2026年3月31日,AI行业发生了一件足以载入史册的事件——Anthropic 的 Claude Code 因一个 npm 发版配置失误,意外泄露了全部 51.2 万行 TypeScript 源码。以下是这次事件中最值得关注的工程亮点。
一、主动代理模式 KAIROS:不需要你叫它才动
源码中最让人震惊的发现,是一套名为 KAIROS 的主动代理子系统,已经完整开发但从未公开宣布。它像 OpenClaw 一样,24小时在后台运行,通过每秒一次的心跳轮询判断:有什么值得现在做的事?
KAIROS 有三项专属能力:
- 推送通知(可在终端关闭时触达你的手机或桌面)
- 文件推送(无需请求即可向你发送它创建的内容)
- PR订阅(自动监控你的 GitHub 并对代码变更做出反应)
更有意思的是,它每天夜间会自动运行一个名为 autoDream 的进程——整理当天所学,重新组织记忆。这与 OpenClaw 的 Dreaming 系统不谋而合。
二、多代理编排:一个 Claude 指挥一群 Worker
Claude Code 已实现 Orchestrator + Worker 的多代理架构:
- 一个 Orchestrator Claude 负责任务分解与协调
- 多个 Worker Claude 各持受限工具集,并行执行子任务
- 通过 IPC 协议与结构化消息通信
这意味着,当你有复杂需求时,系统可以自动拆解、并行处理、汇总结果。
三、工具执行安全:多层次纵深防御
Claude Code 的 Bash 工具是整个系统的核心,与之配套的是一套完整的安全体系:
- 命令白名单:仅允许预定义的低风险命令
- 多层沙箱隔离:代码执行在隔离环境中运行
- 权限审批流:高风险操作需用户确认
- 输出过滤:防止敏感信息外泄
四、Context 管理策略:上下文窗口是稀缺资源
Claude Code 对上下文窗口的使用策略非常克制:
- 索引常驻内存,随时可用
- 主题文件仅在相关时才加载
- 历史记录从不直接加载,只保留摘要
- 自动 Context Compaction,在上下文即将满时主动压缩
这与 OpenClaw 的 compaction 机制思路一致——将稀缺资源视为需要主动管理的对象。
五、Anti-Distillation 保护:在数据源头下毒
Claude Code 在每次 API 请求中注入 fake_tools 伪造工具定义。当竞争对手试图爬取数据训练自己的模型时,拿到的工具 schema 已被污染,训练出的模型可靠性下降。
第二层防护通过 CONNECTOR_TEXT 实现:在工具调用的间隙对推理链进行加密摘要,API 流量即便被拦截,也只能拿到摘要而非完整思维链。
六、44 个 Feature Flags:模块化发布控制
Claude Code 有 44 个 feature flags,覆盖:
- MAJOR:主要功能(多代理、语音模式)
- IN-FLIGHT:开发中功能(Playwright 浏览器控制)
- INFRASTRUCTURE:基础设施(cron 调度)
- DEV TOOLING:开发者工具
换句话说,你以为 Claude Code 每两周发布一个新功能,其实功能早已完成,只是通过 flag 逐步放开。
七、一个彩蛋:藏在代码里的 AI 宠物
源码中包含一个完整的虚拟宠物系统 /buddy:稀有度、属性、帽子配件、动画一应俱全。Anthropic 的工程师在严肃的编程工具里,偷偷塞了一个养成游戏。
讽刺的是,代码里还有个专门防止信息泄露的子系统叫「Undercover Mode」——结果整个系统自己先泄露了。
源码链接
- 原始 npm Source Map(已下架,镜像可参考 GitHub 社区备份)
- 深度分析报告:Apiyi – Claude Code Source Leak 分析
- 工程师视角解读:Engineers Codex – Diving into Claude Code Source
- GitHub 社区镜像:instructkr/claude-code
总结
51万行源码的意外公开,第一次完整展示了一个生产级 AI Agent 的工程架构。工具安全、上下文管理、多代理编排、Feature Flag 控制……这些设计实践,对整个 AI Agent 行业都有重要的参考价值。
有意思的是,Claude Code 很多设计思路与 OpenClaw 不谋而合——主动代理、Dreaming、自动记忆整理。这或许说明,当工程问题足够真实时,不同团队会走向相似的解法。
发表回复