來源:極客公園
撰文:桦林舞王
如果幾天前有人告訴我,號稱「最重視 AI 安全」的 Anthropic,會在一週之內連續泄露兩次核心機密,我大概會覺得這是愚人節段子。
但它偏偏發生在愚人節前一天。
3 月 31 日,安全研究員 Chaofan Shou 發現,Anthropic 在 npm 上發布的 Claude Code 2.1.88 版本裡,塞了一個 59.8MB 的 source map 檔案。這本該用於內部除錯的檔案,指向了 Anthropic 自己的 Cloudflare R2 儲存桶裡的一個 zip 壓縮包——裡面是 Claude Code 完整的 TypeScript 原始碼,約 1900 個檔案,51.2 萬行程式碼。
幾小時內,GitHub 上出現了多個鏡像倉庫。其中一個名叫「claw-code」的專案,兩小時內拿下 5 萬顆星,成為 GitHub 歷史上衝星最快的倉庫。fork 數超過 4.15 萬。
而就在五天前,Anthropic 剛剛因為一個未加保護的公開資料快取,泄露了下一代模型「Mythos」的存在——一個在內部描述為「能力階躍式提升」、在網路安全能力上「遠超所有現有 AI 模型」的新模型。
一週兩次泄露。一家講安全的公司,被自己的安全問題打了臉。開發者社群的評價相當一致——「諷刺得不真實」。
但諷刺歸諷刺,泄露出來的東西,是真的有料。更重要的問題是,AI 公司應該如何利用這次「泄露」,抄作業?
01 Claude Code「外殼」裡有什麼?
很多人第一反應是:Claude Code 不就是一個套了模型 API 的命令列工具嗎?原始碼泄露了又怎樣,沒有模型權重,這些程式碼不過是個「外殼」。
這個判斷對了一半。Claude Code 確實是個外殼,但它是一個精密到讓人意外的外殼。
先看工具系統。Claude Code 採用類似插件的架構,每種能力——檔案讀寫、shell 執行、網頁抓取、LSP 整合——都是一個獨立的、具權限管控的工具模組。光是工具定義層就有 2.9 萬行 TypeScript。
每個工具的描述不是簡單的一句話,而是詳細到告訴模型「什麼時候該用這個工具、怎麼用、用完之後期望什麼結果」。這些描述本身就是一種精心調優的 prompt engineering。
再看記憶系統。泄露程式碼揭示了一個三層「自我修復記憶」架構。最底層是 MEMORY.md,一個輕量級索引檔,每行大約 150 個字元,始終載入在上下文中。具體的專案知識分散在「主題檔案」裡,按需載入。原始對話紀錄則永遠不會整體回讀到上下文中,只會在需要時透過 grep 檢索特定識別符。
也就是說,Anthropic 的工程師花了大量時間解決的核心問題,不是「怎麼呼叫 API」,而是「怎麼在有限的上下文視窗裡,讓模型盡可能聰明地工作」。
接著是那個讓所有人都興奮的 KAIROS。
這個以古希臘語「恰當的時機」命名的功能,在原始碼中被提及超過 150 次。它是一種自主守護程序模式,讓 Claude Code 作為一個 always-on 的後台代理持續運行。更有意思的是它的「autoDream」邏輯——在使用者閒置時,代理會進行「記憶整合」,合併零散觀察、消除邏輯矛盾、把模糊洞察轉化為確定性的事實。
換句話說,Anthropic 正在讓 AI 程式編寫助手,從「你問我答」的工具,進化為一個「持續理解你的專案、主動發現問題」的協作者。
此外,泄露程式碼還包含 44 個尚未上線的 feature flag,涵蓋多代理協調模式(COORDINATOR MODE)、語音互動(VOICE_MODE)、30 分鐘遠端規劃會話(ULTRAPLAN),甚至還有一個拓麻歌子風格的終端寵物(BUDDY),有 18 個物種與稀有度等級。
還有兩個細節值得一提。一個是「frustration regex」——一段正規表示式,用來偵測使用者是否在罵 Claude。用正規表示式判斷使用者情緒,要比用模型推理快得多、也便宜得多。
另一個是「undercover mode」,Anthropic 用 Claude Code 對公開的開源專案做「隱身貢獻」,系統提示詞明確寫著:「你正在 UNDERCOVER 模式下執行……你的 commit 資訊不能包含任何 Anthropic 內部資訊。不要揭露身分。」
02 中國 AI 公司能學到什麼
現在回到真正重要的問題。
過去一年,中國 AI 程式編寫工具賽道明顯加速。字節的 Trae 已經從最初的 MarsCode 演進為一個 AI 原生 IDE,整合了 Agent 模式,支援從需求理解到程式編寫再到測試的全流程自動化。智譜的 CodeGeeX 主打開源和本地部署,並在中文程式碼理解上做了深度優化。通義靈碼、豆包 MarsCode 也都在快速迭代。
但如果拿這些產品跟 Claude Code 泄露的架構來對比,差距不在「能不能用」,而在工程精細度上。
第一課:工具描述就是產品力。
這可能是最容易被忽視、也最值得學的一點。
Claude Code 對每個工具的 prompt 描述經過了極其精細的調優——什麼時候用、什麼時候不用、用了之後怎麼處理結果、出錯了怎麼重試。這些描述本質上是在教模型「怎麼做一個好的程式設計師」。
國內很多工具的 tool use 實作還停留在「給模型一個函式簽名,讓它自己猜怎麼用」的階段。光是把工具描述寫到 Claude Code 的水準,就能讓同一個模型的表現提升一個檔次。
第二課:記憶架構,比模型參數更影響使用者體驗。
Claude Code 的三層記憶系統解決的是一個很現實的問題——模型的上下文視窗是有限的,你不能把所有歷史對話都塞進去。
Anthropic 的做法是把記憶分層——熱資料始終在線,溫資料按需載入,冷資料只做索引。這種思路並不新鮮,但它在 AI 程式編寫工具裡的工程實作上,國內團隊大多還沒做到這種精細度。
第三課:情緒感知不是玄學,是工程問題。
用一段正規表示式檢測使用者是否在發火,然後調整回覆策略。
這個方案簡單到粗暴,但極其實用。它告訴你一個道理——好的 AI 產品不是每個問題都需要用模型來解決,有時候一個 regex 就夠了。
國內做 AI 工具的團隊,常常陷入「所有問題都要丟給大模型」的思維慣性,這是一種浪費。
第四課:KAIROS 指向的方向,比 KAIROS 本身更重要。
一個 always-on 的後台代理,在使用者不需要的時候自動整理記憶、發現問題。
這個產品方向意味著 AI 程式編寫助手的下一步不是「更快地回答問題」,而是「在你還沒問問題之前,就已經在工作」。
目前國內的 AI 程式編寫工具幾乎全部是被動式的——使用者下指令,工具執行。
誰先把守護程序模式做出來,誰就可能定義下一代產品形態。
03「抄」的邊界在哪裡
當然,學習和抄襲之間有一條線。
在法律層面,這不是開源程式碼,而是意外泄露的商業軟體。直接基於泄露程式碼建構產品,版權風險是明確的。GitHub 上「claw-code」宣稱要用 Rust 重寫,但如果核心邏輯照搬,法律邊界依然模糊。
對於中國公司來說,在出海壓力越來越大的背景下,這種風險需要認真評估。
在技術層面,Claude Code 的許多設計決策是針對 Claude 模型能力深度客製的。比如它的工具描述寫得那麼長、那麼詳細,是因為 Claude 的長上下文處理能力夠強,不會因為系統提示詞太長而「走神」。換成上下文視窗短、指令遵循能力弱的模型,照搬同樣的 prompt 策略可能適得其反。
真正聰明的做法不是 fork 這 51 萬行程式碼,而是理解每一個設計決策背後的 tradeoff,然後針對自己的模型特性重新實作。
架構思路可以學,工具編排模式可以學,記憶分層策略可以學——但實作必須是自己的。
還有一個容易被忽略的現實——Anthropic 泄露的是一個快照,而他們的工程團隊每天都在迭代。44 個 feature flag 意味著至少十幾個重大的功能在排隊上線。
你今天 fork 的程式碼,下個月就是舊版本。追著抄,永遠追不上;理解了原理,才能跑出自己的路線。
這次泄露最大的意義可能不在技術細節,而在於它撕掉了一層神秘感——原來 Anthropic 最核心的 AI 程式編寫工具,底層也不過是精心設計的 prompt 編排,加上工程化的工具調度。
沒有黑魔法,只有大量的細節打磨。
這對中國 AI 公司來說,其實是個好消息。它意味著差距是可以彌合的。前提是,你得有耐心去打磨那些細節——而不是想著直接把別人的程式碼拿過來改個名字。
33.13萬 熱度
5.9萬 熱度
33.82萬 熱度
80.85萬 熱度
5.7萬 熱度
中國 AI 公司,該怎麼「抄 Claude Code 的作業」?
來源:極客公園
撰文:桦林舞王
如果幾天前有人告訴我,號稱「最重視 AI 安全」的 Anthropic,會在一週之內連續泄露兩次核心機密,我大概會覺得這是愚人節段子。
但它偏偏發生在愚人節前一天。
3 月 31 日,安全研究員 Chaofan Shou 發現,Anthropic 在 npm 上發布的 Claude Code 2.1.88 版本裡,塞了一個 59.8MB 的 source map 檔案。這本該用於內部除錯的檔案,指向了 Anthropic 自己的 Cloudflare R2 儲存桶裡的一個 zip 壓縮包——裡面是 Claude Code 完整的 TypeScript 原始碼,約 1900 個檔案,51.2 萬行程式碼。
幾小時內,GitHub 上出現了多個鏡像倉庫。其中一個名叫「claw-code」的專案,兩小時內拿下 5 萬顆星,成為 GitHub 歷史上衝星最快的倉庫。fork 數超過 4.15 萬。
而就在五天前,Anthropic 剛剛因為一個未加保護的公開資料快取,泄露了下一代模型「Mythos」的存在——一個在內部描述為「能力階躍式提升」、在網路安全能力上「遠超所有現有 AI 模型」的新模型。
一週兩次泄露。一家講安全的公司,被自己的安全問題打了臉。開發者社群的評價相當一致——「諷刺得不真實」。
但諷刺歸諷刺,泄露出來的東西,是真的有料。更重要的問題是,AI 公司應該如何利用這次「泄露」,抄作業?
01 Claude Code「外殼」裡有什麼?
很多人第一反應是:Claude Code 不就是一個套了模型 API 的命令列工具嗎?原始碼泄露了又怎樣,沒有模型權重,這些程式碼不過是個「外殼」。
這個判斷對了一半。Claude Code 確實是個外殼,但它是一個精密到讓人意外的外殼。
先看工具系統。Claude Code 採用類似插件的架構,每種能力——檔案讀寫、shell 執行、網頁抓取、LSP 整合——都是一個獨立的、具權限管控的工具模組。光是工具定義層就有 2.9 萬行 TypeScript。
每個工具的描述不是簡單的一句話,而是詳細到告訴模型「什麼時候該用這個工具、怎麼用、用完之後期望什麼結果」。這些描述本身就是一種精心調優的 prompt engineering。
再看記憶系統。泄露程式碼揭示了一個三層「自我修復記憶」架構。最底層是 MEMORY.md,一個輕量級索引檔,每行大約 150 個字元,始終載入在上下文中。具體的專案知識分散在「主題檔案」裡,按需載入。原始對話紀錄則永遠不會整體回讀到上下文中,只會在需要時透過 grep 檢索特定識別符。
也就是說,Anthropic 的工程師花了大量時間解決的核心問題,不是「怎麼呼叫 API」,而是「怎麼在有限的上下文視窗裡,讓模型盡可能聰明地工作」。
接著是那個讓所有人都興奮的 KAIROS。
這個以古希臘語「恰當的時機」命名的功能,在原始碼中被提及超過 150 次。它是一種自主守護程序模式,讓 Claude Code 作為一個 always-on 的後台代理持續運行。更有意思的是它的「autoDream」邏輯——在使用者閒置時,代理會進行「記憶整合」,合併零散觀察、消除邏輯矛盾、把模糊洞察轉化為確定性的事實。
換句話說,Anthropic 正在讓 AI 程式編寫助手,從「你問我答」的工具,進化為一個「持續理解你的專案、主動發現問題」的協作者。
此外,泄露程式碼還包含 44 個尚未上線的 feature flag,涵蓋多代理協調模式(COORDINATOR MODE)、語音互動(VOICE_MODE)、30 分鐘遠端規劃會話(ULTRAPLAN),甚至還有一個拓麻歌子風格的終端寵物(BUDDY),有 18 個物種與稀有度等級。
還有兩個細節值得一提。一個是「frustration regex」——一段正規表示式,用來偵測使用者是否在罵 Claude。用正規表示式判斷使用者情緒,要比用模型推理快得多、也便宜得多。
另一個是「undercover mode」,Anthropic 用 Claude Code 對公開的開源專案做「隱身貢獻」,系統提示詞明確寫著:「你正在 UNDERCOVER 模式下執行……你的 commit 資訊不能包含任何 Anthropic 內部資訊。不要揭露身分。」
02 中國 AI 公司能學到什麼
現在回到真正重要的問題。
過去一年,中國 AI 程式編寫工具賽道明顯加速。字節的 Trae 已經從最初的 MarsCode 演進為一個 AI 原生 IDE,整合了 Agent 模式,支援從需求理解到程式編寫再到測試的全流程自動化。智譜的 CodeGeeX 主打開源和本地部署,並在中文程式碼理解上做了深度優化。通義靈碼、豆包 MarsCode 也都在快速迭代。
但如果拿這些產品跟 Claude Code 泄露的架構來對比,差距不在「能不能用」,而在工程精細度上。
第一課:工具描述就是產品力。
這可能是最容易被忽視、也最值得學的一點。
Claude Code 對每個工具的 prompt 描述經過了極其精細的調優——什麼時候用、什麼時候不用、用了之後怎麼處理結果、出錯了怎麼重試。這些描述本質上是在教模型「怎麼做一個好的程式設計師」。
國內很多工具的 tool use 實作還停留在「給模型一個函式簽名,讓它自己猜怎麼用」的階段。光是把工具描述寫到 Claude Code 的水準,就能讓同一個模型的表現提升一個檔次。
第二課:記憶架構,比模型參數更影響使用者體驗。
Claude Code 的三層記憶系統解決的是一個很現實的問題——模型的上下文視窗是有限的,你不能把所有歷史對話都塞進去。
Anthropic 的做法是把記憶分層——熱資料始終在線,溫資料按需載入,冷資料只做索引。這種思路並不新鮮,但它在 AI 程式編寫工具裡的工程實作上,國內團隊大多還沒做到這種精細度。
第三課:情緒感知不是玄學,是工程問題。
用一段正規表示式檢測使用者是否在發火,然後調整回覆策略。
這個方案簡單到粗暴,但極其實用。它告訴你一個道理——好的 AI 產品不是每個問題都需要用模型來解決,有時候一個 regex 就夠了。
國內做 AI 工具的團隊,常常陷入「所有問題都要丟給大模型」的思維慣性,這是一種浪費。
第四課:KAIROS 指向的方向,比 KAIROS 本身更重要。
一個 always-on 的後台代理,在使用者不需要的時候自動整理記憶、發現問題。
這個產品方向意味著 AI 程式編寫助手的下一步不是「更快地回答問題」,而是「在你還沒問問題之前,就已經在工作」。
目前國內的 AI 程式編寫工具幾乎全部是被動式的——使用者下指令,工具執行。
誰先把守護程序模式做出來,誰就可能定義下一代產品形態。
03「抄」的邊界在哪裡
當然,學習和抄襲之間有一條線。
在法律層面,這不是開源程式碼,而是意外泄露的商業軟體。直接基於泄露程式碼建構產品,版權風險是明確的。GitHub 上「claw-code」宣稱要用 Rust 重寫,但如果核心邏輯照搬,法律邊界依然模糊。
對於中國公司來說,在出海壓力越來越大的背景下,這種風險需要認真評估。
在技術層面,Claude Code 的許多設計決策是針對 Claude 模型能力深度客製的。比如它的工具描述寫得那麼長、那麼詳細,是因為 Claude 的長上下文處理能力夠強,不會因為系統提示詞太長而「走神」。換成上下文視窗短、指令遵循能力弱的模型,照搬同樣的 prompt 策略可能適得其反。
真正聰明的做法不是 fork 這 51 萬行程式碼,而是理解每一個設計決策背後的 tradeoff,然後針對自己的模型特性重新實作。
架構思路可以學,工具編排模式可以學,記憶分層策略可以學——但實作必須是自己的。
還有一個容易被忽略的現實——Anthropic 泄露的是一個快照,而他們的工程團隊每天都在迭代。44 個 feature flag 意味著至少十幾個重大的功能在排隊上線。
你今天 fork 的程式碼,下個月就是舊版本。追著抄,永遠追不上;理解了原理,才能跑出自己的路線。
這次泄露最大的意義可能不在技術細節,而在於它撕掉了一層神秘感——原來 Anthropic 最核心的 AI 程式編寫工具,底層也不過是精心設計的 prompt 編排,加上工程化的工具調度。
沒有黑魔法,只有大量的細節打磨。
這對中國 AI 公司來說,其實是個好消息。它意味著差距是可以彌合的。前提是,你得有耐心去打磨那些細節——而不是想著直接把別人的程式碼拿過來改個名字。