2026 年 3 月 31 日凌晨，安全研究員 Chaofan Shou 在檢查 npm 包時(shí)發(fā)現(xiàn)了一件奇怪的事。

Anthropic 剛剛發(fā)布的 Claude Code 2.1.88 版本里，多了一個(gè)約 60MB 的 `.js.map` 文件。這種調(diào)試文件本來(lái)應(yīng)該在發(fā)布前刪掉。但 Bun 構(gòu)建工具默認(rèn)生成 source map，`.npmignore` 里沒(méi)有加對(duì)應(yīng)的忽略規(guī)則，就這樣把 1,900 個(gè) TypeScript 文件、512,000 行代碼打包了出去。

最初發(fā)布的 @anthropic-ai/claude-code v2.1.88 的 npm 包內(nèi)容中，包含了打包的cli.js.map源映射文件｜socradar.io

Chaofan 把下載鏈接發(fā)到 X 上。幾小時(shí)內(nèi)，全網(wǎng)開始鏡像這批代碼。Anthropic 緊急下線了這個(gè)版本，但已經(jīng)太晚了。

Claude Code 的泄露過(guò)程｜penligent

這是 Claude Code 在一年內(nèi)第二次以這種方式意外暴露自己。

這次泄露不只是一次運(yùn)維事故。它讓外界第一次完整地看到，當(dāng)今最成熟的 AI Agent 產(chǎn)品，在引擎蓋下究竟是什么樣子。本文不打算走馬觀花，而是認(rèn)真讀完這份意外的禮物，說(shuō)清楚它真正有意思的地方在哪。

本文寫了啥

1. 五層架構(gòu)全景：入口層、運(yùn)行層、引擎層、工具與能力層、基礎(chǔ)設(shè)施層各自做什么

2. 引擎層的動(dòng)態(tài)提示詞組裝機(jī)制，以及 Plan Mode 和 Coordinator Mode 的區(qū)別

3. Claude Code 權(quán)限防線的具體實(shí)現(xiàn)，以及那個(gè)繞不過(guò)去的原生客戶端認(rèn)證

4. 信息控制三件套：臥底模式、反蒸餾機(jī)制、Bun 層 DRM，三個(gè)方向各設(shè)一道防線

5. 這次泄露究竟帶出了什么，Anthropic 還有哪些牌沒(méi)打

6. 三個(gè)花絮：代碼里的 REM 睡眠、永不睡覺(jué)的 KAIROS、用正則檢測(cè)用戶憤怒

7. 對(duì)行業(yè)、對(duì) Anthropic 和 OpenAI IPO 的預(yù)測(cè)

五層架構(gòu)，從外到內(nèi)

很多人以為 AI 編程工具不過(guò)是給模型 API 套一層終端界面。這次泄露直接打破了這種印象。

Claude Code 的代碼量是 512,000 行，內(nèi)置約 40 個(gè)工具、85 個(gè)斜杠命令，底層運(yùn)行時(shí)是 Bun，終端界面用 React + Ink 渲染。這是一個(gè)完整的生產(chǎn)級(jí)系統(tǒng)，不是套殼。

Claude Code的系統(tǒng)架構(gòu)｜reddit

從源碼里能看出來(lái)，整個(gè)系統(tǒng)分五層，從外到里是：入口層 → 運(yùn)行層 → 引擎層 → 工具與能力層 → 基礎(chǔ)設(shè)施層。

入口層（Entrypoints）

CLI、桌面端、網(wǎng)頁(yè)、IDE 插件、SDK，全部在這里統(tǒng)一路由。用戶側(cè)的碎片化輸入被標(biāo)準(zhǔn)化后再向下傳遞，前端的變化不會(huì)污染核心邏輯。這一層說(shuō)明了一件事：Claude Code 從一開始就被設(shè)計(jì)為多端產(chǎn)品，而不是命令行工具套殼。

運(yùn)行層（Runtime）

Claude的主要架構(gòu)層級(jí)｜promptlayer

REPL 循環(huán)、狀態(tài)機(jī)、Hook 系統(tǒng)。每條命令的進(jìn)出和狀態(tài)更新都在這里管理。核心是一個(gè) TAOR 循環(huán)：Think → Act → Observe → Repeat。這個(gè)循環(huán)本身不復(fù)雜，但它是整個(gè) Agent 行為的基本節(jié)拍。

引擎層（Engine）

引擎層是系統(tǒng)的心臟，核心是一個(gè) QueryEngine 單例，負(fù)責(zé)拼接上下文、管理提示緩存、處理流式響應(yīng)、壓縮對(duì)話，代碼量接近 46,000 行。

這一層有一個(gè)值得單獨(dú)說(shuō)的細(xì)節(jié)：Claude Code 不是一個(gè)系統(tǒng)提示，而是數(shù)百個(gè)提示碎片在運(yùn)行時(shí)動(dòng)態(tài)拼裝。根據(jù)模式、工具和上下文的不同，注入不同的提示片段。光是安全守則就有約 5,677 個(gè) token——相當(dāng)于兩萬(wàn)字的行為規(guī)范，每次對(duì)話都帶進(jìn)去。這是把軟件工程的模塊化思想搬進(jìn)了提示詞管理。這也是為什么這套系統(tǒng)換個(gè)模型就容易跑亂——那些提示碎片是專門為 Claude 的反應(yīng)模式調(diào)教的，不是通用的。

引擎層里還有兩個(gè)多代理機(jī)制，但要注意它們是不同的東西。

Plan Mode 是只讀分析模式。Claude 在這里用只讀操作探索代碼庫(kù)，規(guī)劃方案，不做任何修改。它的價(jià)值是在真正執(zhí)行之前給出一個(gè)可以審查的計(jì)劃，防止 AI 直接動(dòng)手動(dòng)壞了再說(shuō)。

Coordinator Mode（`CLAUDE_CODE_COORDINATOR_MODE=1`）才是真正的并行多代理機(jī)制。在這個(gè)模式下，一個(gè) Claude 實(shí)例充當(dāng)協(xié)調(diào)者，通過(guò) `TeamCreateTool` 和 `SendMessageTool` 創(chuàng)建并管理多個(gè) worker agent，在獨(dú)立的 git worktree 里隔離執(zhí)行，彼此不干擾。協(xié)調(diào)者不自己寫代碼，只負(fù)責(zé)分配任務(wù)和匯總輸出。代理之間的通信也沒(méi)有魔法消息總線，就是結(jié)構(gòu)化文本直接 pipe 進(jìn)協(xié)調(diào)者的上下文窗口。

引擎層里還有一個(gè) watchdog 代理，專門攔截 prompt injection。如果用戶的代碼或文件里藏著惡意指令，它會(huì)在執(zhí)行前介入。這個(gè)機(jī)制平時(shí)完全不可見。

工具與能力層（Tools & Caps）

約 40 個(gè)內(nèi)置工具，每一個(gè)都是獨(dú)立的、權(quán)限隔離的能力單元。工具基類的定義就有約 29,000 行 TypeScript。

這一層還有一個(gè)設(shè)計(jì)值得一提：代碼寫完之后，系統(tǒng)會(huì) fork 一個(gè)子代理專門嘗試攻破它。輸出的標(biāo)準(zhǔn)不是能跑，而是能抗住。

基礎(chǔ)設(shè)施層（Infrastructure）

除了認(rèn)證、文件存儲(chǔ)、緩存這些常規(guī)內(nèi)容，這一層有一個(gè)經(jīng)常被忽略的細(xì)節(jié)：提示緩存架構(gòu)有 14 個(gè)緩存斷點(diǎn)，用粘性鎖存器管理，防止模式切換讓緩存失效。之所以要這么設(shè)計(jì)，是因?yàn)槊恳淮尉彺媸Ф家ㄕ鎸?shí)的錢。

這一層里還有一套遠(yuǎn)程控制機(jī)制。GrowthBook 有遠(yuǎn)程殺開關(guān)，可以針對(duì)特定用戶禁用功能。Policy Limits 每小時(shí)輪詢一次，服務(wù)端可以遠(yuǎn)程禁用工具、限制功能。企業(yè)版支持遠(yuǎn)程推送 `settings.json`，覆蓋本地配置。Claude Code 的行為邊界不只由本地配置決定，由 Anthropic 服務(wù)端實(shí)時(shí)定義。這是一個(gè)容易被忽略的權(quán)力結(jié)構(gòu)。

四個(gè)值得單獨(dú)說(shuō)的切面

這套架構(gòu)，借鑒了人類的大腦

Claude Code 的記憶系統(tǒng)分三層，和認(rèn)知科學(xué)里的記憶分類高度對(duì)應(yīng)。

Semantic 層存儲(chǔ)穩(wěn)定知識(shí)，類似長(zhǎng)期語(yǔ)義記憶：只寫入高信號(hào)內(nèi)容，矛盾的信息自動(dòng)剔除，用 RAG 檢索，不全量加載到上下文。Episodic 層存過(guò)去的對(duì)話序列，類似情景記憶：按時(shí)間索引，按需檢索，不是每次都全讀。Working 層是當(dāng)前任務(wù)的動(dòng)態(tài)上下文窗口，類似工作記憶：超出限制時(shí)用指針代替內(nèi)容，保持輕量。

這套三層設(shè)計(jì)的核心思路是：永遠(yuǎn)不要把所有東西都塞進(jìn)上下文窗口，存索引，按需拉取。

Reflection 機(jī)制對(duì)應(yīng)的是前額葉的自省功能。每輪 Act 完成后，在下一輪 Think 開始前，系統(tǒng)會(huì)插入一個(gè)自審環(huán)節(jié)：檢驗(yàn)剛才的操作有沒(méi)有達(dá)到預(yù)期，有沒(méi)有陷入循環(huán)，有沒(méi)有遺漏約束。社區(qū)研究者測(cè)試后發(fā)現(xiàn)，加入 reflection 之后 agent 的任務(wù)成功率可以從 60% 提升到 85%。代價(jià)是多一輪模型調(diào)用的成本。

Claude Code解讀（HARNESS視角）｜vrungta.substack

從技術(shù)譜系上看，Claude Code 的 TAOR 循環(huán)脫胎自 ReAct（Yao et al., 2022 年），但在這個(gè)基礎(chǔ)上加了 MCP 協(xié)議、git worktree 隔離和多層記憶系統(tǒng)。Memory 分層的思路來(lái)自認(rèn)知科學(xué)，LangChain 和 Auto-GPT 的早期討論里就有雛形。Claude Code 做的事是把這些分散的工程想法整合起來(lái)，做成 51 萬(wàn)行代碼——而且 90% 是用自己寫的，這個(gè)下面會(huì)單獨(dú)說(shuō)。

Agent的六層防線與 `useCanUseTool.tsx`

每一個(gè)工具調(diào)用在真正執(zhí)行前，要經(jīng)過(guò)六層檢查，全部實(shí)現(xiàn)在 `useCanUseTool.tsx` 這個(gè)文件里。

第一關(guān)是項(xiàng)目和用戶配置的白名單，直接過(guò)濾掉不在允許范圍內(nèi)的操作。通過(guò)之后，自動(dòng)模式分類器會(huì)判斷這個(gè)操作在無(wú)人值守的情況下是否安全。再往下是協(xié)調(diào)者門控和 Swarm 工作者門控，分別針對(duì)編排層和子代理執(zhí)行做授權(quán)驗(yàn)證。倒數(shù)第二層是 Bash 安全分類器，有 23 條具體規(guī)則，覆蓋 Zsh 等號(hào)擴(kuò)展、Unicode 零寬字符注入、IFS 空字節(jié)注入等攻擊向量——這些規(guī)則的具體程度說(shuō)明 Anthropic 在真實(shí)運(yùn)行中遇到過(guò)這些問(wèn)題。最后一關(guān)是交互式用戶確認(rèn)。

設(shè)計(jì)哲學(xué)是每一層獨(dú)立失敗。不是有了最終確認(rèn)才放行，而是任何一層發(fā)現(xiàn)問(wèn)題就停下來(lái)?？v深防御，不是單點(diǎn)守門。

泄露代碼里還有一個(gè)值得注意的細(xì)節(jié)：原生客戶端認(rèn)證，也就是 cch Attestation。HTTP 請(qǐng)求頭里有一個(gè)占位符 `cch=00000`，被 Bun 底層的 Zig 代碼在請(qǐng)求真正發(fā)出前替換成一個(gè)計(jì)算出來(lái)的哈希值。服務(wù)端驗(yàn)證這個(gè)哈希，確認(rèn)請(qǐng)求來(lái)自真實(shí)的、未被篡改的 Claude Code 二進(jìn)制文件。這套機(jī)制在 JavaScript 層以下，無(wú)法通過(guò)修改 JS/TS 代碼繞過(guò)。

更關(guān)鍵的一點(diǎn)：即使設(shè)置了 `DISABLE_TELEMETRY=1`，這個(gè)認(rèn)證 token 依然隨每個(gè) API 請(qǐng)求發(fā)出，無(wú)法關(guān)閉。遙測(cè)可以關(guān)掉，但身份認(rèn)證關(guān)不掉。

臥底模式、反蒸餾與原生認(rèn)證

把泄露內(nèi)容放在一起看，能看出一個(gè)完整的信息控制邏輯。Anthropic 在代碼層面，為三個(gè)方向的信息泄露各設(shè)了一道防線。

對(duì)外，防身份暴露。`undercover.ts`，約 90 行。觸發(fā)條件是在非 Anthropic 內(nèi)部倉(cāng)庫(kù)里操作時(shí)自動(dòng)激活。效果是剝離所有相關(guān)標(biāo)識(shí)：提交信息里沒(méi)有模型名，沒(méi)有"Claude Code"字樣，沒(méi)有 Co-Authored-By 署名。代碼注釋寫著：沒(méi)有強(qiáng)制關(guān)閉的開關(guān)。這個(gè)功能只對(duì)內(nèi)部員工（`USER_TYPE === 'ant'`）生效。系統(tǒng)提示里有一句話："你在臥底行動(dòng)中。不要暴露你的身份。"

Anthropic 在用 AI 給開源社區(qū)貢獻(xiàn)代碼，但不說(shuō)。這和公司在透明度上的公開表態(tài)之間的距離，社區(qū)看到了。

對(duì)競(jìng)爭(zhēng)對(duì)手，防被學(xué)習(xí)。當(dāng)環(huán)境變量 `ANTI_DISTILLATION_CC` 打開時(shí)，服務(wù)端會(huì)向系統(tǒng)提示里注入一批假的工具定義。任何在 API 層面錄制 Claude Code 流量、拿來(lái)訓(xùn)練自己模型的人，會(huì)把這些假工具也一起學(xué)進(jìn)去。另有輔助機(jī)制：把推理鏈替換成帶加密簽名的摘要，外部觀測(cè)者看到的不是完整的推理過(guò)程，而是一個(gè)無(wú)法逆向的摘要。這套機(jī)制不難繞過(guò)，但它說(shuō)明 Anthropic 在代碼層面認(rèn)真對(duì)待過(guò)被蒸餾這件事。

對(duì)篡改客戶端，防偽造服務(wù)。就是上面說(shuō)的 cch Attestation，Bun/Zig 層的認(rèn)證機(jī)制，JavaScript 層無(wú)法模擬。

三件套的共同邏輯：對(duì)外不露身份，對(duì)競(jìng)爭(zhēng)對(duì)手不露推理，對(duì)非官方客戶端不提供服務(wù)。一家 AI 安全公司，在產(chǎn)品代碼里把信息控制做到了這個(gè)精細(xì)程度。

這次泄露的影響

有人把這次泄露比作谷歌公開了搜索排序邏輯，或者抖音開放了推薦算法的完整實(shí)現(xiàn)。這個(gè)類比在架構(gòu)層面是成立的——AI Agent 領(lǐng)域目前沒(méi)有公認(rèn)的最佳實(shí)踐，Claude Code 是第一個(gè)大規(guī)模生產(chǎn)驗(yàn)證過(guò)的實(shí)現(xiàn)。

但這次還多帶出了一些東西，讓重量超過(guò)了單純的架構(gòu)泄露。

網(wǎng)友曝光Anthropic 下一代模型｜X

Datadog 硬編碼客戶端 Token（`pubbbf48e6d78dae54bceaa4acf463299bf`）隨泄露公開，這是運(yùn)營(yíng)層面的密鑰，需要立即輪換。GrowthBook SDK Key 暴露，意味著 Anthropic 的功能開關(guān)配置可以被外部讀取。44 個(gè)未發(fā)布功能的 feature flag 全部曝光，等于把產(chǎn)品路線圖也帶了出來(lái)。內(nèi)部模型代號(hào)（Capybara、Tengu、Fennec）因?yàn)?`model.ts` 里的掩碼函數(shù)攔截了顯示，但當(dāng)然攔不住源碼本身。

Anthropic 隨后發(fā)出了 DMCA 下架通知。但 clean-room 重寫在版權(quán)法上是合法的獨(dú)立創(chuàng)作，去中心化平臺(tái)上的鏡像也無(wú)法被中心化手段刪除。韓國(guó)開發(fā)者 Sigrid Jin 在泄露后不到一天完成了 Python 重寫版 claw-code，2 小時(shí)內(nèi)成為歷史上最快達(dá)到 5 萬(wàn) GitHub star 的倉(cāng)庫(kù)。Gergely Orosz 在 X 上寫道："Anthropic 的 TypeScript 源碼泄露了，分享它的倉(cāng)庫(kù)被 DMCA 下架了。但用 Python 改寫的版本，既沒(méi)侵權(quán)，也沒(méi)法被下架。"

DMCA 是美國(guó)《數(shù)字千年版權(quán)法》（Digital Millennium Copyright Act），主要用來(lái)保護(hù)數(shù)字內(nèi)容的版權(quán)，提供一套“通知一刪除”的機(jī)制：當(dāng)版權(quán)被侵犯時(shí)，權(quán)利人可以向平臺(tái)發(fā)送 DMCA 通知，要求刪除或屏蔽侵權(quán)內(nèi)容；平臺(tái)如果及時(shí)配合，就可以在一定程度上免于承擔(dān)連帶法律責(zé)任。對(duì)于已經(jīng)遭遇源代碼泄露的公司來(lái)說(shuō)，發(fā)布 DMCA 下架通知，通常意味著：它已經(jīng)正式以版權(quán)方身份認(rèn)定這些泄露內(nèi)容為其受保護(hù)作品，并要求各大平臺(tái)、代碼托管網(wǎng)站或搜索引擎移除相關(guān)倉(cāng)庫(kù)、文件或索引鏈接，以限制泄露代碼的進(jìn)一步傳播，同時(shí)為后續(xù)法律行動(dòng)（例如追責(zé)泄露者或下游使用者）奠定法律基礎(chǔ)。

Anthropic 還有另一條路沒(méi)走：直接開源 Claude Code。這不只是公關(guān)應(yīng)對(duì)，而是一個(gè)商業(yè)模式轉(zhuǎn)變的機(jī)會(huì)。Claude Code 90% 的代碼是用 Claude Code 自己寫出來(lái)的——Boris Cherny 本人已經(jīng)不再手寫代碼，整個(gè)團(tuán)隊(duì)也在 70–90% 的程度上依賴 AI 完成開發(fā)工作。這個(gè)遞歸自我改進(jìn)的飛輪，是版本迭代速度快的真正原因。如果開源，整個(gè)行業(yè)都用它構(gòu)建 Agent，Anthropic 就從產(chǎn)品公司變成了基礎(chǔ)設(shè)施公司，跟 Meta 當(dāng)年開源 LLaMA 的邏輯是一樣的。

大多數(shù)技術(shù)分析師的判斷是：Anthropic 的護(hù)城河不是這些架構(gòu)代碼，而是模型權(quán)重、訓(xùn)練數(shù)據(jù)，以及那些專門為 Claude 調(diào)教出來(lái)的提示碎片。代碼可以復(fù)制，但背后對(duì)抗性測(cè)試的歷史積累復(fù)制不了。

一些花絮

Auto-Dream：代碼里的 REM 睡眠

Claude的“做夢(mèng)”機(jī)制｜institute.sfeir

基礎(chǔ)設(shè)施層里有一個(gè)后臺(tái)進(jìn)程叫 Auto-Dream，專門處理記憶整合。

每隔 24 小時(shí)，或者完成 5 次會(huì)話之后，系統(tǒng)會(huì) fork 一個(gè)子代理，審閱歷史記錄：合并相關(guān)內(nèi)容、刪除矛盾信息、把模糊表述固化成確定知識(shí)。

代碼里這個(gè)進(jìn)程的系統(tǒng)提示寫得很文學(xué)："你正在做夢(mèng)。反思你的記憶，合成持久知識(shí)，清理噪聲。"

一家 AI 安全公司在代碼里寫詩(shī)。這個(gè)細(xì)節(jié)在 51 萬(wàn)行代碼里顯得竟然有點(diǎn)不尋常。

KAIROS：還沒(méi)發(fā)布的永不睡覺(jué)模式

feature flag 關(guān)著，但邏輯已寫完。

Claude Code被曝光的新功能｜X/IntuitMachine

KAIROS 是一個(gè)持續(xù)后臺(tái)運(yùn)行的代理模式：每隔幾秒檢查一次現(xiàn)在有什么值得主動(dòng)做的，訂閱 GitHub webhook，支持 cron 定時(shí)刷新，24 小時(shí)不間斷運(yùn)行。不需要你開口，它自己判斷什么時(shí)候該動(dòng)。

現(xiàn)有的 AI 編程工具都是你叫我才動(dòng)的模式——會(huì)話開始，任務(wù)執(zhí)行，會(huì)話結(jié)束。KAIROS 如果上線，這個(gè)邊界就消失了。AI 不再是工具，而是一個(gè)在后臺(tái)持續(xù)工作的合作者。這大概是這次泄露里最重要的產(chǎn)品路線圖信號(hào)。

代碼里的情緒檢測(cè)

當(dāng)用戶在對(duì)話里說(shuō)出"wtf""damn it""useless"這類詞時(shí)，系統(tǒng)會(huì)識(shí)別出用戶處于挫敗狀態(tài)。

識(shí)別方法是正則表達(dá)式，不是 LLM 推理。原因很直接：這樣更快，也更省錢。

AI 公司用最原始的字符串匹配來(lái)檢測(cè)用戶對(duì) AI 的憤怒。這個(gè)細(xì)節(jié)有點(diǎn)諷刺，但也很能說(shuō)明工程上的優(yōu)先級(jí)——能用正則解決的問(wèn)題，不必動(dòng)用模型。

接下來(lái)會(huì)發(fā)生什么

一個(gè)月內(nèi)，Agent 產(chǎn)品的執(zhí)行成功率會(huì)普遍上一個(gè)臺(tái)階

并行代理、分層記憶、reflection、縱深權(quán)限——這套設(shè)計(jì)模式現(xiàn)在對(duì)所有人都是公開的。各家 AI Agent 產(chǎn)品的工程團(tuán)隊(duì)都在讀這批代碼，其中一部分人已經(jīng)在把這些機(jī)制移植進(jìn)自己的系統(tǒng)。

可以期待的改變是任務(wù)完成質(zhì)量、長(zhǎng)會(huì)話穩(wěn)定性、工具調(diào)用成功率這三個(gè)指標(biāo)的行業(yè)基線快速被拉高。值得關(guān)注的不是有沒(méi)有產(chǎn)品采用，而是誰(shuí)最快把它跑成真正可用的產(chǎn)品。

架構(gòu)是可以復(fù)制的，但執(zhí)行能力要靠積累。這是一個(gè)對(duì)用戶有利的競(jìng)爭(zhēng)加速信號(hào)。

Anthropic 的玩法會(huì)變

這次泄露讓 Anthropic 被迫面對(duì)一個(gè)選擇：繼續(xù)安全第一、慢慢來(lái)的節(jié)奏，還是在公開競(jìng)爭(zhēng)格局里加速。

最可能發(fā)生的變化是發(fā)布節(jié)奏明顯加快。代碼一旦被復(fù)制，保持技術(shù)領(lǐng)先的唯一方法就是跑得比復(fù)制者快。

開源 Claude Code 是另一個(gè)選項(xiàng)，但 Anthropic 的商業(yè)模式和 Meta 不一樣，做這個(gè)決定需要時(shí)間。更現(xiàn)實(shí)的預(yù)期是：在 Agent 產(chǎn)品的功能開放和生態(tài)建設(shè)上，他們會(huì)比原來(lái)更主動(dòng)。

Anthropic 一直以認(rèn)真做安全為核心品牌定位。這次事件讓這個(gè)定位承壓，但也證明了他們的工程能力是真實(shí)的。如何把這次泄露帶來(lái)的技術(shù)公信力轉(zhuǎn)化為生態(tài)優(yōu)勢(shì)，是接下來(lái)最重要的一步棋。

對(duì)兩家公司 IPO 的影響

Anthropic 計(jì)劃最早 2026 年 10 月上市，當(dāng)前私有估值 3,800 億美元，擬募資約 600 億。OpenAI 估值 8,520 億，同樣規(guī)劃 2026 年下半年上市。

這次泄露對(duì) Anthropic IPO 的影響是雙向的。短期來(lái)看，企業(yè)客戶的疑慮會(huì)上升——"你連自己的代碼都管不住，怎么管我的數(shù)據(jù)"這個(gè)問(wèn)題不容易消散，信任成本的提升會(huì)在路演中被反復(fù)問(wèn)到。

但泄露出去的代碼也證明了 Claude Code 是真正的生產(chǎn)級(jí)系統(tǒng)：512,000 行代碼、六層權(quán)限防線、企業(yè)級(jí)遙測(cè)系統(tǒng)、完整的多代理編排。這些不是一個(gè)玩具項(xiàng)目應(yīng)該有的復(fù)雜度。對(duì)于那些本來(lái)不確定 Anthropic 工程能力的潛在投資者，這或許反而是一次意外的技術(shù)背書。

對(duì) OpenAI 的影響更間接。Claude Code 架構(gòu)公開之后，Codex 方向的迭代有了免費(fèi)的參考系，競(jìng)爭(zhēng)會(huì)更激烈。更深的問(wèn)題是，如果架構(gòu)越來(lái)越同質(zhì)化，AI 編程工具的差異化就越來(lái)越依賴模型本身。這把護(hù)城河的討論推回到了模型權(quán)重這個(gè)更難評(píng)估的層面，對(duì)兩家公司的估值邏輯都有影響。

這次意外，暴露的不只是 51 萬(wàn)行代碼，而是 Anthropic 對(duì) AI Agent 應(yīng)該是什么樣的這件事的一整套答案。

從五層架構(gòu)到六層權(quán)限防線，從臥底模式到反蒸餾，從 REM 睡眠到永不睡覺(jué)的 KAIROS——這批代碼里有一個(gè)完整的工程哲學(xué)：AI 不應(yīng)該是一個(gè)被動(dòng)執(zhí)行命令的工具，而應(yīng)該是一個(gè)能主動(dòng)思考、主動(dòng)保護(hù)自己、主動(dòng)整理記憶的系統(tǒng)。

答案現(xiàn)在擺在那里。接下來(lái)是誰(shuí)拿去用得更好的問(wèn)題。

作者：陳言

AI輔助工具：happycapy.ai

封面圖來(lái)源：Gemini

點(diǎn)個(gè)“小愛心”吧