、异步执行 |
| GitHub Copilot | 代码补全助手 | 当前文件 + 少量上下文 | IDE 插件 | 行内补全、快速生成 |
值得继续探索的方向
有几个问题我还没想清楚,值得持续观察:
代码库规模的天花板在哪里? 对 10 万行以内的项目,Claude Code 目前的策略基本够用。但对于百万行级别的单体仓库(很多大公司都有),光靠 grep + 懒读取是不够的,需要更好的语义检索。Anthropic 下一步应该会在这里发力。
多 Agent 协作会是下一个形态吗? 目前 Claude Code 是单 Agent,一个任务一个对话。但对于"把这个微服务拆成三个"这类需要并行修改多个仓库的任务,单 Agent 串行效率很低。OpenAI 的 o3 + Operator 在探索多 Agent 协作,这个方向值得关注。
验证能力是关键短板。写代码对 AI 来说越来越容易,但验证代码是否正确仍然主要靠人。如果 Claude Code 能更主动地生成测试、分析覆盖率、甚至基于 formal verification 来验证关键逻辑,那它就不只是个"快速写代码的工具",而是真正意义上的可信赖工程伙伴了。
Claude Code 源码的意外曝光,给了我们一个难得的机会:亲眼看见"一个真正能用的 AI Agent"在系统设计层面是什么样的。
答案没什么玄妙------严格的权限边界、务实的工具选择、对上下文限制的清醒认知,加上打磨了无数次的系统提示词工程。
就像优秀的工程师写出的代码:看起来朴实无华,但每个设计决策背后都有具体的权衡理由。没有银弹,没有魔法,有的只是把该做的事情做扎实。
下一步真正值得期待的,或许是 Claude Code 开始认真解决"验证"问题的那天------不只是写得快,而是写完能自证正确。那才是 AI 编程工具进化的下一个台阶。
如果觉得有收获,欢迎转发给同样关注 AI 工程的朋友。