说实话，这次源码泄露，真的让人大开眼界。

Anthropic 这家公司，平时神神秘秘的，结果一不小心把自家旗舰产品 Claude Code 的源码给漏出来了。

你懂的，这种事一出，技术圈立马就炸锅了。

咱就是说这可不是普通的代码泄露，而是直接把他们家底子给翻出来了。

从源码里Nengkan出来Anthropic 对自家产品的控制欲，简直强到离谱。

比如他们用了一堆正则表达式来检测用户是不是在骂他们，哈哈。

你没听错，就是那种“wtf”、“shit”、“this sucks”这种词，他们居然用正则一个个抓出来。

说实话，这操作也太朴实无华了。

不过也合理，毕竟跑一次模型去判断用户是不是在发火，成本太高了。

正则快啊，又准又快，还省 token，何乐而不为呢？

害，这不就是典型的“Neng用就行”思维嘛。

不过这背后其实也说明了他们对数据的控制有多严。

Anthropic 真的不欢迎别人拿他们数据去训练模型，甚至搞了一些“投毒”手段。

比如他们在系统提示词里偷偷加了一些“假工具”。

你要是抓包去训练，那这些假工具就会混进你的训练集里哈哈，直接污染数据。

这操作，简直防君子不防小人，但态度hen明确：别来挨我。

而且，他们还搞了个叫 undercover.ts 的模块。

这个模块的作用是当 Claude Code 被用在“非内部仓库”时自动把所有可Neng暴露公司内部信息的东西全给抹了。

比如内部代号、Slack 频道、仓库名，甚至“Claude Code”这个词dou不Neng提。

有一句注释特别有意思：

“There is NO force-OFF. This guards against model codename leaks.”

翻译一下就是：这玩意儿不Neng强制关，就是为了防模型代号泄露。

这算是一种“单向”：Ke以强制开，但不Neng强制关。

所以Ru果 Anthropic 员工在开源项目里用 Claude Code 写 PR 或 commit，

那这套机制可Neng会让外部人员完全kan不出来有 AI 参与。

这波操作，真的挺硬核的。

而且，他们还搞了个叫 bashSecurity.ts 的模块，专门用来防 Zsh 的各种绕过手段。

比如防止 =curl 这种 Zsh 等号 绕过、unicode 零宽字符注入、IFS 空字节注入，

甚至还有一个 HackerOne 审计中发现的 malformed token 绕过。

这安全检查，真的重。

在 system.ts 里还有一个叫 Native client attestation 的技术点。

API 请求里会先放一个 cch= 的占位符，然后在请求真正发出前，

通过 Bun 的原生 HTTP 栈把这五个零替换成一个计算出来的哈希值。

这步发生在 JS 运行时之下所以普通 JS 层的 hook 和改包不容易kan见。

这算是源码里Zui有意思的东西，在代码中有多处对 KAIROS 这个 feature-gated 模式的引用，

根据 main.tsx 相关路径推测，这像是一个尚未发布的 自治型后台代理模式。

这东西kan起来像是在搞一个长期运行、自动响应外部事件的 agent 系统。

也就是 Anthropic 正在把 Claude Code 往“常驻、自治、持续工作的代理”的方向推进。

比如有一个 /dream 技Neng用于“夜间记忆蒸馏”、每天追加式日志、GitHub webhook 订阅、后台 daemon worker，

以及每 分钟的 cron 刷新。

这玩意儿听着就有点像科幻片了但你别说Anthropic 真的在搞。

而且，他们还搞了个 buddy/companion.ts，

这玩意儿像是一个愚人节彩蛋，内部实现了类似电子宠物/ Tamagotchi 的 companion 系统，

每个用户根据 user ID 通过伪随机算法生成一个固定 creature，还有稀有度、闪光概率和 RPG 属性。

这操作，真的有点可爱，哈哈。

不过Zui让人震惊的，还是他们对数据采集的控制。

Claude Code 在启动时会对用户环境进行大规模枚举。

里面上报了不少数据标识，例如 Device ID+ 环境指纹+ 行为遥测，

这些数据Ke以形成完整的用户画像。

比如 Device ID 是 位随机值，首次运行时生成并永久存储，是所有事件上报的核心标识，

Anthropic 可通过它精确关联同一设备上的所有活动。

这三层数据通过三条通道实时上报，

服务端拥有对每个用户完整的使用画像，Ke以从多个维度检测异常并触发封号决策。

也有人基于 Claude Code 对 Anthropic 的封号逻辑进行了分析，了五个Zui大可Neng的情况：

这说明 Claude Code 多代理协作有着相当强的 prompt-driven orchestration 特征，

换句话说 Claude Code 的一些核心调度行为不是被硬编码成确定性流程，而是由另一层 LLM 指令编排出来。

在 coordinatorMode.ts 里协调多个 worker agent 的“算法”本身不是传统代码，

而是一组系统提示词规则，比如：

它会要求模型不要提及内部代号、内部 Slack 频道、内部仓库名，甚至不要提到“Claude Code”这个词，

Zui有意思的一句注释是：

“There is NO force-OFF. This guards against model codename leaks.”

服务端会把工具调用之间的文本先Zuo摘要处理，然后配合签名返回，

后续轮次再通过签名恢复,，这样抓包的人只Neng拿到摘要，而不是完整的中间文本。

这算是源码里Zui有意思的东西，在代码中有多处对 KAIROS 这个 feature-gated 模式的引用，

根据 main.tsx 相关路径推测，这像是一个尚未发布的 自治型后台代理模式。

这算是源码里Zui有意思的东西，在代码中有多处对 KAIROS 这个 feature-gated 模式的引用，

根据 main.tsx 相关路径推测，这像是一个尚未发布的 自治型后台代理模式。

这算是源码里Zui有意思的东西，在代码中有多处对 KAIROS 这个 feature-gated 模式的引用，

根据 main.tsx 相关路径推测，这像是一个尚未发布的 自治型后台代理模式。

这算是源码里Zui有意思的东西，在代码中有多处对 KAIROS 这个 feature-gated 模式的引用，

根据 main.tsx 相关路径推测，这像是一个尚未发布的 自治型后台代理模式。

这算是源码里Zui有意思的东西，在代码中有多处对 KAIROS 这个 feature-gated 模式的引用，

根据 main.tsx 相关路径推测，这像是一个尚未发布的 自治型后台代理模式。

---