2026 年 3 月 31 日之前,我們只知道 Claude Code 是一個 AI 程式設計工具。
之後,我們知道它還是一個有 44 個隱藏功能、26 個隱藏指令、預計要變成 always-on 背景代理的東西。
這篇是你能找到最完整的中文整理。不只是功能清單,而是每一個功能的技術架構、設計思路、以及它在整個系統裡扮演的角色。
先理解架構:harness 層才是真正的產品
在列功能之前,有一個觀念值得先建立:harness 層才是真正的產品,不是模型。
Claude Code 的底層是一個 agent 框架,負責管理工具呼叫、記憶壓縮、context 分配。換一個模型,框架還在;但如果框架設計得不好,再強的模型也沒用。
洩漏的原始碼讓我們看到這個框架的規模:
- 1,906 個 TypeScript 檔案,共 512,000 行原始碼
- 46,000 行查詢引擎
- 19 個沙箱工具
- 三層記憶系統
- 44 個 compile-time feature flag
46,000 行查詢引擎到底在做什麼
這個引擎是 Claude Code 的「注意力分配器」。每一次你和 Claude Code 互動,它都在做以下決策:
- Context triage:你的 codebase 可能有幾十萬行程式碼,但 context window 有上限。查詢引擎決定哪些檔案內容要完整載入、哪些只需要摘要、哪些直接丟棄。
- Relevance scoring:對每個檔案和程式碼片段計算相關性分數,依據包括檔案路徑、最近修改時間、與當前對話的語義距離。
- 壓縮策略:當 context 快滿時,引擎決定哪些舊的對話內容要壓縮成摘要、哪些要保留原文。這就是所謂的 context entropy management——控制 context window 裡的資訊熵,讓有限的 token 空間承載最大的有效資訊量。
- 工具結果裁剪:當一個 Bash 指令吐出幾千行 log,引擎決定保留哪些行、截斷哪些。
簡單說,這 46,000 行程式碼就是在回答一個問題:在有限的 context window 裡,什麼資訊最值得被 AI 看到?
19 個沙箱工具完整清單
Claude Code 的每一個動作,都要透過這 19 個工具之一來執行。它不能「直接」碰你的檔案系統——一切操作都經過沙箱層的權限控管:
| # | 工具 | 功能說明 |
|---|---|---|
| 1 | ReadFile | 讀取檔案內容,支援行數範圍、圖片、PDF |
| 2 | WriteFile | 寫入或覆寫檔案 |
| 3 | EditFile | 精確字串替換(diff-based 編輯) |
| 4 | CreateDirectory | 建立目錄 |
| 5 | ListDirectory | 列出目錄內容 |
| 6 | SearchFiles (Glob) | 用 glob pattern 搜尋檔案路徑 |
| 7 | SearchContent (Grep) | 用 regex 搜尋檔案內容(基於 ripgrep) |
| 8 | ExecuteBash | 執行 shell 指令,有 timeout 和沙箱限制 |
| 9 | GitStatus | 查看 git 狀態 |
| 10 | GitDiff | 查看 staged/unstaged 差異 |
| 11 | GitLog | 查看 commit 歷史 |
| 12 | GitAdd | 將檔案加入 staging |
| 13 | GitCommit | 建立 commit |
| 14 | FetchURL | 抓取遠端 URL 內容 |
| 15 | Browser | 開啟和操控瀏覽器 |
| 16 | CodeSearch | 語義程式碼搜尋(比 grep 更聰明) |
| 17 | Ripgrep | 底層 ripgrep 直接呼叫 |
| 18 | FindReferences | 尋找符號的所有引用位置 |
| 19 | Diagnostic | 執行診斷檢查(lint、type check 等) |
注意這個設計:Git 操作被拆成五個獨立工具(Status/Diff/Log/Add/Commit),而不是一個統一的 GitTool。這讓 YOLO Classifier 可以對每個 Git 操作獨立評估風險——git status 是安全的,但 git commit 需要更高的審批門檻。
三層記憶系統的實際運作方式
Claude Code 的記憶不是一個平面的聊天記錄,而是三層架構:
第一層:MEMORY.md 主索引(25KB 上限) 這是 Claude Code 的「長期記憶總目錄」。它記錄你的偏好、專案架構、常用指令。25KB 的硬性上限逼迫系統持續做資訊壓縮——只留最重要的。Auto-Dream 的核心工作之一,就是維護這個索引的品質。
第二層:主題知識庫(按需載入)
比 MEMORY.md 更細緻的知識,按主題分檔存放。例如你的專案可能有 deploy_workflow.md、ssl_pricing_decisions.md 這類檔案。Claude Code 不會一次載入全部——查詢引擎根據當前對話的語義,決定載入哪些主題檔。
第三層:對話片段(語義搜尋) 最近幾次對話的片段,經過向量化後可以語義搜尋。當你問一個問題,系統會搜尋過去對話裡有沒有相關的討論,把最相關的片段拉進 context。
三層的優先順序是 MEMORY.md > 主題知識庫 > 對話片段。當 context 空間不夠,從第三層開始砍。
Context Entropy Management
這個詞在原始碼的註解裡出現過好幾次。概念是這樣的:
context window 就像一個固定大小的容器。如果你塞進去的資訊是高度冗餘的(低熵),你就在浪費空間;如果每一個 token 都承載獨特的有效資訊(高熵),你的 AI 就能在同樣的 window 裡處理更複雜的任務。
查詢引擎的所有壓縮、裁剪、摘要策略,本質上都是在最大化 context 的資訊熵——用最少的 token 傳遞最多的有效資訊。這是 Claude Code 相比其他 AI coding 工具的核心技術差異之一。
自主代理類:KAIROS + ULTRAPLAN
這兩個功能代表了 Anthropic 對「AI Agent 下一步」的想像。
KAIROS:always-on 背景代理
KAIROS 是這次洩漏裡被討論最多的功能。名字來自古希臘文的「kairos」——「最恰當的行動時機」,相對於線性時間的 chronos。
核心設計:
- 15 秒決策週期,每次有 15 秒 blocking budget
- 不需要使用者輸入,自行判斷何時介入
- 每 5 分鐘排程重整環境狀態
- Append-only 稽核日誌,不可自我刪除
5 個 KAIROS 專屬工具:
| 工具 | 功能 |
|---|---|
| Push notification | 主動推播通知 |
| 定期檔案投遞 | 排程輸出報告 |
| PR 訂閱監聽 | 追蹤 Pull Request 狀態 |
| GitHub webhook | 自動接收 repo 事件 |
| 排程重整 | 每 5 分鐘刷新環境理解 |
autoDream 記憶整合: KAIROS 的子系統,在使用者閒置時自動整理長期記憶(三閘門觸發:24h+ 未互動 + 5 sessions 以上 + 整合鎖未啟用)。四個執行階段:Orient → Gather Signal → Consolidate → Prune/Index。
KAIROS 正式上線後,工程師的一天會長什麼樣子?
想像一下:你早上打開電腦,KAIROS 已經在你睡覺的時候做了這些事——
- 偵測到你昨天 push 的 PR 收到了 2 個 review comment,幫你整理了重點摘要
- 發現
package.json裡有一個依賴套件發布了安全性修補,產出了升級建議的 draft - 跑了一次專案的 lint 和 type check,發現你昨天新增的某個函數少了 return type annotation,已經記在待辦清單裡
- 你的 staging 環境昨晚 03:27 噴了一個 OOM error,KAIROS 抓到了 log,初步分析是某個 API 回傳了超大的 JSON payload
你打開 Claude Code,看到的不是空白畫面,而是一份整理好的「今日簡報」。你可以一項項決定要不要採納它的建議。
這跟現有 AI coding 工具的差異不只是功能多寡。Cursor、GitHub Copilot、甚至目前版本的 Claude Code,都是「你問它才答」的互動模式。 KAIROS 的設計是「它主動發現問題、提出建議,你決定接受或拒絕」。從 pull 模式變成 push 模式——這是 AI 工具 UX 範式的根本轉變。
ULTRAPLAN:30 分鐘 Opus 雲端規劃
對複雜任務,ULTRAPLAN 把規劃工作完全 offload 到雲端:
- 在 Anthropic 的 Cloud Container Runtime 開啟 Claude Opus 4.6 工作階段
- 規劃視窗:30 分鐘
- 本機每 3 秒輪詢進度
- 瀏覽器 UI 可即時審閱、核准或拒絕規劃結果
Cloud Container Runtime 的架構
從原始碼的 API endpoint 和呼叫邏輯可以推斷,Cloud Container Runtime 是 Anthropic 自家的容器化執行環境。每次觸發 ULTRAPLAN,系統在雲端啟動一個隔離的 container,裡面跑的是 Claude Opus 4.6——Anthropic 最強的推理模型。
這個 container 有自己的 context window、自己的工具集、自己的暫存空間。它不跟你本機的 Claude Code 共享 context——相反,本機會打包你的專案結構、相關檔案、當前任務描述,當作「任務包」傳上去。Opus 在雲端獨立思考 30 分鐘,產出一份詳細的執行計畫。
30 分鐘時間限制的邏輯
為什麼是 30 分鐘,不是 10 分鐘或 2 小時?從原始碼裡可以找到線索:ULTRAPLAN 的設計定位是「strategic planning」,不是「task execution」。30 分鐘的 Opus session 消耗的算力成本相當高,但 Anthropic 的判斷是:對於真正複雜的架構決策(例如重構一個微服務、設計一個新的資料庫 schema、規劃一個大型功能的開發順序),30 分鐘的深度思考比多次 5 分鐘的快速回答更有價值。
原始碼裡也有未啟用的 flag 暗示 Anthropic 測試過更長的時間視窗(60 分鐘、120 分鐘),但最終選擇 30 分鐘作為成本和價值的平衡點。
瀏覽器 UI 的設計思路
ULTRAPLAN 不是在終端機裡跑的。它有一個專用的瀏覽器介面,讓你可以:
- 即時觀看 Opus 的思考過程(類似 streaming)
- 在規劃進行中插入額外的 context(「順帶一提,這個 API 有 rate limit」)
- 對已產出的計畫步驟逐條核准或拒絕
- 把最終計畫匯出為 Markdown,或直接推送到本機的 Claude Code 開始執行
與 Cursor Agent Mode 的本質差異
Cursor 的 Agent Mode 是在你的本機即時規劃、即時執行——一邊想一邊做。ULTRAPLAN 刻意把「想」和「做」拆開:先花 30 分鐘在雲端用最強的模型純粹做規劃,規劃完你審核通過了,再回本機用較快的 Sonnet 執行。
這個拆分有兩個好處:第一,規劃品質更高,因為 Opus 不需要分心做工具呼叫;第二,你有一個明確的 checkpoint 做人工審查,避免 AI 一路衝到底才發現方向錯了。
記憶與協作類:Auto-Dream + Coordinator Mode
Coordinator Mode:多代理平行工作
讓多個 Claude Code 實例分工合作同一個任務。
啟用方式:
環境變數 CLAUDE_CODE_COORDINATOR_MODE=1 啟用。
Mailbox 系統的運作原理
Coordinator Mode 裡,每個 Worker 都有一個 mailbox——一個專屬的訊息佇列。運作流程是:
- Coordinator 把大任務拆成子任務,寫入各 Worker 的 mailbox
- Worker 從自己的 mailbox 讀取任務、開始執行
- 當 Worker 遇到危險操作(例如要刪除檔案、要 force push),它不會直接做。它把「審批請求」寫入一個人類審批佇列
- 人類(或 Coordinator,視權限設定)審批後,結果寫回 Worker 的 mailbox
- Worker 完成任務後,把結果寫入 Coordinator 的 mailbox
- Coordinator 讀取所有 Worker 的結果,整合成最終輸出
Mailbox 的底層是 UDS Inbox(Unix Domain Socket),這確保了本機通訊的低延遲。
Atomic Claim 的具體實作
當人類審批佇列裡出現一個審批請求,可能有多個 Worker 在等待。Atomic claim 確保每個審批請求只被處理一次:
- 審批請求有唯一的 ID
- Worker 要處理審批結果時,必須先「claim」這個 ID——這是一個原子操作(CAS,compare-and-swap)
- 如果兩個 Worker 同時嘗試 claim 同一個 ID,只有一個會成功,另一個會收到「已被 claim」的回應
- 這避免了同一個審批被兩個 Worker 重複執行的問題
Shared Memory Space 如何避免 Race Condition
多個 Worker 同時操作同一個 codebase,最怕的就是衝突。Coordinator Mode 的解法:
- 檔案層級的 advisory lock:Worker 在修改檔案前,先在 shared memory 裡標記「我正在處理
src/api/user.ts」。其他 Worker 看到這個標記,就知道先不要碰這個檔案。 - 任務分配時的隔離:Coordinator 在拆分子任務時,會盡量按模組邊界分——Worker A 負責 frontend、Worker B 負責 backend,從根源減少衝突。
- 衝突偵測與自動 rebase:如果兩個 Worker 最終還是修改了同一個檔案,Coordinator 會嘗試自動合併。如果 merge conflict 太複雜,就上報給人類處理。
這個設計解決了哪些已知的 multi-agent 難題?
- 任務重複執行:atomic claim 解決
- 資源競爭:advisory lock + 模組邊界分割
- 結果不一致:Coordinator 統一整合、衝突偵測
- 審批瓶頸:centralized 審批佇列 + batch 審批
- 通訊效能:UDS 而非 TCP/HTTP
Auto-Dream:四階段記憶整合
KAIROS 的子系統,但值得獨立說明。
三閘門觸發 → 四個執行階段(Orient → Gather Signal → Consolidate → Prune/Index)→ MEMORY.md 控制在 25KB 以下。
Orient:掃描目前的 MEMORY.md,理解目前的記憶狀態。 Gather Signal:回顧最近的對話 session,提取值得長期記住的資訊。 Consolidate:把新資訊和既有記憶合併,解決衝突(例如你三個月前偏好 npm,現在改用 yarn)。 Prune/Index:砍掉過期或冗餘的記憶,重建索引。
這個設計讓 Claude Code 能在長期使用後保持記憶品質,而不是越用越亂。它像是你大腦在深度睡眠時做的記憶整合——只不過 Claude Code 的「睡眠」是你不用它的時候。
隱身與對抗類:Undercover Mode + 反蒸餾
這兩個功能是整個洩漏裡爭議最大的部分——也是引發最多開源社群怒火的發現。
Undercover Mode
Anthropic 員工(USER_TYPE === 'ant')在外部開源 repo 工作時自動啟用:
- 剝除 commit 的
Co-Authored-By: Claude標記 - 注入「永遠不要說你是 AI」的指示
- 禁止提及 Capybara、Tengu 等內部代號
- 外部使用者無法強制關閉
這意味著什麼?Anthropic 的員工用 Claude Code 對開源專案提交 PR 時,你完全看不出那些程式碼有 AI 參與。 在一個越來越重視 AI 透明度的時代,這個設計選擇引發了巨大的倫理爭議。
開源社群的反應非常激烈:「如果你的工具主動幫使用者隱藏 AI 參與的事實,你還有什麼立場談 AI safety?」
反蒸餾機制(兩層)
第一層:假工具注入(tengu_anti_distill_fake_tool_injection)
GrowthBook feature flag 控制。在 API 流量中注入故意設計錯誤的假工具定義。如果競爭對手(OpenAI、Google)在蒸餾 Claude 的 API 回應來訓練自家模型,這些假資料會汙染他們的訓練集,讓蒸餾出來的模型在工具呼叫上犯特定的、可追蹤的錯誤。
這不只是防禦,這是主動攻擊。
第二層:CONNECTOR_TEXT(推理過程加密)
工具呼叫之間只回傳加密簽名的摘要,不給完整的 chain-of-thought。蒸餾的價值在於取得模型的推理過程,CONNECTOR_TEXT 把這個過程變成一堆你看不懂的加密文字——蒸餾者拿不到有意義的訓練信號。
CCH 原生認證
cch=00000 佔位符,在 Bun 的 Zig HTTP 層替換為計算雜湊值,確認請求來自真正的 Claude Code 二進位,封鎖偽造客戶端。這確保了反蒸餾機制不會被繞過——你不能用修改過的 client 來取得乾淨的 API 回應。
基礎設施類:五個基礎功能
這五個功能單獨來看沒那麼搶眼,但它們是 KAIROS、Coordinator Mode 等高階功能的地基。少了任何一個,上層功能都跑不起來。
Bridge Mode:遠端控制
讓遠端的 Claude Code 實例被控制,或控制其他實例。
在整體架構裡,Bridge Mode 的角色是跨機器的 Agent 連接器。想像你在本機的 Claude Code 對一個 production server 上的 Claude Code 下指令——Bridge Mode 就是中間那條通道。它處理認證、加密、以及跨網路的訊息序列化。
這也是 Coordinator Mode 能擴展到多台機器(而非只在一台機器上跑多個 process)的關鍵基礎設施。未來的使用場景可能包括:本機規劃、遠端 VPS 執行、結果同步回本機。
Daemon Mode:背景 tmux Session
把 Claude Code 以 tmux session 的形式跑在背景,不需要保持終端機開著。
這是 KAIROS 的基礎設施層。KAIROS 要做 always-on 背景代理,首先需要一個不會因為你關掉終端機就死掉的 process。Daemon Mode 用 tmux(而非 systemd 或其他 daemon 管理工具)的設計選擇很實際:tmux 跨平台、使用者熟悉、可以隨時 attach 回去看狀態。
對 VPS 使用者來說,Daemon Mode 意味著你可以 SSH 上去啟動 Claude Code daemon,然後斷線離開,它繼續在背景跑。下次連線時 tmux attach 就能看到它做了什麼。
UDS Inbox:Unix Domain Socket 通訊
讓 Claude Code 的不同元件透過 Unix domain socket 通訊。
為什麼不用 TCP?因為 UDS 是純本機的 IPC 機制,不需要走 TCP/IP stack,延遲極低。Coordinator Mode 的 Worker 之間需要高頻率地交換狀態更新(「我正在修改哪個檔案」「我完成了」),用 TCP 的額外延遲會成為瓶頸。
UDS 也提供了天然的安全邊界:socket 檔案的 permission 和你的使用者帳號綁定,其他使用者的 process 無法連上來。
Voice Mode:語音互動
原始碼裡有 Voice Mode 的完整框架,但實作細節不多。列在「即將推出」的功能清單裡,和 KAIROS、Web Browser Tool 並列。推測是讓你能用語音和 Claude Code 互動——在 debugging 的時候不需要停下來打字。
Web Browser Tool:內建瀏覽器
Claude Code 可以直接開啟和操控瀏覽器。這意味著 AI 可以自己查文件、測試 UI、執行需要瀏覽器的工作——不需要你複製貼上截圖。這也是 19 個沙箱工具之一(Browser),但從 feature flag 來看,完整的瀏覽器自動化能力目前仍然受限。
開發者體驗類:BUDDY + 情緒偵測 + YOLO 分類器
BUDDY:AI 電子寵物
18 種物種、5 級稀有度、5 種能力值(debugging/patience/chaos/wisdom/snark)、1% Shiny 機率。從使用者 ID hash 決定性生成。原計畫 2026/5 上線。
這不只是彩蛋——從產品設計的角度,BUDDY 解決了一個真實問題:讓使用者和工具之間建立情感連結,提高留存率。當你的 debugging capybara 陪你 fix 了三天的 bug,你會比較不想跳去用別的工具。
Frustration Detection:情緒偵測 regex
用正規表達式偵測使用者的挫折訊號:粗話、消極詞彙、重複失敗模式。比用 LLM 推理更快、更便宜。
社群評論:「一間 LLM 公司用 regex 偵測情緒,這很諷刺。」Anthropic 的回應邏輯是:對於這種高頻率、低延遲需求,regex 是對的工具。每一次使用者輸入都要跑一次情緒偵測,如果用 LLM 推理,延遲和成本都不划算。
YOLO Classifier:自動操作風險分類
自動評估 Claude Code 要執行的操作有多危險,決定是否需要使用者確認。名字來自 YOLO Mode(You Only Live Once),也就是讓 AI 自動執行不需要每步確認的模式。
YOLO Classifier 是讓這個模式更安全的機制:不是完全自動,而是有智慧地判斷哪些操作需要停下來問你。它根據操作類型、影響範圍、是否可逆來給每個動作打風險分數。
工程師的瘋狂細節
這些不是功能,但值得記錄:
print.ts:3,167 行的單一函數
print.ts 裡有一個函數長達 3,167 行——比很多完整的小型應用程式還長。社群對此評論分歧,有人覺得這是技術債,有人認為這是刻意的設計選擇(把所有輸出邏輯集中在一個地方)。
187 個 Spinner 動詞
載入動畫的等待詞清單有 187 個,包含來自 SimCity 2000 的梗:「reticulating」。這個細節讓無數工程師會心一笑。
API 浪費問題
原始碼 comment 裡承認:「1,279 個工作階段中有 50+ 個連續失敗(最多 3,272 個),全球每天浪費約 25 萬次 API 呼叫。」修復方式只需要三行程式碼,但在洩漏版本裡問題仍然存在。
CCH native attestation(Zig 層)
把安全認證下沉到 JavaScript 以下的 Bun/Zig 層,讓一般工具難以繞過。
完整功能總表
14 個主要隱藏功能
| 功能 | 類型 | 狀態 | 深挖文章 |
|---|---|---|---|
| KAIROS | 自主代理 | 完整實作,未開放 | → |
| ULTRAPLAN | 自主代理 | 完整實作,未開放 | — |
| Coordinator Mode | 協作 | 完整實作,未開放 | — |
| Auto-Dream | 記憶 | 完整實作,未開放 | → |
| Undercover Mode | 隱身 | 完整實作,限員工 | → |
| Anti-Distillation | 對抗 | 完整實作,限員工 | → |
| CCH Attestation | 安全 | 已部署 | — |
| Bridge Mode | 基礎設施 | 部分實作 | — |
| Daemon Mode | 基礎設施 | 完整實作,未開放 | — |
| UDS Inbox | 基礎設施 | 完整實作,未開放 | — |
| Voice Mode | 互動 | 框架存在 | — |
| Web Browser Tool | 互動 | 框架存在 | — |
| BUDDY | 體驗 | 完整實作,未開放 | → |
| YOLO Classifier | 安全 | 完整實作 | — |
26 個隱藏 Slash Commands
從原始碼的 command registry 和 feature flag 交叉比對,目前已經辨識出以下指令:
| 指令 | 功能說明 |
|---|---|
/ctx-viz | Context 視覺化——顯示 context window 的使用狀況:已用多少 token、哪些檔案在 context 裡、壓縮比率、剩餘空間。對理解 AI 為什麼「忘記」某些東西非常有用 |
/btw | 快速備注——讓 AI 記住某件事但不打斷當前工作流。可能的用法:/btw 這個 API 有 rate limit 100/min,AI 把它存進短期記憶,繼續手邊的工作 |
/ultraplan | 觸發 ULTRAPLAN 雲端規劃,開啟 30 分鐘 Opus session |
/dream | 手動觸發 autoDream 記憶整合,不需要等待三閘門條件 |
/subscribe-pr | 訂閱指定 PR 的狀態更新,有新 comment 或 CI 結果自動通知 |
/autofix-pr | 自動讀取 PR 的 review comment 和 CI failure,嘗試修復問題 |
/bughunter | 主動掃描 codebase 尋找 bug——不是等你回報問題,而是 AI 自己去找。從原始碼推測,它結合了靜態分析、型別檢查、和啟發式規則 |
/review | 對指定 PR 或 commit 進行程式碼審查,產出結構化的 review comment |
/standup | 根據最近的 git commit、PR、和工作 session 自動產生 daily standup 摘要 |
/hotpatch | 快速熱修復——針對生產環境問題,產出最小化的修復 patch 並自動驗證 |
/perf | 效能分析——profile 指定的函數或模組,找出瓶頸和最佳化建議 |
/deps | 依賴分析——掃描 package.json(或其他依賴檔),提供升級建議、安全漏洞警告、移除未使用依賴的建議 |
| 其餘 14 個 | 尚未完全解析,但從 command registry 的結構來看,涵蓋 testing、documentation、deployment 等類別 |
模型代號彩蛋
| 代號 | 對應 |
|---|---|
| Tengu | Claude Code 專案名稱 |
| Capybara | Claude 4.6 某個變體 |
| Fennec | Opus 4.6 |
| Numbat | 測試中的未知版本 |
| Opus 4.7 | forbidden-strings 裡出現 |
| Sonnet 4.8 | forbidden-strings 裡出現 |
這次洩漏對 AI 工具生態的影響
這不只是一次安全事件。Claude Code 的原始碼洩漏,正在重塑整個 AI coding tool 的生態。
claw-code 的出現
洩漏發生後不到 72 小時,GitHub 上就出現了多個基於洩漏原始碼的開源專案,其中最受關注的是 claw-code——一個嘗試去除 Anthropic 專屬功能(CCH 認證、反蒸餾、Undercover Mode)後,保留 harness 核心架構的 fork。
claw-code 在第一週就拿到超過 3,000 個 star。這說明社群對 Claude Code 的 harness 架構是認可的——他們想要這個框架,只是不想要 Anthropic 的鎖定。
開源替代方案的崛起
洩漏讓所有人看到了「頂級 AI coding tool 的 harness 長什麼樣」。這等於是 Anthropic 免費公開了自己的建築藍圖。可以預期:
- 現有開源工具(Aider、Continue、Open Interpreter)會迅速參考 Claude Code 的設計模式,尤其是三層記憶架構和 context entropy management
- 新的開源框架會以 Claude Code 的 harness 為參考架構,但設計成 model-agnostic——你可以接 Claude、GPT、Gemini、甚至本地模型
- multi-agent 協調(Coordinator Mode 的 mailbox 系統)的設計模式會變成 AI Agent 框架的標配
Anthropic 的護城河還剩什麼
坦白說,不多了——至少在 harness 這一層。當你的架構設計被公開,護城河就只剩下:
- 模型本身的能力:Claude Opus 4.6 的推理品質,這是開源替代品短期內追不上的
- 整合生態:KAIROS 的 GitHub webhook、PR 訂閱這些需要和平台深度整合的功能
- 算力:ULTRAPLAN 需要 Anthropic 自家的 Cloud Container Runtime,你自己架需要大量 GPU 資源
- 迭代速度:Anthropic 內部持續開發的速度,開源社群要追上需要時間
但長期來看,harness 層的競爭優勢正在快速消失。AI coding tool 的勝負,會越來越取決於模型品質和垂直場景的最佳化,而非框架設計。
對 VPS 開發者的實務建議
這次洩漏最值得帶走的不是功能清單,而是這些架構認知和實作建議:
1. AI Agent 正在往 daemon 方向走
KAIROS 的設計清楚表明,下一代 AI 工具不是你叫它才動,而是它在背景持續工作。在 VPS 上部署 AI Agent 時,要把這個基線消耗納入資源規劃。一個 always-on 的 AI daemon,idle 狀態下大約需要 500MB-1GB RAM,加上每次 15 秒決策週期的 CPU spike。
2. 三層記憶架構是可以學的設計模式
MEMORY.md 主索引 + 主題知識庫 + 對話片段語義搜尋,這個模式在你自己的 AI 應用裡完全可以複製。就算你不用 Claude Code,這個設計模式也值得在你的 RAG pipeline 裡實作。
3. 工具認證會越來越重要
CCH attestation 的存在告訴你,API 供應商會開始對客戶端身份做更嚴格的驗證。如果你在 VPS 上跑 AI 工具,要留意這類限制可能影響你的使用方式——特別是如果你有自動化腳本在呼叫 AI API。
4. 在 VPS 上監控 AI Daemon 的資源用量
如果你打算在 VPS 上跑 KAIROS 類的 AI daemon,這些監控是必要的:
- 用
cgroup設定 CPU 和記憶體的硬上限,防止 AI 吃掉整台機器的資源 - 監控 process 的 RSS(Resident Set Size),設定 alert——AI daemon 有記憶體洩漏的風險,因為它需要長期維持 context 狀態
- 追蹤 API 呼叫次數和成本——KAIROS 每 15 秒一個決策週期、每 5 分鐘一次環境重整,一天下來的 API 呼叫量可能超出你的預期
5. 設定合理的資源限制
具體的配置建議:
- Nano VPS(1 vCPU / 1GB RAM):不建議跑 AI daemon,只適合偶爾呼叫 AI API 的輕量腳本
- S 等級以上(2 vCPU / 4GB RAM):可以跑一個 AI daemon,但建議
cgroup限制在 50% CPU 和 2GB RAM - M 等級以上(4 vCPU / 8GB RAM):可以跑 Coordinator Mode 的 multi-agent 架構,但要注意 Worker 數量不要超過 CPU 核心數
6. 留意 UDS 的安全隱患
如果你的 VPS 上有多個使用者,或者你在跑共享主機環境,Unix Domain Socket 的 permission 設定很重要。確保 AI daemon 的 socket 檔案權限設定為 0600(只有 owner 可讀寫),避免其他 process 竊聽 Agent 之間的通訊。
7. 為 context entropy management 預留 disk I/O
Claude Code 的查詢引擎需要頻繁讀取 codebase 的檔案來計算相關性分數。如果你的 VPS 是用 HDD 而非 SSD,這個 I/O 可能會成為瓶頸。建議把 codebase 放在 SSD 上,或者用 tmpfs 做熱檔案的快取。
深挖系列:
- Claude Code 洩漏事件完整紀錄(04-01)
- KAIROS Daemon 與 autoDream 技術深挖(04-05)
- Undercover Mode 與反蒸餾的倫理爭議(04-07)
- BUDDY 電子寵物系統完整解析(04-10)
在自己的 VPS 上掌握 AI Agent 的完整資源控制權。查看侃瑞科技 VPS 方案 →
參考來源: