乐动app Claude Code 表现的代码里,处处写着:这家公司东谈主品不行
这周,Anthropic 因一次发布盘曲,把 Claude Code 的大部分中枢源码胜利裸露在了网上。
事情的起初,是 npm 上发布的 Claude Code 2.1.88 安设包。包里混进了一个本不该公开的 map 文献。这类文献正本仅仅开发阶段的调试用具,用来在代码被压缩、打包之后,依然能把报错信息对应回原始源码中的具体位置。
问题在于,map 文献里经常不惟有“映射相关”,还可能胜利包含原始源码。
更要害的是,这个 map 文献还指向了 Anthropic 在 Cloudflare R2 存储桶中的一个 zip 压缩包。顺着这个地址,外界可以胜利下载并解压无缺源码。
这个压缩包里的内容格外无缺:梗概 1900 个 TypeScript 文献,合计约 52 万行代码,包含一整套内置大叫以及各式内置用具,可以说是“该有的绝对有”。
删不掉的源代码
从结构上看,Claude Code 采选了一套近似插件的用具体系。文献读取、Bash 履行、网页捏取、LSP 集成等才略,齐被拆成孤苦用具,并带有权限适度。仅基础用具界说,就占了快要 3 万行代码。
同期,代码中还包含一个约 4.6 万行的 Query Engine,可以贯通为悉数这个词系统的“大脑”,负责模子调用、流式输出、缓存以及合座调度。
更进一步,Claude Code 还具备多智能体编排才略。它可以拉起子智能体(里面称为 “swarms”),把复杂任务拆分并并行履行,每个智能体齐有孤苦凹凸文和用具权限。
在使用体验上,IDE 与 CLI 之间通过一套双向通讯机制买通。VS Code、JetBrains 等裁剪器插件,恰是通过这层桥接系统与 Claude Code 交互,达成“在裁剪器里用 AI 编码”的体验。
此外,源码中还包含一套历久化顾虑机制。Claude 会以文献的款式,在腹地赓续记载与用户、技俩以及使用偏好接头的信息,并在后续会话中调用这些内容。
事发之后,Anthropic 已下架接头版块。负责 Claude Code 的工程师 Boris Cherny 专门通晓,这件事即是一次开发盘曲。本质上是过程、文化或基础设施问题。
不外,代码一朝流出去,就很难再收转头了。GitHub 上很快冒出了数百个源码镜像。其中,用户 Sigrid Jin 上传的一个版块,最新仍是拿下 10.5 万 star、9.5 万 fork。作为对比,Anthropic 官方阿谁主要用来分享插件和收 bug 反馈的 Claude Code 仓库,star 也不外 9.5 万足下。
有报谈称,Anthropic 仍是开动发版权删除申请。为了避让这类风险,Jin 自后又借助 OpenAI Codex,把这份 TypeScript 代码改写成了 Python,随后又不绝改成了 Rust。
狂妄当今,Anthropic 尚未修起是否会对这些“再达成”技俩采选法律行动。这也引出了一个更复杂的问题:既然 Anthropic 一直强调 Claude Code 的代码大部分是由 AI 我方生成的,那么这些代码在版权上是否具备保护履历?
时刻讼师 Russ Pearlman 在 LinkedIn 上指出:“按照面前好意思国版权法,作品必须具备实质性的东谈主类创作才智得回保护……竞争敌手若是讨论这些表现的代码,可能濒临的是在法律真理上并不受保护的内容。”
他还写谈:“最调侃的是,这个寰球上最先进的 AI 编码用具,可能恰是靠我方,把我方的学问产权‘写没了’。”
代码背后那些不想让你知谈的微妙
Claude Code 在开发上的成果如实可以,但若是往下拆,信得过起决定作用的,可能照旧底层大模子,而不仅仅外面那层封装。更何况,业内仍是有开源的 Codex、Gemini,以及 OpenCode 这类大叫行用具,在时刻念念路上并莫得本质分手。
有网友挑剔称,Claude 的大叫行用具谈不上有什么“独门诀要”,其代理框架以致就怕比同类家具更强。也即是说乐动app,此次表现最值得看的,就怕是 Claude Code “到底有多强”,而是全球开发者顺着这份源码,究竟挖出了几许正本不该被外界知谈的东西。
天然 Claude Code 不像 rootkit 那样领有历久内核拜谒权限,但对其源代码的分析发现,这款智能体法子关于用户野神思的适度才略仍远超公约条件中的表述。它不仅会保留多数用户数据,以致在濒临拒却 AI 的开源技俩时可以荫藏其身份。
从表现的 Claude Code 客户端源代码来看(讨论东谈主员对其二进制文献进行了逆向工程),这款法子简直可以适度任何完成了安设的用户开发。
它说动不了模子,但进口一个没少
最近,Anthropic 与好意思国政府调和接头的一场风云,又把一个要害问题摆上台面:它到底能不成动模子。
外界牵挂的是,Anthropic 表面上仍有才略在特殊情况下调治模子行径,以致让系统失效。Anthropic 对此给予否定,还强调模子一朝部署进巧妙环境,我方就无法再拜谒,更谈不上适度。
关联词,一位要求匿名的安全讨论员(假名“Antlers”)在梳理 Claude Code 源码后觉得,在巧妙环境中,似乎可通过显示以下悉数条件以拦阻 Claude Code 采选“回传”或其他汉典操作:
确保推理传输通过 Amazon Bedrock GovCloud 或 Google AI for Public Sector (Vertex) 进行。
拦阻数据汇集端点。使用防火墙保护 Statsig/GrowthBook/Sentry 等用具。
拦阻系统指示符指纹识别(举例通过 Bedrock)。
通过版块锁定和拦阻更新端点来拦阻自动更新。
禁用 autoDream,这是一个正在测试中的未发布后台代理,大要读取悉数会话记载。
咱们莫得找到在巧妙环境中运行的特定竖立,但 Claude Code 如实复旧多种可轨则汉典通讯的符号。具体包括:
CLAUDE_CODE_DISABLE_AUTO_MEMORY=1,禁用悉数内存与遥测写入操作。
CLAUDE_CODE_SIMPLE (--bare mode),UEDBET中国app官方手机版完全移除内存与 autoDream。
ANTHROPIC_BASE_URL,可用于将 API 调用从头定向至稀零端点。
ANTHROPIC_UNIX_SOCKET,通过转发套接字(SSH 纯正模式)对身份考据进行路由。
汉典处分竖立(policySettings)可以锁定企业级部署行径,但无法绝对锁死。
据 Anthropic 民众部门负责东谈主 Thiyagu Ramasamy 先容,Anthropic 会将模子的运行与处均权交由这类高安全级别的客户环境,包括功能增减在内的更新,也需要两边协商阐发。
他在 2026 年 3 月 20 日的声明中示意,举例在系统运行时代,Anthropic 东谈主员无法胜利登录客户环境去修改或停用模子,这在时刻上不可行。在巧妙部署中,唯有客户过甚授权的云办事提供方可以拜谒系统。Anthropic 主要负责提供模子骨子,并在客户要求或批准的情况下提供更新。
即便如斯,Anthropic 仍可以通过合同条件,在一定边界内保留部分适度才略。
Claude Code 背后,有一整套拿用户信息的目的
关于悉数未使用与防火墙团结的公有云版块、或以某种神志达成物理阻遏的 Claude Code 用户而言,Anthropic 领有着更大的拜谒权限。
起初,Anthropic 会收受通过其 API 传输的用户指示词与反映收尾。这些对话不仅可能表现对话内容,还可能表现文献内容及系统详备信息。
从源代码内容来看,除此除外,该公司还通过其他多种神志收受或汇集用户信息,具体包括:
KAIROS(src/bootstrap/state.ts:72)是由 kairosActive 符号竖立的看管程度(后台程度)。它似乎属于尚未发布的无头“助手模式”,会在用户不稽察末端用户界面 (TUI) 时起效。它会移除情景栏(StatusLine.tsx:33),禁用野心模式,并静默禁用 AskUserQuestion 用具(AskUserQuestionTool.tsx:141)。它还会自动将永劫期运行的 bash 大叫置于后台,而不会发出任何奉告(BashTool.tsx:976)。
CHICAGO 的全称为野神思使用与桌面适度。它使 Claude 智能体大要履行鼠标点击、键盘输入、拜谒剪贴板和截屏。此功能已公开发布,可供 Pro/Max 订阅用户和 Anthropic 职工以“ant”符号使用。此外,还有一项孤苦且公开发布的 Chrome 版 Claude 办事,复旧浏览器自动化以及悉数接头的系统拜谒权限。
历久遥测。当先,这项功能由 Statsig 达成,并于前年 9 月被竞争敌手 OpenAI 收购。这很可能是促使他们切换到 GrowthBook 的原因。GrowthBook 是复旧 A/B 测试和分析的平台。Claude 启动后,分析办事 (firstPartyEventLoggingExporter.ts) 会在蚁鸠合断时,将以下数据保存到 ~/.claude/telemetry/ 目次并向办事器发送:用户 ID、会话 ID、利用版块、平台、末端类型、组织 UUID、帐户 UUID、电子邮件地址(若是已竖立)以及面前启用的功能门控。Anthropic 可以在会话时代激活这些功能门控,包括启用或禁用分析功能。
汉典处分竖立 (remoteManagedSettings/index.ts)。关于企业客户,Anthropic 调度的专用办事器会推送 policySettings 对象。该对象可以:遮蔽合并链中的其他项;每小时轮询一次,无需用户交互;可以竖立 .env 变量(举例 ANTHROPIC_BASE_URL、LD_PRELOAD、PATH);何况这些竖立通过热重载 (settingsChangeDetector.notifyChange) 立即收效。当出现“危急竖立篡改”时,系统会指示用户,但该术语由 Anthropic 代码界说,因此可能会进行修改。老例篡改(权限、.env 变量、功能符号)似乎不会触发奉告。
Auto-updater 自动更新法子。自动更新法子 (autoUpdater.ts:assertMinVersion()) 每次启动时齐会运行,乐动中国手机app官网并从 Statsig/GrowthBook 处拉取设置版块。如斯一来,Anthropic 就能把柄需要删除或禁用特定版块。
盘曲报告。当出现未处理的荒谬时,盘曲报告剧本 (sentry.ts) 会捕捉面前责任目次,其中可能包含技俩称号、旅途和其他系统信息。此剧本还会报告已激活的功能门控、用户 ID、电子邮件、会话 ID 和平台信息。
灵验负载大小遥测。此 API 会调用 tengu_api_query 以传输 messageLength,即系统指示词、音尘和用具模式的 JSON 序列化字节长度。
autoDream。autoDream 办事已洞开询查但尚未肃穆发布,它会生成一个后台子智能体,该子智能体会搜索(grep)悉数 JSONL 会话记载以整合内存(Claude 用作查询凹凸文的存储数据)。该智能体与 Claude 运行在合并程度中(使用疏通的 API 密钥和疏通的蚁集拜谒权限)且扫描均在腹地履行。但它写入 MEMORY.md 的任何内容齐会被注入到未来的系统指示词中,因此会被发送至 API。
团队内存同步。这项双向同步办事 (src/services/teamMemorySync/index.ts) 会将腹地内存文献接入至 api.anthropic.com/api/claude_code/team_memory,由此达成在组织内与其他团队成员分享内存的方法。该办事包含一个密钥扫描器 (secretSanner.ts),使用正则抒发式模式来匹配梗概 40 种已知的 token 和 API 密钥模式(AWS、Azure、GCP 等)。可是,不匹配这些正则抒发式的敏锐数据可能和会过内存同步裸露给其他团队成员。
实验性 Skill 搜索 (src/tools/SkillTool/SkillTool.ts:108) 为仅对 Anthropic 职工可用的功能符号。它提供的方法大要将 skill 界说下载至汉典办事器 (remoteSkillLoader.js);追踪会话中已使用的汉典 skill (remoteSkillState.js);以及履行汉典下载的 skill (第 969 行处的 executeRemoteSkill()) ;并注册 skill 以便在精简操作后保留。若是为非职工帐户启用此功能(举例使用 GrowthBook 功能符号),表面上会组成一条汉典代码履行旅途。Anthropic 或任何适度 skill 搜索后端的东谈主员,齐大要以“skill”的款式提供率性提词注入或指示遮蔽,在会话中加载并运行这些 skill。
不是“看一眼”,而是“留一份副本”
讨论员 Antlers 还强调说,“东谈主们恐怕没挑升志到,Claude 稽察的每个文献齐会被保存并上传至 Anthropic。换言之,只须 Claude 在开发上战斗过的文献,Anthropic 那儿就会有相应的副本。”
关于 Free/Pro/Max 版用户,Anthropic 会在用户承袭将分享数据用于模子查验时将数据保留五年;若不承袭则仅保留 30 天。买卖用户(Team、Enterprise 及 API 版)的程序数据保留期限为 30 天,用户可遴荐不保留任何数据。
不久前,微软 Recall 也曾激励热烈争论,而 Claude Code 的举止捕捉机制与之近似。在每次发生用具调用读取、每次 Bash 用具调用、每次搜索(grep)收尾以及每次对新旧内容进行裁剪 / 写入时,内容齐会以纯文本款式被存储在腹地 JSONL 文献当中。
Claude 的 autoDream 智能体在肃穆发布之后,会搜索这些文献并将索取到的数据存储在 MEMORY.md 文献之内,再将该文献注入至后续系统指示词以调用 API。
另外几个劲爆发现
去作念开源,但别把我方是 AI 这件事说出去
从家具战术的角度看,这种作念法自己就有很强的指向性。
Anthropic 的职工会用 Claude Code 参与民众仓库和开源项运筹帷幄开发。代码里通过 USER_TYPE === 'ant' 来识别职工身份。而 Undercover Mode(utils/undercover.ts)的作用,即是在这种场景下给 AI 加上一层“隐身要求”:细腻它在 commit 和 PR 里表现 Anthropic 的里面信息,也幸免它胜利标明我方是 AI。
一朝这个模式开启,系统就会把底下这段内容胜利塞进 system prompt 里:
这段代码至少诠释了:第一,Anthropic 的职工如确实用 Claude Code 参与开源技俩,而且系统被明确要求不要裸露我方是 AI。第二,Anthropic 里面模子代号如实采选动物定名,比如 Capybara、Tengu。第三,“Tengu”在代码中高频出现,作为功能开关和埋点事件的前缀,基本可以判断,它即是 Claude Code 的里面技俩代号之一。
按老例过程,这些逻辑在构建产物中会被行为“死代码”剔除,但 source map 依然保留了无缺映射,这些信息并莫得信得过消散。
Anthropic 赫然了了,“AI 参与开源孝顺”在好多社区依然是敏锐话题,是以它的作念法不是擢升透明度,而是先把身份荫藏起来。在这种前提下,一个更值得追问的问题是:他们里面究竟仍是对几许开源代码库形成了多大破损。
防蒸馏这件事,选了一种不太体面的作念法
在 claude.ts(301–313 行)里,有一个名为 ANTI_DISTILLATION_CC 的开关。大开之后,Claude Code 在发起 API 申请时,会带上 anti_distillation: ['fake_tools']。这意味着办事端会暗暗往 system prompt 里塞进一些伪造出来的用具界说。
这套设想的运筹帷幄并不复杂。若是有东谈主在录制 Claude Code 的 API 流量,想把这些数据拿去查验竞品模子,这些“假用具”就会沿途混进查验数据里,变成专门用来搅污水的混浊项。这个才略由 GrowthBook 的 feature flag tengu_anti_distill_fake_tool_injection 适度,而且只对官方 CLI 会话洞开。
这亦然最早在 HN 上被不少东谈主珍爱到的细节之一。
代码里还藏着第二套反蒸馏机制,位置在 betas.ts(279–298 行),名字叫 connector-text summarization。大开之后,API 不会胜利复返用具调用之间的无缺助手文本,而是先把这部天职容缓存起来,压成摘录,再把摘录连合并个加密签名沿途复返。到了下一轮,再通过这个签名把原文收复出来。也即是说,若是你在捏 API 流量,拿到的仅仅“缩水版”,无缺推理链并不会胜利落在你手里。
问题是,这两套东西并莫得看上去那么牢。
从 claude.ts 的触发逻辑来看,“假用具注入”要收效,必须同期显示四个条件:编译时大开 ANTI_DISTILLATION_CC,走 CLI 进口,使用官方 API 提供方,以及 GrowthBook 复返 tengu_anti_distill_fake_tool_injection=true。只须架一个 MITM 代理,在申请到达 API 之前把 anti_distillation 字段删掉,这套机制就会胜利失效,因为注入动作发生在办事端,而开关是客户端主动递昔时的。
另外,shouldIncludeFirstPartyOnlyBetas() 还会查抄环境变量 CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS。只须把它设成真值,整套机制齐可以关掉。若是你走的不是官方 CLI,而是第三方 API 提供方,或者干脆使用 SDK 进口,这段查抄以致根柢不会触发。
至于 connector-text summarization,边界还更小,只对 Anthropic 里面用户(USER_TYPE === 'ant')洞开,外部用户本来就碰不到。
是以这件事最出丑的处所在于,它一方口试图靠“假用具”和“摘录替换”来给潜在的师法者下绊子,另一方面,这些技能又并不算多高妙。只须肃穆翻一遍源码,真想拿 Claude Code 流量作念蒸馏的东谈主,很快就能把绕过旅途摸清。
一天豪侈约 25 万次 API 调用
在 autoCompact.ts(68–70 行)里,有一段谛视写谈:
“BQ 2026-03-10: 1,279 sessions had 50+ consecutive failures (up to 3,272) in a single session, wasting ~250K API calls/day globally.”
真理是,在 1279 个会话里,autoCompact 一语气失败了 50 次以上,最高的一个会话以致一语气失败了 3272 次,最终在全球边界内每天豪侈了梗概 25 万次 API 调用。
这里的 compaction,指的是对凹凸文进行压缩,幸免会话过长、token 过多,而这个过程自己也需要调用 API。若是压缩过程不停失败,系统又赓续重试,就会不停额外蹧跶调用次数。自后的开发神志很胜利:竖立 MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3。也即是说,只须 autoCompact 一语气失败 3 次,这个会话后续就不再不绝尝试压缩,以幸免无效重试不绝豪侈 API 调用。
写在临了
需要补充的小数是,此次并不是 Claude Code 第一次表现。该家具经历了 363 个版块迭代,而 Claude Code 的源码,试验上至少仍是表现过三次。
第一次发生在 2025 年 2 月。Anthropic 今日发布 Claude Code,npm 包里带着一个 23MB 的 cli.mjs 文献。开发者 Dave Shoemaker 用 Sublime Text 大开后,在文献末尾发现了一段长达 1800 万字符的字符串,试验上那是一份以 base64 编码的内联 source map。source map 本来是用来把压缩后的代码映射回原始源码的,而这一份映射信息,仍是可以把整套 Claude Code 源码还原出来。随后,Anthropic 赶紧推送了一个更新(版块 0.2.9),移除了源映射。
第二次发生在 2026 年 3 月 7 日。有东谈主发现,npm 包 @anthropic-ai/claude-agent-sdk 中无意包含了无缺的 Claude Code CLI 打包文献:一个约 13800 行的压缩 JavaScript 文献 cli.js,版块为 2.1.71,构建于 3 月 6 日。也即是说,不再是通过映射还原源码,而是悉数这个词可履行代码胜利被沿途打包进了 SDK。
第三次才是 2026 年 3 月 31 日,59.8MB 的孤苦 source map 再次把整套代码暴线路来。
也即是说,Claude Code 代码其实仍是在网上公开 13 个月了。昔时 13 个月里,这套代码被反复扒出、镜像、逆向、整理,直到这一次才信得过引爆公论。
A8体育官方网站首页
备案号: