首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >Claude Code 源码彻底泄露!1900 个文件、51 万行代码开源,Anthropic 隐藏的 Agent 操作系统大起底

Claude Code 源码彻底泄露!1900 个文件、51 万行代码开源,Anthropic 隐藏的 Agent 操作系统大起底

作者头像
用户1640761
发布2026-07-01 21:56:34
发布2026-07-01 21:56:34
840
举报

突发事件震惊全网

2026 年 3 月 31 日,Anthropic 旗下 Claude Code CLI 工具的 npm 包(@anthropic-ai/claude-code)意外暴露了一个 60MB 的 cli.js.map source map 文件。

这个 source map 不仅包含文件索引,更完整保留了 sourcesContent,直接还原出 1906 个 TypeScript 源文件、约 51 万行代码

一夜之间,全网炸锅:

  • • 多个“洁净室反混淆”仓库瞬间上线(如 ghuntley、leeyeel、shareAI-lab 等)。
  • • 社区开发者疯狂逆向,X(Twitter)上深度研究报告刷屏。
  • • 国内微信公众号、GitHub 同步跟进,Claude Code 从“黑箱神器”变成“透明实验室”。

Anthropic 此前公开的 https://github.com/anthropics/claude-code 仓库其实只是分发壳和文档,真正的核心源码从未公开。这次 npm 打包失误(忘记 .npmignore),直接把整个“Agent 操作系统”端到端扔到了开源社区。

这不是一次简单的“代码泄露”,而是 AI 产品工程史上最离谱的“意外开源”事件。

Claude Code 到底是什么? 它不是普通的“LLM + Shell 工具”聊天机器人,而是 Anthropic 倾力打造的 Agent Operating System——一个拥有完整权限系统、流式工具执行、多 Agent 协作、可扩展 Skill/MCP/Plugin/Hook 的终端级 AI 编程平台。

它的产品手感远超竞品,核心秘密就藏在这 51 万行代码里。今天我们基于已公开的逆向分析(包括 instructkr/claw-code 项目)和社区长文,带你粗略拆解它的核心架构与主要功能

1. 整体架构:TypeScript + Node.js + React Ink 的现代 CLI

  • 技术栈:纯 TypeScript 编写,UI 层采用 React + Ink(终端 React 渲染)。
  • 核心目录(还原后可见):
    • entrypoints/:启动入口
    • query/:Agent 主循环
    • tools/:45+ 内置工具
    • commands/:100+ 命令系统
    • services/:业务逻辑与权限
    • utils/swarm/:多 Agent 协作
    • skills/buddy/:技能系统 + 彩蛋电子宠物
    • state/components/hooks/:状态与 UI

一句话总结架构带四层权限管道的流式工具执行循环 + 模块化 Prompt 装配系统

2. 启动流程:六阶段 + “信任边界”安全设计

启动分为六个精密阶段:

  1. 1. 并行预取
  2. 2. 配置验证
  3. 3. 安全环境变量
  4. 4. 信任边界(最亮眼设计)
  5. 5. 完整初始化
  6. 6. 延迟预取

信任边界机制:在用户确认风险前,只加载最小安全组件,避免一次性加载 GrowthBook、OpenTelemetry 等重模块,首屏加载减少 400-700KB。这体现了 Anthropic 在“安全第一”上的极致工程化。

3. Agent 循环与流式工具执行(核心运行时)

核心文件:query.ts + QueryEngine.ts + StreamingToolExecutor。 流程:

  • 准备阶段:动态拼装 System Prompt(包含 git status、CLAUDE.md、MEMORY.md 等)
  • 请求阶段:调用 Claude API,流式返回
  • 执行阶段:模型返回工具调用 → 立即执行
  • 循环判断:根据 stop reason 决定继续或结束

流式执行亮点

  • • 工具声明“并发安全性”(读文件可并发,写文件/Bash 必须串行)
  • • 每个工具独立 Abort Controller,支持 Esc 键中途取消
  • • 工具上限安全阀,防止失控

4. 四层权限管道:安全不是口号,是硬机制

权限模式支持 defaultbypassPermissionsdontAskacceptEditsauto 等。 auto 模式四层决策(由快到慢):

  1. 1. 规则匹配(最快)
  2. 2. Bash 分类器(识别 22+ 种危险操作,如 rm -rf、force push)
  3. 3. Transcript 分类器(上下文判断)
  4. 4. 独立 Claude Sonnet API 调用(温度 0,确保确定性)

这套系统让 Claude Code 敢在真实项目里跑,而不会动不动就把仓库删了。

5. 上下文管理:Prompt 不是一坨文本,而是一套装配框架

  • • System Prompt 来自多源动态拼接(CLAUDE.md 向上收集、MEMORY.md 索引、git status memoized、MCP 指令增量注入)。
  • 延迟工具披露:先只发工具名,真正调用时才通过 ToolSearch 加载完整 schema。
  • 消息压缩:Token 达 95% 时自动压缩早期工具调用结果,支持嵌套压缩。
  • • 默认 200K 上下文窗口(支持 1M),输出 8K(可 retry 至 64K)。

6. Skill 系统 + MCP + Plugin + Hook:可扩展性拉满

  • Skill:基于 Markdown frontmatter 的可复用工作流,支持路径匹配、参数替换、token 预算预估。
  • MCP(Model Context Protocol):一等公民,支持 Stdio/SSE/WebSocket/HTTP,带 PKCE OAuth 认证,可增量注入指令。
  • Plugin:可提供命令、Skill、工具约束、运行时变量。
  • Hook:PreToolUse / PostToolUse 等事件,支持 SDK 或 Shell 注册,可改写输入、注入上下文、阻塞执行。

这些机制让 Claude Code 真正成为可编程平台,而非封闭黑箱。

7. 多 Agent 协作(Swarm)与专用 Agent

支持 InProcess(默认)、Tmux、iTerm2 等模式。 内置专用 Agent:

  • • Explore Agent(纯读、快速探索)
  • • Plan Agent(只读、输出实现计划)
  • Verification Agent(最强设计:强制 adversarial probes、跑测试、输出 VERDICT: PASS/FAIL)

fork 机制解决上下文污染,保留 prompt cache 友好前缀,极致省 Token。

8. 其他产品级特性

  • • 命令系统统一管理 built-in / skill / plugin 命令
  • • 费用追踪(按模型统计 token,缓存 10% 计费)
  • • 快捷键、定时 Loop 任务、远程触发器
  • 彩蛋/buddy/ 模块,计划 2026 年愚人节上线 18 种 ASCII 电子宠物(鸭子、猫、龙等)

社区回应:从“存档”到“重构”

泄露后,开发者没有止步于围观。 GitHub 项目 instructkr/claw-code 明确表示:“不只是存档泄露代码,而是要做更好的 Harness 工具”

他们采用洁净室重实现

  • • 先用 Python 完整还原架构(commands、tools、query engine 等)
  • • 目前正在重写 Rust 版
  • • 强调“make shit things done”,把 Claude Code 的 Agent 编排经验变成人人可用的开源工具

这才是开源社区真正的力量。

Claude Code 的强,从来不是某一段“神秘 prompt”,而是一整套层次分明、可治理、可扩展、可产品化的系统设计:模块化 Prompt 装配、严密 Tool Runtime、分层 Permission、安全 Hook、专用 Agent 编排、Context Hygiene……

这次意外泄露,让我们第一次完整看到 Anthropic 在 Agent 时代的工程哲学。

对开发者来说,这既是礼物,也是启发: 未来真正的 AI 产品拼的不是模型,而是系统。

你怎么看这次泄露事件?Claude Code 的哪些设计最打动你?欢迎留言讨论!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2026-04-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 不一样的猿生 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1. 整体架构:TypeScript + Node.js + React Ink 的现代 CLI
  • 2. 启动流程:六阶段 + “信任边界”安全设计
  • 3. Agent 循环与流式工具执行(核心运行时)
  • 4. 四层权限管道:安全不是口号,是硬机制
  • 5. 上下文管理:Prompt 不是一坨文本,而是一套装配框架
  • 6. Skill 系统 + MCP + Plugin + Hook:可扩展性拉满
  • 7. 多 Agent 协作(Swarm)与专用 Agent
  • 8. 其他产品级特性
  • 社区回应:从“存档”到“重构”
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档