如果几天前有人告诉我，号称「最重视 AI 安全」的 Anthropic，会在一周之内连续泄露两次核心机密，我大概会觉得这是愚人节段子。

但它偏偏发生在愚人节前一天。

3 月 31 日，安全研究员 Chaofan Shou 发现，Anthropic 在 npm 上发布的 Claude Code 2.1.88 版本里，塞了一个 59.8MB 的 source map 文件。这个本该用于内部调试的文件，指向了 Anthropic 自己 Cloudflare R2 存储桶里的一个 zip 压缩包——里面是 Claude Code 完整的 TypeScript 源代码，约 1900 个文件，51.2 万行代码。

几小时内，GitHub 上出现了多个镜像仓库。其中一个名叫「claw-code」的项目，两小时内拿下 5 万颗星，成为 GitHub 历史上涨星最快的仓库。fork 数超过 4.15 万。

而就在五天前，Anthropic 刚刚因为一个未加保护的公开数据缓存，泄露了下一代模型「Mythos」的存在——一个被内部描述为「能力阶跃式提升」、在网络安全能力上「远超所有现有 AI 模型」的新模型。

一周两次泄露。一个讲安全的公司，被自己的安全问题打了脸。 开发者社区的评价相当统一——「讽刺得不真实」。

但讽刺归讽刺，泄露出来的东西，是真的有料。一个更重要的问题是，AI 公司，应该如何利用这次「泄露」，抄作业？

Claude Code「壳子」里有什么？

很多人第一反应是：Claude Code 不就是一个套了模型 API 的命令行工具吗？源代码泄露了又怎样，没有模型权重，这些代码不过是个「壳子」。

这个判断对了一半。Claude Code 确实是个壳子，但它是一个精密到让人意外的壳子。

先看工具系统。Claude Code 采用了类似插件的架构，每种能力——文件读写、shell 执行、网页抓取、LSP 集成——都是一个独立的、有权限管控的工具模块。光是工具定义层就有 2.9 万行 TypeScript。

每个工具的描述不是简单的一句话，而是详细到告诉模型「什么时候该用这个工具、怎么用、用完之后期望什么结果」。这些描述本身就是一种精心调优的 prompt engineering。

再看记忆系统。泄露代码揭示了一个三层「自修复记忆」架构。最底层是 MEMORY.md，一个轻量级索引文件，每行大约 150 个字符，始终加载在上下文中。具体的项目知识分散在「主题文件」里，按需加载。原始对话记录则永远不会整体回读到上下文中，只在需要时通过 grep 检索特定标识符。

也就是说，Anthropic 的工程师花了大量时间解决的核心问题，不是「怎么调用 API」，而是「怎么在有限的上下文窗口里，让模型尽可能聪明地工作」。

然后是那个让所有人都兴奋的 KAIROS。

这个以古希腊语「恰当的时机」命名的功能，在源代码中被提及超过 150 次。它是一个自主守护进程模式，让 Claude Code 作为一个 always-on 的后台代理持续运行。更有意思的是它的「autoDream」逻辑——在用户空闲时，代理会进行「记忆整合」，合并零散观察、消除逻辑矛盾、把模糊洞察转化为确定性事实。

换句话说，Anthropic 正在让 AI 编程助手从「你问我答」的工具，进化为一个「持续理解你的项目、主动发现问题」的协作者。

此外，泄露代码还包含 44 个未上线的 feature flag，覆盖了多代理协调模式（COORDINATOR MODE）、语音交互（VOICE_MODE）、30 分钟远程规划会话（ULTRAPLAN），甚至还有一个拓麻歌子风格的终端宠物（BUDDY），有 18 个物种和稀有度等级。

还有两个细节值得一提。一个是「frustration regex」——一段正则表达式，用来检测用户是否在骂 Claude。用正则比用模型推理来判断用户情绪要快得多、便宜得多。

另一个是「undercover mode」，Anthropic 用 Claude Code 给公开的开源项目做「隐身贡献」，系统提示词明确写着：「你正在 UNDERCOVER 模式下运行……你的 commit 信息不能包含任何 Anthropic 内部信息。不要暴露身份。」

中国 AI 公司能学到什么

现在回到真正重要的问题。

过去一年，中国 AI 编程工具赛道明显加速。字节的 Trae 已经从最初的 MarsCode 演进为一个 AI 原生 IDE，集成了 Agent 模式，支持从需求理解到代码编写再到测试的全流程自动化。智谱的 CodeGeeX 主打开源和本地部署，在中文代码理解上做了深度优化。通义灵码、豆包 MarsCode 也都在快速迭代。

但如果拿这些产品和 Claude Code 泄露的架构对比，差距不在「能不能用」，而在工程精细度上。

第一课：工具描述就是产品力。

这可能是最容易被忽视、也最值得学的一点。

Claude Code 对每个工具的 prompt 描述经过了极其精细的调优——什么时候用、什么时候不用、用了之后怎么处理结果、出错了怎么重试。这些描述本质上是在教模型「怎么做一个好的程序员」。

国内很多工具的 tool use 实现还停留在「给模型一个函数签名，让它自己猜怎么用」的阶段。光是把工具描述写到 Claude Code 的水平，就能让同一个模型的表现提升一个档次。

第二课：记忆架构，比模型参数更影响用户体验。

Claude Code 的三层记忆系统解决的是一个很现实的问题——模型的上下文窗口是有限的，你不能把所有历史对话都塞进去。

Anthropic 的做法是把记忆分层——热数据始终在线，温数据按需加载，冷数据只做索引。这种思路并不新鲜，但它在 AI 编程工具里的工程实现，国内团队大多还没做到这个精细度。

第三课：情绪感知不是玄学，是工程问题。

用一段正则表达式检测用户是否在发火，然后调整回复策略。

这个方案简单到粗暴，但极其实用。它告诉你一个道理——好的 AI 产品不是每个问题都需要用模型来解决，有时候一个 regex 就够了。

国内做 AI 工具的团队，经常陷入「所有问题都要丢给大模型」的思维惯性，这是一种浪费。

第四课：KAIROS 指向的方向，比 KAIROS 本身更重要。

一个 always-on 的后台代理，在用户不用的时候自动整理记忆、发现问题。

这个产品方向意味着 AI 编程助手的下一步不是「更快地回答问题」，而是「在你没有问问题的时候，就已经在工作」。

目前国内的 AI 编程工具几乎全部是响应式的——用户发指令，工具执行。

谁先把守护进程模式做出来，谁就可能定义下一代产品形态。

「抄」的边界在哪里

当然，学习和抄袭之间有一条线。

法律层面，这不是开源代码，而是意外泄露的商业软件。直接基于泄露代码构建产品，版权风险是明确的。GitHub 上「claw-code」宣称要用 Rust 重写，但如果核心逻辑照搬，法律边界依然模糊。

对于中国公司来说，在出海压力越来越大的背景下，这种风险需要认真评估。

技术层面，Claude Code 的很多设计决策，是针对 Claude 模型能力深度定制的。比如它的工具描述写得那么长、那么详细，是因为 Claude 的长上下文处理能力足够强，不会因为系统提示词太长而「走神」。换成上下文窗口短、指令遵循弱的模型，照搬同样的 prompt 策略可能适得其反。

真正聪明的做法不是 fork 这 51 万行代码，而是理解每一个设计决策背后的 tradeoff，然后针对自己的模型特点重新实现。

架构思路可以学，工具编排模式可以学，记忆分层策略可以学——但实现必须是自己的。

还有一个容易被忽略的现实——Anthropic 泄露的是一个快照，而他们的工程团队每天都在迭代。44 个 feature flag 意味着至少十几个重大功能在排队上线。

你今天 fork 的代码，下个月就是旧版本。追着抄，永远追不上；理解了原理，才能跑出自己的路线。

这次泄露最大的意义可能不在技术细节，而在于它撕掉了一层神秘感——原来 Anthropic 最核心的 AI 编程工具，底层也不过是精心设计的 prompt 编排，加上工程化的工具调度。

没有黑魔法，只有大量的细节打磨。

这对中国 AI 公司来说，其实是个好消息。它意味着差距是可以弥合的。前提是，你得有耐心去打磨那些细节——而不是想着直接把别人的代码拿过来改个名字。

*头图来源：LinkedIn