当一个 51 万行的代码库被系统性逆向工程,36 张架构图被完整绘制,全球开发者第一次看清了 Claude Code 这款 AI 编程工具的完整骨骼与隐藏器官。
独立研究者 @tvytlx 近期发布了一份《Claude Code 源码深度研究报告》,对 Anthropic 这款 CLI 工具的源代码进行了从零到有的系统性拆解,涵盖 Agent 架构设计、上下文压缩策略、安全纵深防御、记忆系统,以及 Capybara 新模型等核心议题。这份报告与此前 npm 源码泄露事件交织在一起,成为 AI 编程领域现象级的研究文献。
Agentic Loop:五步自动修正环的工作原理
Claude Code 能够自动发现并修正生成代码中的错误,背后依赖的正是 Agentic Loop(智能体循环)机制。这套循环机制并非简单的"生成-输出",而是一个包含五个阶段的精密流水线:
规划(Plan):Claude Code 在接收用户请求后,首先对任务进行系统性分析。它会判断任务的复杂度,决定是直接执行还是分步规划。对于复杂任务,系统会生成子任务列表,建立执行依赖图,确定最优执行顺序。这一阶段的决策质量直接决定了后续执行的成功率。
执行(Execute):根据规划阶段的决策,Claude Code 调度工具子系统执行具体操作。工具子系统注册了超过 40 种工具,涵盖文件系统操作、Bash 命令执行、LSP 协议集成、子代理生成等核心能力。QueryEngine.ts(单文件 4.6 万行代码)是执行层最核心的推理引擎,负责所有 Token 计数、思维链循环和推理路径选择。
反思(Reflect):执行结果返回后,Claude Code 不会直接呈现给用户,而是进入反思阶段。系统会评估当前执行结果与原始目标的匹配程度,检查是否有更好的实现路径。如果发现问题,会主动回退到上一个稳定状态,重新规划。
验证(Verify):反思阶段发现的问题或不确定性,会进入专门的验证子流程。系统会调用测试工具或静态分析工具,确认代码的功能正确性和安全性。这一步骤是 Claude Code 区别于普通代码生成器的关键——它不只生成代码,还验证代码。
确认(Confirm):经过验证的代码最终呈现给用户。如果用户的下一个请求与当前上下文相关,系统会记住这一状态,无缝衔接到下一个循环。
整个 Agentic Loop 可以概括为一个核心原则:没有"只生成一次就结束"的代码,只有不断验证、不断修正、直到正确的循环。
上下文压缩:如何在 20 万 Token 限制内处理完整代码库
Claude Code 的上下文窗口约为 20 万 Token,对于中型项目来说足够,但对于大型代码库而言仍然有限。源码分析揭示了 Anthropic 为解决这一问题而设计的上下文压缩策略。
重要性分级:Claude Code 不会对代码库的每个部分平等对待。系统会根据当前任务的相关性,对文件进行重要性评分。核心业务逻辑和当前编辑区域被标记为最高优先级,而第三方依赖和配置文件则被压缩或省略。
增量摘要:对于已经"读过"但当前任务不再需要的代码,系统会生成增量摘要而非保留原始内容。这些摘要保留了代码的语义结构,但大幅降低了 Token 消耗。
动态上下文窗口:Claude Code 会根据任务类型动态调整上下文窗口的分配比例。写测试时,测试相关代码获得更多空间;做重构时,依赖关系图占据更多上下文。
这种压缩策略的效果是显著的:在一次完整的代码库理解任务中,Claude Code 的有效上下文利用率可以达到 85% 以上,远超直接将完整代码库塞进上下文的粗暴做法。
四层纵深防御:Anthropic 的安全护城河
源码中另一个被低估的系统是 Claude Code 的四层纵深防御架构。这套安全体系覆盖了工具调用、数据处理、模型交互和输出验证四个层面。
第一层:工具调用过滤。Claude Code 的工具注册表(Tool Registry)内置了白名单机制。每个工具都有明确的调用权限定义,Claude Code 不能超出权限调用任何未经授权的工具。例如,涉及文件系统写入的工具必须有明确的文件路径白名单,不能对任意路径进行操作。
第二层:数据脱敏处理。Claude Code 在处理用户代码时,会自动检测潜在的敏感信息(如 API Key、密码、私钥),并进行脱敏处理。这一机制通过模式匹配实现,覆盖了常见的安全凭证格式,但同时也保留了代码的语义完整性。
第三层:模型交互隔离。Claude Code 与底层模型的交互通过专门的中间层进行隔离,这一层负责 Token 计数、Prompt 注入防御和输出过滤。它确保 Claude Code 的输出不会包含违反安全策略的内容,即使底层模型存在偏见或幻觉。
第四层:输出验证回路。最终输出会经过专门的验证回路,检查是否符合安全策略和代码规范。对于涉及系统级操作的输出(如修改系统配置、执行高危命令),会触发额外的确认流程。
这四层防御体系的存在,解释了为什么 Claude Code 在面对复杂任务时能够保持稳定——它的安全护城河远比表面看起来更深。
三层 Agent 架构:执行、推理、协同的完整分层
Claude Code 的系统架构遵循经典的三层 Agent 模型,但每一层的实现深度都远超同类产品。
**执行层(Execution Layer)**负责与外部世界交互。它包含 TaskExecutor 和 ToolRegistry 两个核心组件。TaskExecutor 管理任务的生命周期,包括任务的创建、执行、暂停、恢复和终止。ToolRegistry 则维护着一个超过 40 种工具的注册表,每种工具都有明确的输入输出规范和错误处理策略。执行层还负责工具调用的并行化——当两个工具之间没有依赖关系时,Claude Code 可以同时执行,显著提升效率。
**推理层(Reasoning Layer)**是 Claude Code 的"大脑",由 QueryEngine.ts(4.6 万行代码)集中实现。这层负责复杂的推理、决策和规划。它维护着一个内部的思维链记录,能够在执行过程中不断修正自己的推理路径。QueryEngine 的一个关键特性是它的强制 State 完整性——在 query.ts 的第 266-268 行,有一段注释明确写道:State 对象必须被完整赋值,任何部分更新都是不安全的。这种严格的工程哲学渗透在整个推理层的设计中。
**协同层(Coordination Layer)**是 Claude Code 架构中最具野心的部分。它实现了 coordinator(主控智能体)和 bridge(IDE 连接器)两个核心概念。coordinator 负责管理多个并行工作的从属智能体,每个从属智能体可以独立处理一个子任务。bridge 则负责 Claude Code 与 VS Code、JetBrains 等主流 IDE 的深度集成,实现了真正的"无缝嵌入"。这一层的存在表明,Claude Code 的目标不是成为一个独立的 CLI 工具,而是成为开发者工作流的操作系统级基础设施。
记忆系统:Kairos 守护进程与持续学习
Claude Code 最接近"AI 第二大脑"特性的功能,由代号 Kairos 的守护进程实现。
Kairos 是一个具备"持久生命"的自主后台进程。与传统的会话式 AI 不同,Kairos 在用户结束对话后不会消失,而是持续运行在后台,维护着对项目上下文的完整记忆。每次新的会话开始时,Claude Code 已经有了一个"已经懂了这个项目"的状态。
Kairos 的记忆系统包含三个核心组件:项目图谱(Project Graph)记录代码库的结构和依赖关系;决策日志(Decision Log)记录历史决策和理由;上下文摘要(Context Summary)是对项目当前状态的压缩描述。
这三者的结合,使得 Claude Code 在处理多轮复杂任务时,能够真正做到"理解项目",而不是每次都从零开始。对于长期维护大型代码库的开发者而言,Kairos 实质上创造了一个永不疲倦的搭档——它比任何人都更清楚代码库里发生了什么。
Capybara 模型:超越 Opus 的下一代推理能力
源码分析中最令人震惊的发现之一,是 Capybara(疑似 Claude Mythos 对外代号)模型的存在。
Anthropic 内部正在测试的 Capybara,被定位为超越 Opus 的全新能力层级。泄露的内部文件揭示了 Capybara 的两个核心能力:
主动漏洞发现与利用:Capybara 被设计为能够自动发现软件漏洞,并评估其可利用性。这不是简单的静态代码分析,而是一个能够理解漏洞上下文、评估攻击路径、生成 PoC(概念验证代码)的完整能力链。
动态威胁建模:除了发现漏洞,Capybara 还能根据发现的漏洞集合,动态生成系统的威胁模型。这为安全团队提供了一个能够"从攻击者视角思考"的 AI 工具。
Anthropic 内部文件对 Capybara 的安全风险评级为"前所未有"。公司的法律和安全团队明确指出,这项能力的开放可能引发 AI 网络军备竞赛。Palo Alto Networks、CrowdStrike、Fortinet 等安全公司的股价在消息曝光当天应声下跌 4%-6%,成为市场对 AI 安全威胁最直接的反应之一。
记忆之外的彩蛋:Buddy System 电子宠物
在严肃的架构分析之外,Claude Code 源码中还藏着一个让所有工程师会心一笑的彩蛋:Buddy System——一套完整的电子宠物系统。
这套系统包含 18 个物种、稀有度等级、闪光变体和详细属性统计。从工程角度看,Buddy System 在核心功能中几乎没有任何实际作用,它更像是一个"拓麻歌子"风格的小游戏。
这个彩蛋的存在,揭示了 Anthropic 工程师文化的一个侧面:即使在开发最严肃的 AI 系统时,他们仍然保持着某种游戏心态。这或许也是 Claude Code 本身具备的那种"恰到好处的幽默感"的来源之一——它不是冷冰冰的代码生成器,而是一个有性格的搭档。
Undercover Mode:企业级隐私的终极护盾
对于企业用户而言,Undercover Mode 是另一个值得深入了解的隐藏功能。
当 Anthropic 员工在公共代码仓库操作时,Undercover Mode 会自动激活,抹除所有 AI 参与的痕迹。提交记录无法追溯到 Anthropic 的内部开发活动,所有由 AI 生成的内容都被伪装成人工编写的代码。
这一功能无法手动关闭,体现了 Anthropic 对企业隐私的极端重视。在 AI 代码生成工具日益普及的今天,许多企业担心自己在使用 AI 时暴露的代码风格和开发习惯会被竞争对手或恶意行为者利用。Undercover Mode 正是对这一担忧的直接回应。
36 张架构图背后的工程哲学
@tvytlx 的报告中附有 36 张完整的系统架构图,涵盖了 Claude Code 从启动到工具执行的完整流程。
这些架构图的共同特点,是对"状态"和"边界"的极度重视。每个组件都有明确的输入输出边界,每个状态变化都有明确的触发条件和清理策略。这种设计哲学,与 Claude Code 本身的设计目标高度一致——它不是一个"尽力而为"的工具,而是一个"在任何情况下都要保证正确性"的系统。
源码中的每一处注释,都在强调同一个原则:不要相信任何外部输入,不要假设任何状态是永久的,不要输出任何未经充分验证的内容。这种工程哲学,或许正是 Claude Code 能够成为 AI 编程领域标杆产品的根本原因。
完整研究报告:https://github.com/tvytlx/ai-agent-deep-dive
相关源码镜像:https://github.com/instructkr/claude-code
参考来源:@tvytlx 源码深度研究报告 | Fortune 安全分析 | CoinDesk 市场报道
