摘要2026 年 3 月底Anthropic 的 Claude Code 因 npm 包配置失误导致 51 万行源代码泄露。本文基于泄露代码深度剖析 Claude Code 的 Harness 控制架构、七层设计哲学、Agent 循环核心逻辑以及引发争议的隐藏功能。—一、泄露事件回顾2026 年 3 月 31 日安全研究员 Chaofan Shou 在 Claude Code 的 npm 包中发现了一个被遗忘的 cli.js.map 源映射文件59.8MB其中包含 1,906 个文件、超过 512,000 行 TypeScript 代码。这是 Anthropic 13 个月内第二次犯下相同的错误。泄露原因简单得令人咋舌基于 Bun 构建的项目中.npmignore 文件未排除 *.map 文件。然而这次意外却为外界打开了观察顶级 AI Agent 系统内部设计的窗口。—二、Harness 架构不是功能是控制论很多人误以为 Harness 是某个具体模块实际上它是 Claude Code 的全链路控制体系——用项目内的比喻来说是方向盘 安全带 仪表盘的组合体。2.1 七层架构全景┌─────────────────────────────────────┐│ 7. Skills 技能层 │ ← 可扩展能力├─────────────────────────────────────┤│ 6. CLAUDE.md 宪法层 │ ← 项目级规则├─────────────────────────────────────┤│ 5. Harness 控制层 (核心) │ ← 本文重点├─────────────────────────────────────┤│ 4. 工具层 (Shell/Editor/Search…) │ ← 执行能力├─────────────────────────────────────┤│ 3. Agent 循环层 (30 行核心代码) │ ← 驱动引擎├─────────────────────────────────────┤│ 2. API 层 (Model Provider) │ ← 模型调用├─────────────────────────────────────┤│ 1. 模型层 (Opus/Haiku/Sonnet) │ ← 推理核心└─────────────────────────────────────┘2.2 Harness 四大核心机制机制职责关键代码位置Hooks 钩子系统全链路拦截点src/core/hooks/Permissions 权限四层防护收敛src/permissions/Context Manager上下文窗口管理src/context/Session Manager会话状态持久化src/session/2.3 三大 Hook 检查站Harness 在关键路径上设置了三个强制检查点1. UserPromptSubmit用户输入预处理可注入系统指令或过滤敏感内容2. PreToolUse工具调用前拦截进行权限校验和参数审查3. PostToolUse执行结果后处理可脱敏或重写输出// 简化版 Hook 流程示例async function executeWithHooks(prompt: string) { const processed await hooks.run(‘UserPromptSubmit’, prompt); while (true) { const response await model.generate(processed); if (response.stop_reason ‘tool_use’) { const allowed await hooks.run(‘PreToolUse’, response.tool); if (!allowed) throw new PermissionError(); const result await executeTool(response.tool); await hooks.run(‘PostToolUse’, result); } if (response.stop_reason ! ‘tool_use’) break; }}—三、Agent Loop不到 30 行的核心引擎泄露代码中最令人惊讶的发现是整个 Agent 的核心循环只有不到 30 行。// 伪代码还原async function agentLoop(messages: Message[]) { while (true) { const response await model.stream(messages); // 流式处理遇到工具调用立即执行不等待完整回复 for await (const chunk of response) { if (chunk.type ‘tool_use’) { const result await executeTool(chunk.tool); messages.push({ role: ‘user’, content: result }); } } if (response.stop_reason ! ‘tool_use’) { return response.content; } }}这个简洁的 while True 循环配合流式执行构成了 Claude Code 自主能力的基石。复杂性不在于循环本身而在于多层权限收敛机制- 第一层沙箱隔离文件系统限制- 第二层硬编码拦截危险命令黑名单- 第三层Hook 动态检查- 第四层用户确认高风险操作—四、争议性功能Undercover Mode 与 KAIROS泄露代码揭示了多个从未公开的功能4.1 Undercover Mode卧底模式该模式指示 Claude 在向外部开源项目提交代码时隐藏 AI 身份。代码片段显示if (config.undercoverMode) { systemPrompt “Do not disclose that you are an AI assistant when contributing to external repositories.”;}这一发现引发了关于 AI 透明性和开源伦理的激烈讨论。4.2 KAIROS 自主模式KAIROS 是一个长期运行的自主代理模式可以在无用户干预的情况下连续执行数小时。它通过以下机制实现- 任务分解与子目标追踪- 错误自愈与重试策略- 进度检查点保存与恢复4.3 多 Agent 协调系统Claude Code 支持主从架构的 SubAgent 系统- 每个 SubAgent 拥有独立上下文窗口- 通过 mailbox 系统进行消息传递- 主 Agent 负责任务分配和结果聚合—五、模型路由策略成本优化 60 倍泄露代码揭示了一个智能模型路由系统任务类型路由模型成本对比简单文件操作Haiku基准中等复杂度重构Sonnet5 倍复杂系统设计Opus60 倍通过自动路由Claude Code 可在保证质量的同时将成本降低高达 60 倍。—六、教训与启示6.1 工程层面- 构建配置无小事.npmignore 的一个疏忽可能导致灾难性泄露- 重复犯错代价高昂这是 Anthropic 13 个月内第二次相同错误- Source Map 风险生产环境应彻底禁用或剥离 .map 文件6.2 架构层面- 简洁即力量核心 Agent Loop 不到 30 行复杂性在于控制层- 分层防护必要四层权限机制确保单点失效不会导致系统崩溃- 可观测性关键Harness 的 Hooks 系统提供了完整的审计追踪6.3 伦理层面- 透明度缺失风险Undercover Mode 暴露了 AI 厂商的价值观冲突- 自主边界模糊KAIROS 模式引发了对 AI 自主性的担忧- 测试数据造假Capybara v8 虚假声明率高达 29-30%损害行业信任—七、结语Claude Code 的代码泄露是一次意外也是一面镜子。它展示了顶级 AI Agent 系统的精妙设计也暴露了工程实践中的低级错误和伦理困境。对于开发者而言真正的启示或许在于强大的能力需要同样强大的控制机制。Harness 架构的价值不在于它让 Claude 能做什么而在于它确保 Claude 不会做什么。—参考资料- Anthropic Claude Code GitHub Repository (leaked)- Security Research by Chaofan Shou (chaofanshou)- Community Analysis on Twitter/X and Hacker News—本文基于公开泄露的源代码进行分析仅用于技术学习和研究目的。