這項(xiàng)由阿聯(lián)酋穆罕默德·本·扎耶德人工智能大學(xué)（Mohamed bin Zayed University of Artificial Intelligence）VILA實(shí)驗(yàn)室主導(dǎo)的研究，于2026年4月以預(yù)印本形式發(fā)布，論文編號(hào)為arXiv:2604.14228v1，有興趣深入了解的讀者可通過(guò)該編號(hào)在arXiv平臺(tái)查詢完整論文。

你有沒(méi)有想過(guò)，當(dāng)你把一個(gè)任務(wù)交給AI，它不只是給你一段文字回復(fù)，而是真的打開(kāi)了你的電腦文件，跑了幾條命令，修改了幾行代碼，然后把結(jié)果交到你手上——這背后究竟發(fā)生了什么？這篇研究正是試圖打開(kāi)這個(gè)"黑箱"，把一款叫做Claude Code的AI編程工具的完整內(nèi)部構(gòu)造，清清楚楚地?cái)[在桌面上。

要理解Claude Code是什么，不妨把它想象成一個(gè)受過(guò)嚴(yán)格訓(xùn)練的智能助理，而不是一個(gè)普通的聊天機(jī)器人。普通聊天機(jī)器人只會(huì)"說(shuō)"，而Claude Code會(huì)"做"——它能在你的電腦上運(yùn)行命令、讀寫(xiě)文件、連接外部服務(wù)，甚至可以把一個(gè)大任務(wù)拆分給多個(gè)"下屬"去分頭完成。研究團(tuán)隊(duì)通過(guò)分析Claude Code公開(kāi)發(fā)布的TypeScript源代碼（版本v2.1.88），系統(tǒng)地還原了這套工具從零到一的設(shè)計(jì)思路，并將其與另一個(gè)獨(dú)立開(kāi)源AI系統(tǒng)OpenClaw進(jìn)行了橫向?qū)Ρ取＿@不是一篇簡(jiǎn)單的功能評(píng)測(cè)，而是一次深入骨髓的架構(gòu)解剖，試圖回答一個(gè)根本性問(wèn)題：當(dāng)AI真正開(kāi)始"動(dòng)手干活"時(shí)，它的大腦和骨骼是怎么搭建的？

一、從"聊天機(jī)器人"到"動(dòng)手助理"：Claude Code究竟是什么？

要理解這項(xiàng)研究的意義，得先明白AI編程工具的進(jìn)化史。最早的AI編程助手，比如GitHub Copilot，就像一個(gè)坐在你旁邊的打字員，你寫(xiě)到一半，它幫你補(bǔ)全剩下的代碼，本質(zhì)上是"猜你下一步要寫(xiě)什么"。后來(lái)出現(xiàn)了Cursor這樣的工具，開(kāi)始能跟你對(duì)話，討論代碼問(wèn)題，在多個(gè)文件之間聯(lián)動(dòng)修改。而Claude Code走得更遠(yuǎn)——它已經(jīng)是一個(gè)會(huì)自主規(guī)劃、會(huì)執(zhí)行多步驟任務(wù)、會(huì)迭代修正、會(huì)調(diào)用外部工具的完整代理（Agent）系統(tǒng)。

用一個(gè)更貼近生活的比喻：如果說(shuō)Copilot是一個(gè)幫你寫(xiě)購(gòu)物清單的助理，Cursor是一個(gè)能討論菜譜的廚房顧問(wèn)，那么Claude Code就是那個(gè)你完全可以把鑰匙交給他、讓他去超市采購(gòu)、回來(lái)下廚、然后把飯端到桌上的全能管家。這種跨越不僅僅是功能量的疊加，而是系統(tǒng)架構(gòu)上的根本性變化。

研究團(tuán)隊(duì)來(lái)自阿聯(lián)酋穆罕默德·本·扎耶德人工智能大學(xué)，他們注意到一個(gè)有趣的現(xiàn)象：Anthropic公司（Claude的開(kāi)發(fā)商）雖然公開(kāi)了用戶使用文檔，卻從未發(fā)布過(guò)這套系統(tǒng)的詳細(xì)架構(gòu)說(shuō)明。于是他們做了一件相當(dāng)有價(jià)值的事——直接讀源代碼，像讀一本建筑藍(lán)圖一樣，把整棟大樓的結(jié)構(gòu)圖畫(huà)出來(lái)。值得一提的是，Anthropic內(nèi)部的一項(xiàng)調(diào)查發(fā)現(xiàn)，在132名工程師和研究員中，約27%使用Claude Code完成的工作是他們?cè)靖静粫?huì)去嘗試的任務(wù)。這個(gè)數(shù)字意味著，Claude Code不只是讓人干活更快，而是讓人敢于承擔(dān)原本不敢碰的挑戰(zhàn)。

二、這套系統(tǒng)的靈魂：五個(gè)核心價(jià)值觀

研究團(tuán)隊(duì)做的第一件重要工作，是從整個(gè)代碼庫(kù)中提煉出驅(qū)動(dòng)系統(tǒng)設(shè)計(jì)的底層哲學(xué)。他們發(fā)現(xiàn)，Claude Code的每一個(gè)技術(shù)決定背后，都能追溯到五個(gè)核心價(jià)值觀，就像一棟建筑的地基，決定了上面每一面墻、每一根柱子的位置。

第一個(gè)價(jià)值觀是"人類(lèi)決策權(quán)至上"。系統(tǒng)被設(shè)計(jì)成這樣：無(wú)論AI多么聰明，人類(lèi)始終保有最終的控制權(quán)。Claude Code內(nèi)部構(gòu)建了一個(gè)"權(quán)威層級(jí)"——Anthropic公司位于最高層，然后是使用這套工具的運(yùn)營(yíng)商（比如企業(yè)），最后是終端用戶。這個(gè)層級(jí)決定了誰(shuí)有權(quán)限做什么決定。更有趣的是，Anthropic發(fā)現(xiàn)用戶會(huì)對(duì)93%的權(quán)限請(qǐng)求直接點(diǎn)擊"同意"，這說(shuō)明人們很快就產(chǎn)生了"審批疲勞"——不管AI要做什么都習(xí)慣性地放行。面對(duì)這個(gè)發(fā)現(xiàn)，設(shè)計(jì)者的回應(yīng)不是增加更多警告彈窗，而是重新設(shè)計(jì)了安全邊界：讓AI在一個(gè)明確劃定的沙盒范圍內(nèi)自由行動(dòng)，而不是在每一步都來(lái)打擾人類(lèi)。

第二個(gè)價(jià)值觀是"安全、安保與隱私"。這與第一個(gè)價(jià)值觀有微妙區(qū)別——前者關(guān)注人的"選擇權(quán)"，后者關(guān)注系統(tǒng)的"保護(hù)義務(wù)"。即便用戶粗心大意、沒(méi)有認(rèn)真審查，系統(tǒng)也必須保護(hù)用戶的代碼、數(shù)據(jù)和基礎(chǔ)設(shè)施不受損害。研究團(tuán)隊(duì)發(fā)現(xiàn)，系統(tǒng)專(zhuān)門(mén)針對(duì)四種風(fēng)險(xiǎn)設(shè)計(jì)了防御：過(guò)于激進(jìn)的AI行為、誠(chéng)實(shí)但錯(cuò)誤的操作、提示詞注入攻擊（有人在文件里藏了惡意指令欺騙AI），以及模型價(jià)值觀偏差。

第三個(gè)價(jià)值觀是"可靠執(zhí)行"。AI必須真正做到用戶想要的事，而不只是做了"一些事"。這個(gè)價(jià)值觀不僅關(guān)乎單次任務(wù)的準(zhǔn)確性，還關(guān)乎跨越很長(zhǎng)時(shí)間的穩(wěn)定性——當(dāng)任務(wù)持續(xù)數(shù)小時(shí)、跨越多個(gè)對(duì)話窗口、涉及多個(gè)子任務(wù)時(shí)，AI是否還能保持連貫和正確？

第四個(gè)價(jià)值觀是"能力放大"。系統(tǒng)必須實(shí)質(zhì)性地提升人類(lèi)能完成的事情的邊界，而不只是把原來(lái)的工作變得更快。正如前面提到的那27%，最有價(jià)值的地方在于解鎖了原本不敢嘗試的任務(wù)。Anthropic的設(shè)計(jì)者把這個(gè)系統(tǒng)描述為"Unix工具"而非"傳統(tǒng)產(chǎn)品"——它應(yīng)該是小而有用、易于理解、可以擴(kuò)展的基礎(chǔ)構(gòu)件。

第五個(gè)價(jià)值觀是"情境適應(yīng)性"。系統(tǒng)要能適應(yīng)每個(gè)用戶的特定項(xiàng)目、工具、習(xí)慣和技能水平，而且這種適應(yīng)性應(yīng)該隨時(shí)間不斷改善。數(shù)據(jù)顯示，用戶的"自動(dòng)批準(zhǔn)率"（讓AI不用請(qǐng)示直接做某件事）從最初的20%，經(jīng)過(guò)750次會(huì)話后上升到40%以上。這說(shuō)明人與AI的關(guān)系是一種隨時(shí)間共同建立起來(lái)的信任軌跡，而不是一個(gè)固定不變的狀態(tài)。

在這五個(gè)價(jià)值觀之外，研究團(tuán)隊(duì)還提出了第六個(gè)"評(píng)估視角"：長(zhǎng)期人類(lèi)能力的保護(hù)。這個(gè)視角不是系統(tǒng)的設(shè)計(jì)目標(biāo)，但它是一個(gè)值得深思的擔(dān)憂——當(dāng)AI把太多工作包攬了，人類(lèi)是否在悄悄失去相關(guān)技能？這個(gè)問(wèn)題貫穿全文，在最后的討論中變得尤為重要。

三、十三條設(shè)計(jì)原則：從哲學(xué)到工程的橋梁

有了價(jià)值觀，還需要一套可以落地的規(guī)則。研究團(tuán)隊(duì)整理出了十三條設(shè)計(jì)原則，每一條都是對(duì)一個(gè)具體工程問(wèn)題的明確回答。

其中最重要的幾條值得單獨(dú)說(shuō)說(shuō)。"默認(rèn)拒絕、人工升級(jí)"原則規(guī)定：當(dāng)系統(tǒng)遇到一個(gè)沒(méi)有明確授權(quán)的操作時(shí)，默認(rèn)是拒絕，而不是允許。只有用戶明確開(kāi)了綠燈，AI才能執(zhí)行。這就像一個(gè)保安，默認(rèn)不讓任何人進(jìn)門(mén)，除非名單上有名字。與此對(duì)應(yīng)的是"縱深防御"原則——安全不依賴單一機(jī)制，而是多層疊加，任何一層失效都有其他層兜底，就像銀行保險(xiǎn)庫(kù)既有密碼鎖又有警衛(wèi)又有監(jiān)控。

"上下文是稀缺資源"原則則承認(rèn)了一個(gè)現(xiàn)實(shí)約束：AI每次處理任務(wù)時(shí)能"記住"的內(nèi)容是有限的（就像短期記憶），所以系統(tǒng)必須精心管理哪些信息塞進(jìn)這個(gè)有限的空間里。這催生了一套復(fù)雜的"壓縮管道"，后面會(huì)詳細(xì)介紹。"僅追加的持久狀態(tài)"原則意味著系統(tǒng)對(duì)歷史記錄只能添加，不能修改或刪除——每一步操作都留有完整痕跡，方便事后審計(jì)。"可逆性加權(quán)風(fēng)險(xiǎn)評(píng)估"原則則是說(shuō)，對(duì)于那些可以輕松撤銷(xiāo)的操作（比如讀取文件），系統(tǒng)可以放寬審查；而對(duì)于難以逆轉(zhuǎn)的操作（比如刪除文件），則需要更嚴(yán)格的把關(guān)。

這些原則放在一起，形成了一個(gè)清晰的設(shè)計(jì)邏輯：最大化AI的行動(dòng)能力，同時(shí)最小化不可逆錯(cuò)誤的風(fēng)險(xiǎn)，并把人類(lèi)的審查成本控制在合理范圍內(nèi)。

四、系統(tǒng)的骨架：七個(gè)組件和五層結(jié)構(gòu)

讀懂了價(jià)值觀和原則，就可以看系統(tǒng)的實(shí)際構(gòu)造了。研究團(tuán)隊(duì)畫(huà)出了兩張圖——一張粗粒度的"七組件圖"，一張細(xì)粒度的"五層架構(gòu)圖"。

七組件模型就像一棟房子的平面圖，清楚地標(biāo)出了每個(gè)功能區(qū)域。用戶通過(guò)"界面層"與系統(tǒng)交互——無(wú)論是交互式命令行、無(wú)頭命令行、Agent SDK還是IDE集成，所有入口都匯聚到同一個(gè)核心：代理循環(huán)（Agent Loop）。代理循環(huán)是這棟房子的"大廳"，所有事情都從這里出發(fā)。它把任務(wù)傳給"權(quán)限系統(tǒng)"審批，審批通過(guò)后交給"工具集"執(zhí)行，工具集與"執(zhí)行環(huán)境"（文件系統(tǒng)、命令行、網(wǎng)絡(luò)）互動(dòng)，產(chǎn)生結(jié)果后反饋回循環(huán)。與此同時(shí)，"狀態(tài)與持久化"層負(fù)責(zé)把對(duì)話記錄存儲(chǔ)下來(lái)，支持?jǐn)帱c(diǎn)續(xù)傳和歷史回溯。

五層架構(gòu)圖則是把這棟房子的每面墻、每根管道都標(biāo)注出來(lái)。表面層（Surface Layer）是用戶看到的界面；核心層（Core Layer）是代理循環(huán)和壓縮管道；安全/行動(dòng)層（Safety/Action Layer）包含權(quán)限系統(tǒng)、鉤子管道、擴(kuò)展機(jī)制、工具集、沙盒和子代理派發(fā)；狀態(tài)層（State Layer）管理上下文裝配、運(yùn)行時(shí)狀態(tài)、會(huì)話持久化和記憶文件；后端層（Backend Layer）對(duì)接真實(shí)的執(zhí)行環(huán)境和外部資源。

特別有意思的一個(gè)發(fā)現(xiàn)是：整個(gè)代碼庫(kù)中，只有大約1.6%的代碼是"AI決策邏輯"，剩下98.4%全是"運(yùn)營(yíng)基礎(chǔ)設(shè)施"。這意味著系統(tǒng)的設(shè)計(jì)哲學(xué)是：不是用代碼去約束AI怎么思考，而是用代碼為AI創(chuàng)造一個(gè)良好的環(huán)境，讓它能在這個(gè)環(huán)境里自由地做出好決策。就像一個(gè)頂級(jí)廚師不需要有人站在旁邊告訴他每一個(gè)切菜的動(dòng)作，但廚房的刀具必須是鋒利的、食材必須是新鮮的、爐灶必須是可靠的。

五、心臟的跳動(dòng)：代理循環(huán)是怎么運(yùn)轉(zhuǎn)的

Claude Code的心臟是一個(gè)叫做`queryLoop()`的函數(shù)，它就是那個(gè)不斷跳動(dòng)的循環(huán)——問(wèn)模型、執(zhí)行工具、收結(jié)果、再問(wèn)模型，周而復(fù)始，直到任務(wù)完成或被叫停。

每一次循環(huán)的內(nèi)部流程是這樣的。首先，系統(tǒng)收集參數(shù)，包括系統(tǒng)提示、用戶上下文、權(quán)限回調(diào)函數(shù)等固定信息。然后初始化一個(gè)可變狀態(tài)對(duì)象，存放本輪的消息、工具上下文、壓縮跟蹤數(shù)據(jù)等。接著裝配上下文——把從上次壓縮邊界之后的消息取出來(lái)，確保舊的、已被壓縮的內(nèi)容以摘要形式出現(xiàn)，而不是原始的長(zhǎng)串對(duì)話。在正式調(diào)用模型之前，還要經(jīng)過(guò)五個(gè)"預(yù)模型處理器"的處理，依次減少上下文壓力（這五個(gè)處理器后面會(huì)專(zhuān)門(mén)講）。然后才是真正的模型調(diào)用，AI的回復(fù)以流式方式返回。如果回復(fù)中包含工具調(diào)用請(qǐng)求，就進(jìn)入權(quán)限審查流程；審查通過(guò)后執(zhí)行工具，把結(jié)果追加到對(duì)話中，再次循環(huán)。如果回復(fù)里只有文字沒(méi)有工具調(diào)用，那這一輪就結(jié)束了。

工具的執(zhí)行有一個(gè)聰明的設(shè)計(jì)：能并行的就并行，不能并行的就串行。讀取文件這類(lèi)"只讀"操作可以同時(shí)進(jìn)行多個(gè)，而修改文件、執(zhí)行命令這類(lèi)"寫(xiě)"操作則必須排隊(duì)等候。更有趣的是，系統(tǒng)使用了一個(gè)叫`StreamingToolExecutor`的機(jī)制，AI的回復(fù)還沒(méi)說(shuō)完，工具就已經(jīng)開(kāi)始執(zhí)行了，這大大減少了等待時(shí)間。同時(shí)還有一個(gè)"兄弟進(jìn)程中止控制器"——如果其中一個(gè)命令執(zhí)行出錯(cuò)，其他正在跑的命令會(huì)立刻被終止，而不是讓它們繼續(xù)跑到各自結(jié)束。

循環(huán)還內(nèi)置了多種容錯(cuò)機(jī)制。當(dāng)輸出超過(guò)了模型的最大長(zhǎng)度限制時(shí)，系統(tǒng)會(huì)自動(dòng)提升上限重試，最多三次。當(dāng)上下文快滿了，系統(tǒng)會(huì)臨時(shí)觸發(fā)一次緊急壓縮，釋放空間。如果API返回"提示詞太長(zhǎng)"的錯(cuò)誤，系統(tǒng)會(huì)先嘗試上下文折疊和緊急壓縮，實(shí)在不行才終止任務(wù)。這些容錯(cuò)機(jī)制讓整個(gè)系統(tǒng)表現(xiàn)得更像一個(gè)穩(wěn)健的生產(chǎn)級(jí)工具，而不是一個(gè)脆弱的實(shí)驗(yàn)項(xiàng)目。

六、門(mén)衛(wèi)與通行證：權(quán)限系統(tǒng)是怎么工作的

每當(dāng)AI想要執(zhí)行一個(gè)操作，都必須過(guò)權(quán)限系統(tǒng)這一關(guān)。這套系統(tǒng)的設(shè)計(jì)思路是"層層防守"，研究團(tuán)隊(duì)識(shí)別出了七道獨(dú)立的防線。

第一道是"工具預(yù)過(guò)濾"：在AI甚至還沒(méi)開(kāi)口請(qǐng)求之前，那些被明確禁止的工具就已經(jīng)從AI能看到的工具列表里消失了，根本不給它提出請(qǐng)求的機(jī)會(huì)。第二道是"拒絕優(yōu)先的規(guī)則評(píng)估"：系統(tǒng)維護(hù)著一套"允許/詢問(wèn)/拒絕"規(guī)則，而且拒絕規(guī)則的優(yōu)先級(jí)永遠(yuǎn)最高，無(wú)論允許規(guī)則有多具體，只要有一條拒絕規(guī)則匹配，這個(gè)操作就會(huì)被拒絕。第三道是"權(quán)限模式約束"：整個(gè)系統(tǒng)有七種權(quán)限模式，從最保守的"計(jì)劃模式"（什么都要人類(lèi)先批準(zhǔn)方案）到最寬松的"繞過(guò)權(quán)限模式"，構(gòu)成一個(gè)自主性由低到高的梯度。第四道是"自動(dòng)模式分類(lèi)器"：這是一個(gè)基于機(jī)器學(xué)習(xí)的系統(tǒng)，會(huì)把工具調(diào)用請(qǐng)求與當(dāng)前對(duì)話上下文對(duì)照分析，判斷這個(gè)請(qǐng)求是否安全，產(chǎn)出"允許/拒絕/需人工確認(rèn)"三種結(jié)論。第五道是"命令行沙盒"：即便操作通過(guò)了上面所有審查，在真正執(zhí)行時(shí)還會(huì)被放進(jìn)一個(gè)沙盒里，對(duì)文件系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)受到額外限制。第六道是"恢復(fù)時(shí)不還原權(quán)限"：當(dāng)用戶繼續(xù)上一個(gè)中斷的會(huì)話時(shí)，上次會(huì)話中積累的權(quán)限授予不會(huì)自動(dòng)帶入新會(huì)話，每次都重新開(kāi)始——這是一個(gè)刻意的安全保守選擇。第七道是"基于鉤子的攔截"：任何注冊(cè)了鉤子（Hook）的外部代碼，都可以在工具執(zhí)行前后介入，進(jìn)一步影響權(quán)限決定。

這七道防線并不是重復(fù)的，它們各自針對(duì)不同的威脅場(chǎng)景。研究團(tuán)隊(duì)還發(fā)現(xiàn)了一個(gè)有趣的安全漏洞模式：有兩個(gè)已披露的安全漏洞（CVE-2025-59536和CVE-2026-21852）共享同一個(gè)根本原因——在用戶看到信任確認(rèn)對(duì)話框之前，某些代碼已經(jīng)開(kāi)始執(zhí)行了，這創(chuàng)造了一個(gè)"預(yù)信任執(zhí)行窗口"，這段時(shí)間里權(quán)限系統(tǒng)尚未完全激活。這說(shuō)明權(quán)限系統(tǒng)描述的是空間上的檢查順序，但時(shí)間維度上的初始化順序同樣重要，而后者更難被設(shè)計(jì)者意識(shí)到。好消息是這些漏洞在被發(fā)現(xiàn)后數(shù)周內(nèi)都得到了修補(bǔ)。

七種權(quán)限模式中，有一個(gè)特別值得提一下：`auto`模式，它依賴機(jī)器學(xué)習(xí)分類(lèi)器自動(dòng)判斷請(qǐng)求是否安全，整個(gè)過(guò)程不需要打擾用戶。這個(gè)模式的設(shè)計(jì)動(dòng)機(jī)直接來(lái)自那個(gè)93%批準(zhǔn)率的數(shù)據(jù)——既然人類(lèi)幾乎不會(huì)認(rèn)真審查，不如讓機(jī)器來(lái)做這件事，同時(shí)通過(guò)沙盒等機(jī)制保底。

七、系統(tǒng)的工具箱：四種擴(kuò)展機(jī)制

Claude Code能做多少事，很大程度上取決于它有哪些"工具"可用。系統(tǒng)內(nèi)置了最多54種工具（19種無(wú)條件可用，35種根據(jù)配置或用戶類(lèi)型有條件啟用），但更重要的是，系統(tǒng)提供了四種讓外部能力接入進(jìn)來(lái)的機(jī)制，就像一個(gè)工具箱里的不同插孔。

第一種叫MCP服務(wù)器（Model Context Protocol，模型上下文協(xié)議）。這是主要的外部工具集成通道，可以理解為"遠(yuǎn)程工具墻"——AI可以連接到一臺(tái)外部服務(wù)器，使用服務(wù)器提供的各種工具，就像連接WiFi就能上網(wǎng)一樣。MCP客戶端支持超過(guò)8種傳輸協(xié)議，從標(biāo)準(zhǔn)輸入輸出到SSE、HTTP、WebSocket應(yīng)有盡有。這是上下文代價(jià)最高的一種擴(kuò)展方式，因?yàn)槊總€(gè)工具的定義描述都要占用寶貴的上下文空間。

第二種叫插件（Plugins）。插件是一種"打包發(fā)行"的機(jī)制，一個(gè)插件包可以同時(shí)包含命令、技能、鉤子、MCP服務(wù)器、LSP服務(wù)器、輸出樣式等多達(dá)十種組件類(lèi)型。開(kāi)發(fā)者可以把一套完整的工作流封裝成一個(gè)插件，用戶安裝后就能一鍵獲得所有功能。這是第三方擴(kuò)展的主要發(fā)行渠道。

第三種叫技能（Skills）。技能是通過(guò)一個(gè)叫SKILL.md的文件定義的，文件頭部有結(jié)構(gòu)化的參數(shù)，正文是AI接到這個(gè)技能時(shí)會(huì)被注入的指令說(shuō)明。技能的上下文代價(jià)很低，因?yàn)橹挥屑寄艿暮?jiǎn)短描述會(huì)一直留在上下文里，完整內(nèi)容只在調(diào)用時(shí)才被注入。技能可以定義自己允許使用的工具范圍、執(zhí)行上下文（獨(dú)立運(yùn)行還是在當(dāng)前對(duì)話中）、所需的努力等級(jí)等。

第四種叫鉤子（Hooks）。鉤子是代價(jià)最低的擴(kuò)展方式，因?yàn)樗J(rèn)不占任何上下文空間。系統(tǒng)定義了27種鉤子事件，覆蓋工具授權(quán)、會(huì)話生命周期、用戶交互、子代理協(xié)調(diào)、上下文管理、工作區(qū)事件和通知等各個(gè)方面。外部代碼可以在這些事件觸發(fā)時(shí)執(zhí)行，攔截、修改或記錄工具調(diào)用的輸入和輸出。比如，可以寫(xiě)一個(gè)鉤子，讓每次文件被修改時(shí)自動(dòng)發(fā)一條Slack消息；或者讓某類(lèi)敏感命令在執(zhí)行前先做一次合規(guī)檢查。

研究團(tuán)隊(duì)解釋了為什么要設(shè)計(jì)四種機(jī)制而不是一種統(tǒng)一的API：因?yàn)椴煌?lèi)型的擴(kuò)展對(duì)上下文的消耗完全不同。鉤子消耗零，技能消耗極少，插件消耗中等，MCP服務(wù)器消耗最多。如果強(qiáng)行統(tǒng)一成一種機(jī)制，要么代價(jià)高昂的功能會(huì)拖慢整個(gè)系統(tǒng)，要么代價(jià)低廉的功能會(huì)被過(guò)度限制。四種機(jī)制形成了一個(gè)代價(jià)梯度，讓開(kāi)發(fā)者根據(jù)實(shí)際需求選擇合適的接入方式。

八、有限的記憶，無(wú)限的任務(wù)：上下文管理與記憶系統(tǒng)

這一章要講的是Claude Code最精妙也最復(fù)雜的部分之一：如何在有限的"記憶容量"里完成不斷擴(kuò)大的任務(wù)。

AI的上下文窗口就像一個(gè)有限容量的工作臺(tái)——你只能在臺(tái)面上放那么多東西，放不下的就得想辦法處理。Claude Code的上下文窗口最大是200K到1M個(gè)詞元，聽(tīng)起來(lái)很大，但對(duì)于一個(gè)長(zhǎng)時(shí)間運(yùn)行、不斷積累工具調(diào)用結(jié)果的任務(wù)來(lái)說(shuō)，依然捉襟見(jiàn)肘。

研究團(tuán)隊(duì)發(fā)現(xiàn)，每次調(diào)用模型之前，系統(tǒng)都會(huì)經(jīng)歷一個(gè)五步壓縮流程，像一套逐步升級(jí)的過(guò)濾器，從最輕量到最重量依次出手。

第一步是"預(yù)算削減"——永遠(yuǎn)開(kāi)啟，對(duì)每條工具調(diào)用結(jié)果設(shè)置大小上限，超出部分用一個(gè)引用替代，就像把一篇長(zhǎng)文章?lián)Q成一個(gè)書(shū)簽。第二步是"裁剪壓縮"——去掉較老的歷史片段，騰出空間給近期內(nèi)容。第三步是"微型壓縮"——細(xì)粒度的緩存感知壓縮，會(huì)考慮API的提示詞緩存機(jī)制，避免因?yàn)閴嚎s操作讓之前緩存好的內(nèi)容失效，白費(fèi)成本。第四步是"上下文折疊"——這是最有意思的一種：它不真正修改存儲(chǔ)的歷史記錄，而是在讀取時(shí)做一個(gè)虛擬投影，讓模型看到的是折疊后的簡(jiǎn)化版，但原始完整歷史仍然保存完好，可以隨時(shí)恢復(fù)。第五步是"自動(dòng)壓縮"——終極手段，調(diào)用模型本身來(lái)生成整段對(duì)話的語(yǔ)義摘要，然后用這個(gè)摘要替換原始內(nèi)容。這一步只在前四步都不夠用時(shí)才觸發(fā)。

與此同時(shí)，系統(tǒng)還有一套"記憶層級(jí)"，通過(guò)一種叫CLAUDE.md的文件系統(tǒng)來(lái)實(shí)現(xiàn)。這是一系列純文本的Markdown文件，按不同層級(jí)存放指令：系統(tǒng)級(jí)（管理員給所有用戶設(shè)的規(guī)則）、用戶級(jí)（個(gè)人全局指令）、項(xiàng)目級(jí)（隨代碼庫(kù)一起存放，團(tuán)隊(duì)共享）、本地級(jí)（不進(jìn)版本控制，個(gè)人私密配置）。文件從根目錄一直到當(dāng)前工作目錄逐層加載，越靠近當(dāng)前目錄的文件優(yōu)先級(jí)越高，越靠后加載的內(nèi)容越受模型關(guān)注。

有一個(gè)設(shè)計(jì)細(xì)節(jié)值得特別指出：CLAUDE.md的內(nèi)容被當(dāng)作"用戶消息"而非"系統(tǒng)提示"注入到對(duì)話中。這意味著AI遵守這些指令是"大概率的"，而不是"強(qiáng)制性的"。強(qiáng)制性的執(zhí)行依靠的是權(quán)限規(guī)則系統(tǒng)，這兩者一個(gè)是"勸說(shuō)"，一個(gè)是"法規(guī)"，在架構(gòu)上刻意分開(kāi)。

記憶文件支持一種`@include`指令，可以引用其他文件的內(nèi)容，就像編程語(yǔ)言里的`import`，方便模塊化管理大型指令集。系統(tǒng)還有"自動(dòng)記憶"功能：AI可以在對(duì)話過(guò)程中自己把重要信息寫(xiě)入記憶文件，供未來(lái)的會(huì)話使用。記憶檢索不使用向量數(shù)據(jù)庫(kù)或語(yǔ)義嵌入，而是用AI自身掃描記憶文件的標(biāo)題來(lái)判斷哪些文件與當(dāng)前任務(wù)相關(guān)，最多調(diào)取五個(gè)文件。這種設(shè)計(jì)犧牲了檢索的精確性，但保留了完全的透明性——用戶可以直接讀取、編輯甚至用Git管理所有記憶文件。

九、拆分任務(wù)、各自為營(yíng)：子代理系統(tǒng)

當(dāng)一個(gè)任務(wù)足夠復(fù)雜，需要同時(shí)探索多個(gè)方向時(shí)，Claude Code可以派出"子代理"——就像一個(gè)項(xiàng)目經(jīng)理把不同模塊的開(kāi)發(fā)任務(wù)分配給不同的程序員，每個(gè)人在自己的工作區(qū)獨(dú)立操作，最后把結(jié)果匯總。

子代理通過(guò)一個(gè)叫`AgentTool`的工具派發(fā)，系統(tǒng)內(nèi)置了最多六種類(lèi)型的子代理：專(zhuān)門(mén)做只讀調(diào)查的"探索型"、制定計(jì)劃的"規(guī)劃型"、通用的"通用型"、幫你熟悉項(xiàng)目的"引導(dǎo)型"、運(yùn)行測(cè)試和檢查的"驗(yàn)證型"，以及配置終端狀態(tài)欄的"狀態(tài)欄設(shè)置型"。此外，用戶還可以通過(guò)`.claude/agents/`目錄里的Markdown文件定義完全自定義的子代理，每個(gè)子代理可以有自己專(zhuān)屬的工具集、模型選擇、權(quán)限模式、鉤子、記憶范圍、隔離模式等，本質(zhì)上是一個(gè)配置完整的微型AI系統(tǒng)。

子代理的隔離有三種模式。"工作樹(shù)模式"會(huì)為子代理創(chuàng)建一個(gè)獨(dú)立的Git工作樹(shù)副本，子代理的所有修改不會(huì)影響主代理的工作區(qū)，完成后再合并。"遠(yuǎn)程模式"（僅內(nèi)部用戶可用）在遠(yuǎn)程環(huán)境中運(yùn)行，始終在后臺(tái)執(zhí)行。"進(jìn)程內(nèi)模式"（默認(rèn)）與主代理共享文件系統(tǒng)，但擁有完全獨(dú)立的對(duì)話上下文。

在權(quán)限繼承方面，系統(tǒng)有一套精心設(shè)計(jì)的規(guī)則：子代理可以設(shè)置自己的權(quán)限模式，但如果主代理已經(jīng)處于"繞過(guò)權(quán)限"或"自動(dòng)"等高自主性模式下，子代理的權(quán)限設(shè)置會(huì)被覆蓋，因?yàn)檫@些模式代表了用戶的明確決定。對(duì)于后臺(tái)運(yùn)行的異步子代理，在顯示用戶確認(rèn)對(duì)話框之前，會(huì)先等待自動(dòng)檢查（分類(lèi)器和鉤子）完成。

每個(gè)子代理都有自己的獨(dú)立對(duì)話記錄文件（JSONL格式），這些文件不會(huì)合并到主代理的記錄里，防止子代理的大量交互內(nèi)容撐爆主代理的上下文。子代理完成任務(wù)后，只把文字摘要和元數(shù)據(jù)返回給父代理，完整的對(duì)話歷史留在各自的記錄文件里，方便調(diào)試和審計(jì)但不占主上下文的空間。

多代理協(xié)作模式下，代理之間的任務(wù)協(xié)調(diào)使用文件鎖機(jī)制，而不是消息隊(duì)列或分布式協(xié)調(diào)服務(wù)。任務(wù)列表存放在共享文件里，每個(gè)代理通過(guò)鎖文件機(jī)制互斥地認(rèn)領(lǐng)任務(wù)。這個(gè)設(shè)計(jì)聽(tīng)起來(lái)有點(diǎn)"土"，但有兩個(gè)明顯優(yōu)點(diǎn)：部署時(shí)不需要任何外部基礎(chǔ)設(shè)施，而且任何代理的狀態(tài)都可以通過(guò)直接讀取JSON文件來(lái)檢查，極易調(diào)試。

十、歷史的存檔：會(huì)話持久化與恢復(fù)

一次AI輔助的編程任務(wù)可能持續(xù)數(shù)小時(shí)，中間會(huì)涉及大量的工具調(diào)用、文件修改和決策過(guò)程。這些歷史如何保存？如果中途斷掉了怎么辦？

Claude Code使用的是"追加優(yōu)先"的JSONL文件作為會(huì)話記錄。每條消息、每個(gè)工具調(diào)用結(jié)果、每個(gè)壓縮邊界標(biāo)記，都按時(shí)間順序逐行追加到文件末尾，原則上不修改已寫(xiě)入的內(nèi)容（清理性重寫(xiě)是明確的例外）。文件存放在項(xiàng)目特定的路徑下，文件名是會(huì)話ID。

系統(tǒng)維護(hù)了三個(gè)相互獨(dú)立的持久化通道。第一個(gè)是會(huì)話記錄（Session Transcript）：完整的對(duì)話歷史，包括用戶消息、AI回復(fù)、工具調(diào)用、工具結(jié)果、壓縮邊界標(biāo)記、文件快照、歸因快照等各種事件類(lèi)型，按項(xiàng)目分文件存儲(chǔ)。第二個(gè)是全局提示歷史（Global Prompt History）：只記錄用戶輸入的提示詞，存在一個(gè)統(tǒng)一的`history.jsonl`文件里，支持用上下箭頭翻看歷史輸入。第三個(gè)是子代理旁鏈記錄（Subagent Sidechain）：每個(gè)子代理有自己獨(dú)立的記錄文件，不計(jì)入主會(huì)話。

當(dāng)用戶使用`--resume`參數(shù)恢復(fù)上一次會(huì)話時(shí)，系統(tǒng)會(huì)重放記錄文件來(lái)重建對(duì)話狀態(tài)。但有一個(gè)刻意的設(shè)計(jì)決策：上次會(huì)話中用戶授予的權(quán)限不會(huì)被恢復(fù)，每次重啟都需要重新獲得權(quán)限。這看起來(lái)有點(diǎn)麻煩，但背后邏輯是：情境可能已經(jīng)變化了，上次批準(zhǔn)的操作在新情境下不一定安全，所以寧愿讓用戶重新確認(rèn)一次，也不要悄悄帶入可能已經(jīng)過(guò)時(shí)的信任決定。

會(huì)話還支持"分支"操作（Fork）：從某個(gè)歷史節(jié)點(diǎn)創(chuàng)建一個(gè)新的會(huì)話分支，就像Git的分支一樣，讓你可以在不破壞原有歷史的情況下探索另一條路徑。壓縮邊界被精心設(shè)計(jì)成"可重建"的：即使歷史被壓縮成摘要，原始的完整歷史也保留在記錄文件里，通過(guò)邊界標(biāo)記里的UUID信息可以在讀取時(shí)重新鏈接。

十一、鏡子前的比較：Claude Code與OpenClaw的六維對(duì)比

為了更好地說(shuō)明設(shè)計(jì)選擇如何受到應(yīng)用場(chǎng)景的塑造，研究團(tuán)隊(duì)把Claude Code與OpenClaw進(jìn)行了系統(tǒng)對(duì)比。OpenClaw是一個(gè)多通道個(gè)人助理網(wǎng)關(guān)，能同時(shí)連接WhatsApp、Telegram、Slack、Discord等二十余個(gè)消息平臺(tái)，并在本地運(yùn)行一個(gè)持久化的WebSocket服務(wù)器。

兩者最根本的區(qū)別在于"系統(tǒng)定位"。Claude Code是一個(gè)綁定到單個(gè)項(xiàng)目目錄的臨時(shí)性命令行進(jìn)程，每次會(huì)話隨終端開(kāi)關(guān)而生滅。OpenClaw則是一個(gè)永遠(yuǎn)在線的守護(hù)進(jìn)程，是整個(gè)多通道助理系統(tǒng)的"控制平面"，代理循環(huán)只是這個(gè)控制平面里的一個(gè)內(nèi)嵌組件。這個(gè)根本差異決定了以下所有設(shè)計(jì)選擇的方向。

在安全模型上，兩者采取了截然不同的策略。Claude Code把信任邊界劃在模型與執(zhí)行環(huán)境之間：每一個(gè)工具調(diào)用都經(jīng)過(guò)逐一審查，因?yàn)?不信任的AI在受信任的機(jī)器上運(yùn)行"。OpenClaw把信任邊界劃在網(wǎng)關(guān)入口處：誰(shuí)能連接到這個(gè)網(wǎng)關(guān)、誰(shuí)能給AI發(fā)消息，通過(guò)配對(duì)碼和發(fā)件人白名單來(lái)管控。一旦通過(guò)了入口審查，系統(tǒng)內(nèi)部相對(duì)信任。沙盒在OpenClaw里是可選功能，支持Docker、SSH等后端，并非默認(rèn)開(kāi)啟。

在擴(kuò)展架構(gòu)上，Claude Code的四種機(jī)制（MCP、插件、技能、鉤子）都是為了擴(kuò)展單個(gè)代理的能力表面；OpenClaw的插件系統(tǒng)則通過(guò)一個(gè)中央注冊(cè)表為整個(gè)網(wǎng)關(guān)注冊(cè)能力，影響所有代理。OpenClaw也有獨(dú)立的技能層和內(nèi)置的MCP支持，但其核心定位是"擴(kuò)展網(wǎng)關(guān)能力"而不是"擴(kuò)展某個(gè)代理的上下文"。

在記憶系統(tǒng)上，兩者都采用文件透明的方式，但側(cè)重點(diǎn)不同。Claude Code把更多精力放在五層漸進(jìn)式壓縮管道上，優(yōu)化有限上下文的利用效率。OpenClaw則更注重長(zhǎng)期記憶的結(jié)構(gòu)化管理：有專(zhuān)門(mén)的MEMORY.md存儲(chǔ)持久事實(shí)，有按日期命名的日記筆記，甚至有一個(gè)實(shí)驗(yàn)性的"做夢(mèng)"系統(tǒng)——在空閑時(shí)間后臺(tái)整理記憶、評(píng)分篩選、把值得保留的短期記憶升級(jí)為長(zhǎng)期記憶。當(dāng)配置了嵌入向量提供商時(shí)，OpenClaw的記憶檢索可以使用向量相似度加關(guān)鍵詞的混合檢索，比Claude Code的LLM頭部掃描更精準(zhǔn)。

在多代理架構(gòu)上，兩者處理了完全不同的問(wèn)題。Claude Code的多代理是"任務(wù)委派"：父代理派子代理完成特定子任務(wù)，子代理匯報(bào)結(jié)果。OpenClaw的多代理解決的是"多租戶路由"：同一個(gè)網(wǎng)關(guān)可以托管多個(gè)完全獨(dú)立的代理實(shí)例，每個(gè)代理有自己的身份、工作區(qū)、會(huì)話歷史和模型配置，通過(guò)綁定規(guī)則被路由到不同的消息渠道或發(fā)件人。

更有趣的是，這兩個(gè)系統(tǒng)并非只是替代關(guān)系，而是可以疊加：OpenClaw可以通過(guò)其ACP（代理客戶端協(xié)議）把Claude Code作為一個(gè)外部編程助手接入自己的體系，成為OpenClaw控制平面上的一個(gè)工具。這揭示了一個(gè)重要的架構(gòu)趨勢(shì)：AI代理系統(tǒng)可能形成層次化結(jié)構(gòu)，網(wǎng)關(guān)級(jí)系統(tǒng)與任務(wù)級(jí)助手可以組合嵌套。

十二、幾個(gè)尚未解決的開(kāi)放問(wèn)題

研究團(tuán)隊(duì)最后列出了六個(gè)未來(lái)值得深入探索的方向，每一個(gè)都直指當(dāng)前架構(gòu)的某個(gè)邊界或盲區(qū)。

第一個(gè)問(wèn)題是"無(wú)聲失敗與可觀察性"。有研究估計(jì)，已部署AI代理中約78%的失敗是"不可見(jiàn)的"——系統(tǒng)正常運(yùn)行，沒(méi)有報(bào)錯(cuò)，但產(chǎn)出了錯(cuò)誤或次優(yōu)的結(jié)果。Claude Code的記錄系統(tǒng)讓操作過(guò)程可以被觀察，但評(píng)估層（主動(dòng)檢驗(yàn)結(jié)果是否真的對(duì)）尚未內(nèi)置。是否應(yīng)該在當(dāng)前27種鉤子事件旁邊增加評(píng)估類(lèi)鉤子，讓開(kāi)發(fā)者可以插入自動(dòng)化的質(zhì)量檢驗(yàn)？這是一個(gè)架構(gòu)層面的開(kāi)放問(wèn)題。

第二個(gè)問(wèn)題是"跨會(huì)話持久化與長(zhǎng)期協(xié)作關(guān)系"。當(dāng)前的記憶系統(tǒng)在兩個(gè)極端之間：一端是無(wú)狀態(tài)的對(duì)話，一端是靜態(tài)的CLAUDE.md指令文件。中間缺少一層"積累型知識(shí)"——那些從過(guò)去的協(xié)作經(jīng)歷中學(xué)到的、應(yīng)該自動(dòng)沉淀下來(lái)的經(jīng)驗(yàn)和策略。如何建立這樣一層，同時(shí)保持CLAUDE.md的文件透明性？會(huì)話恢復(fù)時(shí)不恢復(fù)權(quán)限的設(shè)計(jì)如何與這樣的積累層共存？

第三個(gè)問(wèn)題是"工具執(zhí)行框架的邊界演化"。隨著模型能力不斷提升，AI能執(zhí)行的任務(wù)類(lèi)型也在擴(kuò)展：從文本代碼擴(kuò)展到視覺(jué)界面操作，從單機(jī)任務(wù)擴(kuò)展到跨機(jī)器協(xié)作，從被動(dòng)響應(yīng)擴(kuò)展到主動(dòng)提出建議甚至在后臺(tái)持續(xù)運(yùn)行。系統(tǒng)框架是否需要根本性地重構(gòu)來(lái)適應(yīng)這些擴(kuò)展？還是當(dāng)前架構(gòu)已經(jīng)足夠靈活？

第四個(gè)問(wèn)題是"任務(wù)時(shí)域的擴(kuò)展"。Claude Code目前的基本單位是單次會(huì)話，支持到會(huì)話續(xù)接。但如果任務(wù)的時(shí)間跨度是數(shù)天、數(shù)周甚至更長(zhǎng)，需要在多個(gè)會(huì)話之間協(xié)調(diào)進(jìn)展、維護(hù)一致性，當(dāng)前的架構(gòu)能否支撐？自主科學(xué)研究、長(zhǎng)期軟件項(xiàng)目維護(hù)這類(lèi)應(yīng)用場(chǎng)景正在對(duì)這個(gè)邊界發(fā)出挑戰(zhàn)。

第五個(gè)問(wèn)題是"治理與監(jiān)管合規(guī)"。隨著AI代理系統(tǒng)越來(lái)越強(qiáng)大，監(jiān)管要求正在成形。歐盟AI法案于2026年8月全面生效，對(duì)AI系統(tǒng)的日志、透明度和人類(lèi)監(jiān)督提出了具體要求。當(dāng)前的會(huì)話記錄系統(tǒng)滿足了內(nèi)部審計(jì)需求，但是否滿足外部監(jiān)管機(jī)構(gòu)的審計(jì)需求？"價(jià)值觀優(yōu)先于規(guī)則"的設(shè)計(jì)原則是否與監(jiān)管要求的明確規(guī)則表達(dá)兼容？

第六個(gè)也是最深刻的問(wèn)題：使用AI助手會(huì)不會(huì)讓人越來(lái)越不會(huì)思考？一個(gè)隨機(jī)對(duì)照實(shí)驗(yàn)發(fā)現(xiàn)，AI工具讓有經(jīng)驗(yàn)的開(kāi)發(fā)者慢了19%——盡管他們自己感覺(jué)快了20%。另一項(xiàng)對(duì)807個(gè)代碼庫(kù)的因果分析發(fā)現(xiàn)，使用AI輔助工具后代碼復(fù)雜度上升了40.7%，而且初期的效率提升在三個(gè)月內(nèi)就歸零了，上升的復(fù)雜度反而成為了未來(lái)開(kāi)發(fā)的負(fù)擔(dān)。還有一項(xiàng)腦電圖研究發(fā)現(xiàn)，長(zhǎng)期使用LLM助手的人，在停止使用AI后神經(jīng)連接度依然低于對(duì)照組。這些數(shù)據(jù)提示，短期能力放大可能與長(zhǎng)期能力保護(hù)之間存在真實(shí)的張力，而當(dāng)前的Claude Code架構(gòu)并沒(méi)有內(nèi)置任何機(jī)制來(lái)主動(dòng)解決這個(gè)矛盾。

說(shuō)到底，這篇研究做了一件相當(dāng)有價(jià)值的事：它把一個(gè)已經(jīng)被數(shù)百萬(wàn)人使用、但內(nèi)部運(yùn)作從未被公開(kāi)描述過(guò)的系統(tǒng)，用清晰的建筑圖紙表達(dá)出來(lái)。Claude Code不是一個(gè)神秘的黑盒，而是一套有清晰設(shè)計(jì)哲學(xué)、有精心權(quán)衡的架構(gòu)決策、有具體代碼實(shí)現(xiàn)可以對(duì)應(yīng)的工程作品。

這套架構(gòu)的核心思路可以用一句話概括：把98%的代碼用于"創(chuàng)造讓AI發(fā)揮好的環(huán)境"，只用2%的代碼"約束AI怎么做決定"。這是對(duì)AI工具本質(zhì)的一種清醒認(rèn)識(shí)——越來(lái)越強(qiáng)大的模型不需要越來(lái)越復(fù)雜的腳手架來(lái)限制它，而是需要越來(lái)越可靠的基礎(chǔ)設(shè)施來(lái)支持它。

當(dāng)然，這個(gè)判斷是否正確，是否在AI能力繼續(xù)提升后依然成立，是否能在跨越更長(zhǎng)時(shí)間跨度的任務(wù)中保持有效，是否能在引入更多子代理并行協(xié)作時(shí)不產(chǎn)生全局不一致的問(wèn)題——這些都是懸而未決的問(wèn)題，等待著未來(lái)的研究和實(shí)踐來(lái)回答。

歸根結(jié)底，Claude Code的故事提醒我們：當(dāng)AI真正開(kāi)始"干活"的時(shí)候，你需要思考的不只是AI有多聰明，而是圍繞著這個(gè)聰明的AI，那些默默維護(hù)秩序、保護(hù)安全、管理記憶、確?？煽康?腳手架"——究竟有多扎實(shí)。

有興趣深入探討原始研究的讀者，可通過(guò)arXiv編號(hào)2604.14228在arXiv平臺(tái)查閱完整論文。

Q&A

Q1：Claude Code的權(quán)限系統(tǒng)有幾層保護(hù)，每層分別起什么作用？

A：Claude Code的權(quán)限系統(tǒng)共有七層獨(dú)立防護(hù)。第一層是工具預(yù)過(guò)濾，在AI看到工具列表之前就把禁止的工具移除。第二層是拒絕優(yōu)先規(guī)則，拒絕規(guī)則永遠(yuǎn)優(yōu)先于允許規(guī)則。第三層是七種權(quán)限模式，從"什么都要批準(zhǔn)"到"幾乎不打擾"形成梯度。第四層是機(jī)器學(xué)習(xí)分類(lèi)器，在自動(dòng)模式下判斷請(qǐng)求是否安全。第五層是命令行沙盒，對(duì)文件和網(wǎng)絡(luò)訪問(wèn)做額外隔離。第六層是恢復(fù)時(shí)不還原權(quán)限，每次重啟都必須重新授權(quán)。第七層是鉤子攔截，外部代碼可以在工具執(zhí)行前后介入。

Q2：Claude Code的上下文壓縮是怎么工作的？

A：Claude Code的上下文壓縮分五步依次進(jìn)行，從輕量到重量逐步升級(jí)。第一步是預(yù)算削減，對(duì)每條工具結(jié)果設(shè)定大小上限，超出部分用引用替代。第二步是裁剪壓縮，去掉較老的歷史片段。第三步是微型壓縮，結(jié)合提示詞緩存機(jī)制做細(xì)粒度處理。第四步是上下文折疊，不修改原始?xì)v史，只在讀取時(shí)生成虛擬的簡(jiǎn)化視圖。第五步是自動(dòng)壓縮，調(diào)用模型生成整段對(duì)話的語(yǔ)義摘要，是最后手段。只有前一步不夠用時(shí)才啟動(dòng)下一步。

Q3：Claude Code和OpenClaw在安全設(shè)計(jì)上有什么本質(zhì)區(qū)別？

A：兩者的信任邊界位置完全不同。Claude Code把信任邊界劃在AI模型與執(zhí)行環(huán)境之間，對(duì)每個(gè)工具調(diào)用逐一審查，因?yàn)锳I被視為潛在的不可信組件。OpenClaw把信任邊界劃在系統(tǒng)入口，通過(guò)配對(duì)碼和發(fā)件人白名單控制誰(shuí)能連接網(wǎng)關(guān)，一旦通過(guò)了入口審查，系統(tǒng)內(nèi)部相對(duì)信任。簡(jiǎn)單說(shuō)，Claude Code是"在城墻內(nèi)部每扇門(mén)都設(shè)關(guān)卡"，OpenClaw是"只守城門(mén)，城內(nèi)自由行動(dòng)"。兩種策略各有適用場(chǎng)景，取決于你更擔(dān)心哪種威脅。