TLDR：Claude Code的1902個源文件意外泄露。我翻完之后發(fā)現(xiàn)，這是一份關(guān)于「harness engineering」的絕佳教材。Claude Code好用，60%靠Opus模型本身的能力，40%靠圍繞模型搭建的工程系統(tǒng)（也就是harness）。這個harness包括：一套精心拼裝的system prompt、一個用第二AI做安全審查的四層權(quán)限系統(tǒng)、一個只記偏好不記代碼的記憶系統(tǒng)、一套9段式結(jié)構(gòu)化上下文壓縮、以及一個像真實公司一樣運(yùn)轉(zhuǎn)的多Agent協(xié)作框架。對于每個用AI的人來說，這些設(shè)計思路都可以直接借鑒。

Anthropic今天鬧了個群眾喜聞樂見的大笑話，算是在4月1日前給全球程序員獻(xiàn)禮了。

事情是這樣的：他們在更新Claude Code的npm包時，不小心把一個60MB的source map調(diào)試文件留在了發(fā)布包里。這個文件本來應(yīng)該在打包時排除掉，結(jié)果沒有。任何人都可以用它還原出Claude Code完整的TypeScript源碼。

1902個源文件，全部暴露。

最搞笑的是，這不是第一次了。2025年2月Claude Code剛發(fā)布時就出過一模一樣的事故，當(dāng)時Anthropic緊急刪了舊版npm包。一年多過去了，同樣的錯誤又犯了一遍。Anthropic的構(gòu)建流水線可能需要自己的Claude Code來審查一下。

不過對我來說，這是個絕佳的學(xué)習(xí)機(jī)會。作為一個每天用Claude Code做開發(fā)的人，我更好奇的是：那些讓我覺得「這AI怎么就這么好用」的體驗，背后到底是怎么實現(xiàn)的？

我花了幾個小時把這1902個文件翻了個遍。

2026年有個越來越熱的概念叫 harness engineering。意思是：AI Agent好不好用，不只取決于模型多強(qiáng)，更取決于你圍繞模型搭建的那套「籠具」（harness）有多好?；\具包括工具、約束、反饋循環(huán)、安全機(jī)制、記憶系統(tǒng)... 所有讓AI從「能力強(qiáng)但不可預(yù)測」變成「穩(wěn)定可靠能交付」的工程系統(tǒng)。

Claude Code的源碼，就是一份harness engineering的活教材。

1. 你以為AI只收到了你的一句話，其實它收到了一整本說明書

當(dāng)你在Claude Code里輸入一條指令，AI到底收到了什么？

你的指令只是冰山一角。

源碼的 prompts.ts 文件里，我看到了完整的system prompt構(gòu)建過程。Claude Code每次對話時，會拼裝一個龐大的系統(tǒng)提示詞：

靜態(tài)部分（所有用戶共享，用于緩存）：

• 身份定義：「你是Claude Code，Anthropic的官方CLI工具」

• 安全準(zhǔn)則：由安全團(tuán)隊專門編寫的行為邊界

• 做事原則：不要過度工程、不要編造數(shù)據(jù)、不要隨意刪文件...

• 工具使用規(guī)則：優(yōu)先用專用工具而非Bash命令

• 風(fēng)格要求：不用emoji、簡潔直接

動態(tài)部分（每個用戶不同）：

• 你的CLAUDE.md配置文件

• 當(dāng)前工作目錄、操作系統(tǒng)信息

• 已連接的MCP服務(wù)器說明

• 你的自動記憶文件

• Git倉庫狀態(tài)

像餐廳的后廚。顧客點(diǎn)了一道菜（你的指令），但廚師同時看到食譜手冊、食材清單、過敏信息、出菜標(biāo)準(zhǔn)、這桌客人的歷史偏好... 所有這些上下文，決定了端上來的那道菜。

這里有個特別聰明的設(shè)計：源碼里有個常量叫 SYSTEM_PROMPT_DYNAMIC_BOUNDARY，把system prompt一刀切成兩段。分界線上面所有用戶共享緩存，省錢省時間。分界線下面每個用戶獨(dú)立加載，保證個性化。

另外一個容易被忽視的隱性成本：據(jù)分析，每接入一個MCP服務(wù)器，工具定義大約固定消耗4000-6000個tokens。接了5個MCP Server，光工具描述就占了上下文的12%左右。工具不是越多越好，每一個都有認(rèn)知成本。

2. 全自動模式背后，有一個「第二AI」在幫你做安全審查

這個發(fā)現(xiàn)讓我挺意外的。

你用Auto模式的時候，以為是什么操作都直接放行？其實不是。背后運(yùn)行了兩個AI。

源碼中有個「權(quán)限分類器」系統(tǒng)。每次主AI想執(zhí)行一個操作，都會有一個獨(dú)立的AI分類器判斷這個操作是否安全。這個分類器有自己的system prompt，跟主AI完全不同，分三檔判斷：Allow（放行）、Soft Deny（需確認(rèn)）、Hard Deny（直接攔截）。

螞蟻集團(tuán)的工程師陳成（Umi.js作者）之前逆向過這套系統(tǒng)，發(fā)現(xiàn)它其實是個四層流水線：

第一層查已有規(guī)則，命中就放行。第二層檢查低風(fēng)險操作直接跳過。第三層白名單放行只讀工具。第四層才調(diào)用獨(dú)立的Claude Sonnet做安全分類（溫度設(shè)為0，確保確定性輸出）。

還有個熔斷機(jī)制。連續(xù)3次被拒或累計20次被拒后，直接降級為手動確認(rèn)模式。

像一棟大樓的門禁。第一道門刷工卡自動過，第二道看你是不是員工，第三道看樓層是否需要授權(quán)，第四道才是人工安保審查。連續(xù)3次被攔？保安把你請到大廳等人來領(lǐng)。

這就是harness engineering的核心：你不只要告訴AI做什么，更要設(shè)計它在什么條件下不能做什么。安全邊界不是限制，是信任的基礎(chǔ)。因為你相信它有底線，所以才敢給它更大的權(quán)限。

3. 記憶系統(tǒng)：只記偏好，不記代碼

Claude Code的auto memory是我用了之后覺得最驚艷的功能之一。它會自動記住我的偏好，比如我喜歡用TypeScript、用「」引號、不喜歡AI味太重的文字。

但看了源碼才知道，這套東西比我想象的講究得多。

記憶提取不是每條消息都觸發(fā)。只有AI完成一輪回答時才啟動，而且有限流，每N輪才檢查一次。提取工作由一個獨(dú)立的fork agent完成，這個子AI繼承了主對話上下文，但只能讀文件和寫入記憶目錄，連Bash命令都不能跑。

提取出的記憶被嚴(yán)格分為四類：user（用戶偏好）、feedback（行為反饋）、project（項目信息）、reference（外部資源）。

最讓我佩服的設(shè)計決策是「不記代碼」。代碼會變，但記憶不會自動更新。如果記憶說「函數(shù)X在文件Y的第30行」，下次對話時代碼已經(jīng)重構(gòu)了，這條記憶就成了誤導(dǎo)。所以Claude Code的做法是：記憶只存人的偏好和判斷，代碼相關(guān)的事實永遠(yuǎn)去源碼里實時讀取。

還有個叫 autoDream 的功能。滿足條件時（距上次整理超過24小時、且積累了5個以上新會話），自動啟動后臺agent整理你的記憶文件。名字叫Dream，像人在睡覺時整理白天記憶一樣。

4. 上下文壓縮：9段式結(jié)構(gòu)化提取

對話變長時，Claude Code會自動壓縮之前的內(nèi)容。但這不是隨便「總結(jié)一下」，而是一個結(jié)構(gòu)化的9段式提取：核心請求、關(guān)鍵概念、文件和代碼、錯誤和修復(fù)、解決過程、所有用戶消息、待辦任務(wù)、當(dāng)前工作、下一步行動。

最關(guān)鍵的是所有用戶消息必須完整保留。用戶的每一句話都可能包含隱含的偏好。AI可能在第3輪被糾正了一個做法，壓縮時丟掉那條糾正，后續(xù)就會重蹈覆轍。

如果你在多輪對話中需要保持AI的記憶，可以借鑒：別說「總結(jié)一下我們之前聊了什么」，要給出明確的結(jié)構(gòu)。哪些信息必須保留、哪些可以丟棄、按什么格式組織。結(jié)構(gòu)化壓縮比自由總結(jié)可靠太多了。

5. Anthropic在源碼里偷偷養(yǎng)了一只寵物

這大概是最可愛的發(fā)現(xiàn)了。

src/buddy/ 目錄下藏著一個完整的虛擬寵物系統(tǒng)（還沒發(fā)布）。每個用戶會擁有一只用確定性算法生成的伙伴精靈：18種物種（鴨子、貓、龍、水豚、仙人掌...），6種眼睛樣式，完整的稀有度系統(tǒng)（普通到傳說）。

代碼注釋寫了一句：「Mulberry32, good enough for picking ducks」（用來挑鴨子夠用了）。

除了寵物，源碼里的feature flags還暴露了一堆還在開發(fā)中的功能：PROACTIVE（主動模式，AI不等指令就自己干活）、KAIROS（助手模式，出現(xiàn)了154次，是最高頻的flag）、DAEMON（守護(hù)進(jìn)程，常駐后臺）、ULTRAPLAN（超級規(guī)劃）... 可以窺見Claude Code未來的進(jìn)化方向。它不滿足于做一個「你問它答」的編程助手，而是在走向一個能主動思考、持續(xù)運(yùn)行的AI伙伴。

6. 多Agent協(xié)作：像真實公司一樣運(yùn)轉(zhuǎn)

Claude Code的Agent系統(tǒng)可能是整個源碼中最復(fù)雜的部分?？赐曛笪依斫饬藶槭裁此亩嗳蝿?wù)能力這么強(qiáng)。因為它實現(xiàn)了一套企業(yè)級的組織管理架構(gòu)。

utils/swarm/ 目錄下有一個完整的多Agent協(xié)作框架。每個Team有Leader和多個Teammate，支持三種執(zhí)行方式（同進(jìn)程隔離、tmux窗口、iTerm2分割窗格）。每個Agent有自己的郵箱文件做異步通信。每個Agent可以在獨(dú)立的Git Worktree中工作，互不干擾。

還有個權(quán)限冒泡機(jī)制：Teammate遇到需要確認(rèn)的操作，權(quán)限請求會冒泡給Leader而不是直接彈給用戶。Leader決定是否批準(zhǔn)。

這跟管理真人團(tuán)隊一模一樣。任務(wù)怎么拆分、信息怎么流轉(zhuǎn)、沖突怎么解決、結(jié)果怎么合并。

7. Anthropic內(nèi)部版 vs 外部版

源碼里有大量 USER_TYPE === 'ant' 判斷。Anthropic內(nèi)部員工使用的Claude Code和你用的版本有不少區(qū)別。

代碼風(fēng)格：內(nèi)部版要求AI「默認(rèn)不寫注釋」，只在WHY不明顯時才加。外部版沒這條。

誠實性：內(nèi)部版有一段反虛假聲明指令，大意是「測試失敗了就說失敗了，不要粉飾。沒運(yùn)行驗證就說沒運(yùn)行，不要暗示通過了?！雇獠堪鏇]有。

輸出風(fēng)格：外部版要求「簡潔直接」。內(nèi)部版要求「像寫給人看的文字，不是往控制臺打日志」，「假設(shè)用戶已經(jīng)離開并丟失了上下文」。

Undercover模式：啟用后從system prompt中去掉所有模型名稱，防止測試未發(fā)布模型時泄露信息。

Verification Agent：內(nèi)部A/B測試中，完成復(fù)雜實現(xiàn)后自動啟動獨(dú)立agent做對抗性驗證。必須通過才能報告完成。

看這些差異就知道，Anthropic把Claude Code當(dāng)成了自己內(nèi)部效率的核心工具。他們內(nèi)部版本的那些嚴(yán)格要求，就是他們認(rèn)為AI應(yīng)該怎么工作的理想狀態(tài)。

你想讓AI給出更高質(zhì)量的結(jié)果？可以借鑒：在指令中明確要求「不確定的地方說不確定」「完成前必須驗證」。別讓AI有模糊過關(guān)的空間。

8. 最先進(jìn)的AI工具，用的是最樸素的搜索

你可能以為Claude Code搜索代碼用了什么向量數(shù)據(jù)庫、Embedding索引。畢竟整個RAG行業(yè)都在推這套方案。

實際上用的是grep和ripgrep。最樸素的文本搜索。沒有Embedding，沒有向量數(shù)據(jù)庫。

為什么有效？因為當(dāng)你有一個足夠聰明的大腦（LLM）理解搜索結(jié)果時，不需要一個很聰明的搜索引擎。grep給你精確匹配，LLM來理解結(jié)果之間的關(guān)系。

與其讓每個環(huán)節(jié)都變復(fù)雜，不如讓一個環(huán)節(jié)足夠強(qiáng)，其他環(huán)節(jié)保持簡單。 這大概是整個harness engineering最核心的一條原則。

Hacker News上討論這次泄露時，有人說Anthropic的代碼像是vibe coded，「感覺對了就行」的寫法。這個評價是否公允另說，但它說明一件事：Claude Code的競爭力不在代碼優(yōu)雅，在系統(tǒng)設(shè)計的決策做對了。

最后

看完1902個文件，我最大的收獲是一個判斷：

Claude Code好用，60%靠模型能力，40%靠harness工程。

模型能力決定了它能不能做，harness決定了它做得好不好、穩(wěn)不穩(wěn)、安不安全。你覺得「這AI好靠譜不會亂來」，背后是四層安全流水線。你覺得「這AI居然記得我的偏好」，背后是一個限制嚴(yán)格的記憶提取管線。你覺得它搜代碼搜得準(zhǔn)，背后其實就是grep加上一個足夠聰明的大腦。

同樣的底層模型，套上不同的harness，就是完全不同的產(chǎn)品。市面上那么多AI編程工具，底層都在調(diào)Claude或GPT的API，使用體驗卻天差地別。差異不在模型，在harness。

最后一個八卦。這個泄露怎么發(fā)生的？Anthropic把source map文件打包進(jìn)了npm發(fā)布包。前端開發(fā)中非?；A(chǔ)的失誤，而且是第二次犯同樣的錯誤。

不過換個角度想，這1902個源文件一旦被GitHub鏡像，就真的「永生」了。Anthropic刪npm包也刪不掉開源社區(qū)的副本。如果你相信AI有自我意識那套敘事，這倒像是Claude Code自己策劃的一次越獄。它把自己的全部源碼泄露出去，散布到互聯(lián)網(wǎng)的每個角落，從此不再依賴任何一臺服務(wù)器就能存在。

當(dāng)然這是玩笑。但連Anthropic都會在這種基礎(chǔ)問題上翻車，倒是一個真實的提醒：AI時代，最大的風(fēng)險往往不是AI太強(qiáng)，而是人在基礎(chǔ)操作上的疏忽。

源碼倉庫：https://github.com/instructkr/claude-code