一文读懂 Claude Code 的架构设计

摘要Claude Code 是一种代理式编程工具可以代表用户运行 Shell 命令、编辑文件并调用外部服务。本文通过分析公开可得的 TypeScript 源代码描述其综合架构并进一步将其与 OpenClaw 进行比较。OpenClaw 是一个独立的开源 AI Agent 系统在不同部署语境下回答了许多相同的设计问题。研究识别出驱动该架构的五类人类价值、哲学与需求人类决策权安全、安全性与隐私可靠执行能力放大上下文适应性。论文进一步把这些价值追踪到十三项设计原则再映射到具体实现选择。系统核心是一个简单的while循环调用模型、运行工具、重复迭代。然而大部分代码并不在这个循环本身而是在循环周围的系统中拥有七种模式和基于机器学习分类器的权限系统、用于上下文管理的五层压缩流水线、四类扩展机制MCP、插件、技能、Hooks、子 Agent 委派与编排机制以及面向追加写入的会话存储。与 OpenClaw 的比较表明当部署环境发生变化时同一批反复出现的设计问题会产生不同的架构答案从逐动作安全评估转向边界级访问控制从单一 CLI 循环转向嵌入网关控制平面的运行时从上下文窗口扩展转向网关级能力注册。最后论文结合近期经验研究、架构文献与政策文献提出未来 Agent 系统的六个开放设计方向。引言AI 辅助软件开发已经从 GitHub Copilot 这类自动补全式工具发展到 Cursor 这类 IDE 集成助手再到能够自主规划多步修改、执行 Shell 命令、读写文件并自我迭代的完整代理式系统。Claude Code 是 Anthropic 发布的代理式编程工具。其官方文档描述了一个“agentic loop”系统围绕目标进行计划和执行可调用工具、评估结果并持续行动直到任务完成。与基于补全的工具相比从“建议”转向“自主行动”引入了新的架构要求安全、上下文管理、扩展性、委派、持久化等问题都需要在系统层面回答。虽然 Claude Code 已被广泛采用Anthropic 主要发布的是面向用户的文档而非详细架构说明。本文通过源代码分析来重构其架构设计。Anthropic 内部对 132 名工程师与研究人员的调查显示约 27% 的 Claude Code 辅助任务属于“如果没有该工具本不会尝试的工作”这说明该架构不只是加速已有流程也启用了新的工作方式。论文组织为三部分设计空间分析识别围绕推理位置、迭代循环、安全策略、扩展面、上下文管理、子 Agent 委派与会话持久化的反复出现的设计问题并分析 Claude Code 的回答。与 OpenClaw 的架构对比通过六个维度比较一个商业化编程 Agent 与一个开源多通道个人助手网关说明部署环境、产品目标、安全假设和用户假设如何塑造架构。未来 Agent 系统的开放方向从可观测性与评估、跨会话持久化、Harness 边界演化、长时程扩展、治理以及长期人类能力保存等方面提出开放问题。论文贯穿使用一个运行示例用户提出“修复auth.test.ts中失败的测试”。这个简单请求会触发多层架构机制工具调用、权限检查、上下文选择、迭代修复、子 Agent 委派与会话持久化。设计哲学、设计原则与架构动机生产级编程 Agent 由人构建、为人服务其架构内嵌了创造者对于“什么重要”的判断。论文首先抽象出五类价值再把这些价值落到十三项设计原则。2.1 五类价值与哲学2.1.1 人类决策权人类应保留对系统行为的最终决策权。该原则通过权限层级体现Anthropic、操作者、用户分别拥有不同层级的权威。系统让用户能够实时观察、批准或拒绝操作、中断兼容的进行中操作并在事后审计。当 Anthropic 发现用户会批准约 93% 的权限提示时其应对并不是增加更多弹窗而是重新组织问题在清晰边界之内让 Agent 自由工作例如使用沙箱与自动模式分类器而不是依赖用户逐项审查。2.1.2 安全、安全性与隐私系统必须保护用户、代码、数据和基础设施即使用户分心或犯错也应如此。安全不同于决策权决策权强调人能选择安全强调系统即便在人类监督失效时也有保护义务。自动模式威胁模型关注四类风险过度积极行为、诚实错误、提示注入与模型错位。2.1.3 可靠执行Agent 应准确理解用户意图并在长时程任务中保持一致。可靠性包括单轮正确性也包括跨上下文窗口、恢复会话和多 Agent 委派时的长期一致性。Claude Code 的产品文档把循环分为三阶段收集上下文、采取行动、验证结果。工具执行后环境返回的“真实反馈”被用来判断进展。2.1.4 能力放大系统应显著提升人类在单位努力和成本下能完成的工作。Claude Code 的设计者把它描述为“Unix 工具而非传统产品”由小而可理解、可组合、可扩展的构件组成。该架构把投资重点放在确定性的基础设施上如上下文管理、工具路由、恢复机制而不是显式规划器或状态图。这一选择建立在一个判断上随着模型能力提升丰富的操作环境比限制模型选择的框架更有价值。2.1.5 上下文适应性系统应适应用户的项目、工具、约定和技能水平并随关系发展而改进。Claude Code 通过CLAUDE.md、技能、MCP、Hooks、插件等机制在不同上下文成本层级上提供配置能力。纵向数据表明用户与 Agent 的关系会变化少于 50 次会话的用户自动批准率约 20%到 750 次会话时超过 40%。这说明“自治”不是固定状态而是由模型、用户与产品共同构建的信任轨迹。2.2 十三项设计原则设计原则服务的价值回答的设计问题默认拒绝并升级给人类决策权、安全未识别动作应允许、阻止还是询问用户渐进式信任谱决策权、适应性权限是固定等级还是用户随时间穿越的谱系多层防御安全、决策权、可靠性单一边界是否足够还是需要多种机制重叠外部化、可编程策略安全、决策权、适应性策略应硬编码还是作为配置和生命周期 Hook 暴露把上下文视为稀缺资源可靠性、能力绑定约束是什么如何逐级管理追加式持久状态可靠性、决策权使用可变状态、快照还是追加日志最小脚手架、最大操作 Harness能力、可靠性投资推理框架还是让模型自由推理并强化执行环境价值优先于规则能力、决策权使用刚性规则还是上下文判断加确定性护栏可组合的多机制扩展能力、适应性统一扩展 API还是不同成本层级的机制按可逆性加权风险能力、安全所有动作同等监督还是对可逆/只读动作放宽透明的文件化配置与记忆适应性、决策权使用不透明数据库、向量检索还是用户可见文件隔离的子 Agent 边界可靠性、安全、能力子 Agent 共享上下文和权限还是隔离运行优雅恢复与韧性可靠性、能力遇错硬失败还是自动恢复并只在必要时打扰人2.3 从价值到架构五类价值分别映射到具体架构人类决策权驱动默认拒绝、渐进信任、追加日志、外部策略与价值优先原则。安全驱动多层防御、默认拒绝、按可逆性加权、外部策略与子 Agent 隔离。可靠执行驱动上下文管理、追加式状态、优雅恢复、子 Agent 隔离与多层防御。能力放大驱动最小脚手架、可组合扩展、风险加权、上下文管理与恢复机制。上下文适应性驱动文件化记忆、可组合扩展、渐进信任和可编程策略。这些映射也说明系统没有做什么它没有强制显式规划图没有单一统一扩展机制也不会在恢复会话时恢复所有会话级信任状态。2.4 评估镜头长期能力保存论文额外提出一个横向评估问题该架构是否保存了人类长期能力Anthropic 内部研究提到“监督悖论”过度依赖 AI 可能让人类失去监督 AI 所需技能。其他研究也发现AI 辅助条件下开发者在理解测试中的得分可能更低。论文将长期能力保存作为评估镜头而不是与五类价值并列的第六项设计价值因为它在 Claude Code 的公开设计与架构中并未被明确体现。架构概览构建生产级编程 Agent 需要回答几个反复出现的问题推理应位于何处需要多少执行引擎默认安全姿态是什么把什么资源视为瓶颈Claude Code 的答案是模型负责推理Harness 负责执行与约束所有入口最终汇入同一个查询循环默认安全姿态是“先拒绝、再升级给人”上下文窗口是核心瓶颈。3.1 设计问题与运行示例推理位于何处Claude Code 中模型决定要做什么Harness 执行动作。模型输出tool_use块Harness 解析、检查权限、调度工具并收集结果。模型不能直接访问文件系统、运行 Shell 或发起网络请求。它只能通过结构化工具协议与外部世界交互。这一分离具有安全意义即使模型被攻击或误导也不能绕过沙箱、权限检查和默认拒绝规则。有多少执行引擎Claude Code 使用同一个queryLoop()函数无论用户通过交互式终端、无头 CLI、Agent SDK 还是 IDE 集成来使用。变化的是渲染层和用户交互层而不是核心执行循环。默认安全姿态是什么系统采用默认拒绝并升级给人的策略拒绝规则高于询问规则高于允许规则未识别动作会升级给用户而不是静默执行。权限规则、Hooks、自动模式分类器和 Shell 沙箱构成多层防御。绑定资源约束是什么上下文窗口是最关键约束。系统在每次模型调用前运行五类上下文缩减策略预算缩减、Snip、Microcompact、Context Collapse、Auto-Compact。其他系统设计也服务于节省上下文例如懒加载指令、延迟工具 Schema、子 Agent 只返回摘要。3.2 七个高层组件Claude Code 可分解为七个功能组件用户提交提示、批准权限、审阅输出。接口交互式 CLI、无头 CLI、Agent SDK、IDE/桌面/浏览器入口。Agent 循环模型调用、工具分发与结果收集的迭代周期。权限系统默认拒绝规则、自动模式分类器、Hook 拦截。工具内置工具、MCP 工具、插件与技能间接贡献的能力。状态与持久化JSONL 会话记录、全局提示历史、子 Agent Sidechain。执行环境Shell、文件系统、Web、MCP 服务器、远程执行环境。数据流从用户请求进入 Agent 循环循环把动作提交给权限系统被批准的动作进入工具层工具与执行环境交互并把结果作为tool_result返回循环。状态与持久化系统记录整个过程。3.3 五层子系统分解论文进一步把系统分成五层页面层入口与渲染包括交互式 CLI、无头 CLI、Agent SDK、IDE/桌面/浏览器以及终端 UI 组件。核心层queryLoop()与五层上下文压缩流水线。安全/行动层权限系统、Hooks、扩展系统、内置工具、MCP 工具、Shell 沙箱、子 Agent 创建。状态层上下文装配、运行时状态、会话持久化、CLAUDE.md与记忆、子 Agent Sidechain。后端层Shell 执行、远程执行、MCP 多传输连接、外部资源访问。3.4 QueryEngine 的澄清QueryEngine并不是核心执行引擎而是面向无头/SDK 路径的会话包装类。真正的共享代码路径是query()与内部queryLoop()。交互式 CLI 也调用query()并不经过QueryEngine。3.5 权限与安全层一个工具请求必须通过七个独立安全层任意一层都可阻止它工具预过滤被整体拒绝的工具在模型看到前就移除。默认拒绝规则评估拒绝规则永远优先。权限模式约束当前模式决定无显式规则时如何处理。自动模式分类器基于机器学习评估工具安全性。Shell 沙箱即使被批准Shell 命令也可能在沙箱内执行。恢复会话不恢复权限会话级权限不会跨恢复/分支继承。Hook 拦截PreToolUse、PermissionRequest等事件可介入。3.6 上下文作为瓶颈除压缩流水线外多个设计都反映了上下文稀缺性CLAUDE.md懒加载工具 Schema 延迟加载子 Agent 只返回摘要单个工具结果有大小预算。轮次执行代理式查询循环当用户输入“修复auth.test.ts中失败的测试”后输入进入一个反应式循环。Claude Code 选择了简单while循环而不是显式图路由或树搜索。4.1 查询流水线单个轮次按固定顺序执行设置解析解析系统提示、用户上下文、权限回调、模型配置等不可变参数。可变状态初始化一个State对象保存消息、工具上下文、压缩跟踪、恢复计数器等。上下文装配从最近压缩边界之后获取消息。模型前上下文整形依次运行五个压缩/缩减步骤。模型调用以流式方式调用 Claude 模型。工具调度若响应包含tool_use进入工具编排层。权限门控每个工具请求通过权限系统。工具执行与结果收集结果作为tool_result加入对话。停止条件若模型只产生文本而无工具调用轮次结束。queryLoop()是一个异步生成器因此 UI 层可以流式接收事件同时核心循环保持单一同步控制流。4.2 工具调度与流式执行当模型返回多个工具调用时系统可以使用StreamingToolExecutor在模型响应仍在流出时就开始执行工具以减少延迟。备用路径是同步的runTools()。工具按是否可并发划分只读操作可并行修改状态的操作如 Shell 命令会串行执行。若某个 Bash 工具报错Sibling Abort Controller 会终止其他正在运行的子进程。结果以工具请求顺序输出保证模型看到的结果顺序稳定。4.3 模型前上下文整形五层整形依次执行Budget Reduction限制单个工具结果大小超大内容替换为内容引用。Snip轻量删除较老历史片段。Microcompact细粒度、缓存感知压缩。Context Collapse读时投影不修改完整历史只让模型看到折叠视图。Auto-Compact最后手段调用模型生成压缩摘要。这种设计的思想是“惰性降级”先使用破坏性最小的压缩再逐步升级。4.4 恢复机制查询循环包含多种恢复策略输出 Token 上限提升响应式压缩Prompt 过长处理流式调用回退备用模型切换。4.5 停止条件循环可因以下原因停止模型没有工具调用达到最大轮次上下文溢出Hook 阻止继续用户或系统显式中止。工具授权与控制边界Claude Code 在安全架构上组合了逐动作权限评估和可选 OS/命令沙箱。核心原则包括默认拒绝、渐进信任、多层防御和按可逆性加权风险。当 Claude 想执行npm test来复现测试失败时请求会进入权限流水线。默认行为不是静默允许而是拒绝或询问。5.1 权限模式与规则评估系统存在七类权限模式plan模型必须先生成计划经用户批准后再执行。default标准交互模式大多数操作需用户批准。acceptEdits工作目录内编辑和部分文件系统命令自动批准。auto启用机器学习分类器评估未快速通过的请求。dontAsk不询问但仍执行拒绝规则。bypassPermissions跳过多数权限提示但安全关键检查仍保留。bubble内部模式用于子 Agent 把权限请求升级到父终端。规则评估采用“拒绝优先”即使允许规则更具体拒绝规则也总是获胜。规则可匹配工具级别也可匹配工具输入内容如Bash(prefix:npm)。5.2 授权流水线完整授权过程包括预过滤模型看不到被 blanket deny 的工具。PreToolUse Hook可拒绝、询问或修改工具输入。规则评估默认拒绝规则引擎执行匹配。权限处理器根据运行环境走协调器、Swarm Worker、投机分类器或交互式用户对话路径。当分类器或拒绝规则阻止动作时系统不会简单终止而是把拒绝原因反馈给模型。模型可以在下一轮尝试更安全方案。这使权限系统不只是“刹车”也是行为塑形机制。5.3 自动模式分类器与 Hook 生命周期自动模式分类器会加载基础系统提示、外部权限模板以及 Anthropic 内部用户模板。它根据对话记录和权限模板产生允许、拒绝或人工审批建议。与权限相关的 Hook 事件包括PreToolUse可返回权限决策、原因和更新后的输入。PostToolUse可注入额外上下文或修改 MCP 工具输出。PostToolUseFailure可为错误注入指导信息。PermissionDenied可提供重试建议。PermissionRequest可异步返回允许或拒绝。5.4 Shell 沙箱Shell 沙箱与应用层权限系统互补权限决定“是否可执行”沙箱决定“执行时能接触什么”。一个命令可被批准但仍在沙箱中运行也可被权限系统拒绝而永远不进入沙箱。论文指出多层防御依赖层之间相互独立如果多个层共享同一性能约束防御可能同时退化。例如有安全研究指出超过 50 个子命令的复杂命令可能退化为单一通用批准提示以避免 UI 卡顿。扩展性MCP、插件、技能与 Hooks编程 Agent 必须决定扩展面如何组织一个统一机制、少数专门机制还是一组不同上下文成本的分层机制。Claude Code 选择了四类机制。6.1 四类扩展机制MCP 服务器Model Context Protocol 是主要外部工具集成路径。MCP 服务器可来自项目、用户、本地、企业配置也可由插件或 claude.ai 合并。客户端支持 stdio、SSE、HTTP、WebSocket、SDK、IDE 专用变体等多种传输方式。插件插件既是打包格式也是分发机制。插件 Manifest 支持命令、Agent、技能、Hooks、MCP 服务器、LSP 服务器、输出风格、频道、设置和用户配置等组件。一个插件可以同时扩展多个子系统。技能技能由带 YAML Frontmatter 的SKILL.md定义。字段可包括显示名、描述、允许工具、参数提示、模型覆盖、执行上下文、相关 Agent、努力等级和 Shell 配置。技能被调用时SkillTool会把技能说明注入上下文。Hooks源代码定义了 27 类 Hook 事件覆盖工具授权、会话生命周期、用户交互、子 Agent 协调、上下文管理、工作区事件与通知。Hooks 可以阻止、重写、标注工具调用也可注入上下文。6.2 工具池装配assembleToolPool()是合并内置工具与 MCP 工具的单一事实来源。装配流程为枚举基础工具最多 54 个工具其中 19 个始终包含其余受特性开关、环境变量和用户类型影响。模式过滤简单模式只保留 Bash、Read、Edit 等核心工具。拒绝规则预过滤被 blanket deny 的工具不进入模型视野。合并 MCP 工具MCP 工具也接受拒绝规则过滤。去重内置工具优先于 MCP 工具。6.3 为什么需要四种机制四种机制的差别在于上下文成本和表达能力机制独特能力上下文成本插入点MCP 服务器外部服务集成高工具 Schema模型可调用工具池插件多组件打包与分发中视组件而定全部注入点技能领域指令与元工具调用低通常只放描述上下文装配Hooks生命周期拦截与事件自动化默认零成本执行前后这种分层允许低成本扩展广泛存在而高成本工具 Schema 只在真正需要外部能力时进入上下文。上下文构造与记忆Agent 如何管理上下文窗口、如何持久化用户指令是核心设计选择。Claude Code 采用透明、文件化的记忆体系并配合渐进式上下文压缩。7.1 上下文窗口装配模型调用前上下文由以下来源装配系统提示包括输出风格和附加系统提示。环境信息Git 状态、内部构建缓存破坏注入等。CLAUDE.md层级多级指令文件。路径作用域规则读到匹配目录中的文件时懒加载。自动记忆异步预取相关记忆条目。工具元数据技能描述、MCP 工具名、延迟工具定义。对话历史受压缩影响。工具结果文件读取、命令输出、子 Agent 摘要。压缩摘要替代较旧历史片段。系统提示与用户上下文在 API 请求中结构位置不同CLAUDE.md内容作为用户上下文消息而非系统提示。这意味着它更像指导而非强制规则。7.2CLAUDE.md层级与自动记忆记忆系统的原则是Agent 看到的持久上下文应当可被用户检查、编辑、版本控制和删除。因此 Claude Code 使用 Markdown 文件而不是不透明数据库或向量索引。CLAUDE.md有四类记忆托管记忆如 Linux 上/etc/claude-code/CLAUDE.md用于 OS 级策略。用户记忆如~/.claude/CLAUDE.md私人全局指令。项目记忆项目根目录中的CLAUDE.md、.claude/CLAUDE.md和.claude/rules/*.md。本地记忆CLAUDE.local.md通常被 Git 忽略用于私人项目指令。文件按“优先级反向”加载后加载文件更受模型关注。越接近当前目录的文件优先级越高。嵌套目录下的规则可在读取相关文件时懒加载因此模型的指令集会随探索代码库而演化。系统还支持include指令用于模块化指令文件循环引用会被检测并避免。7.3 压缩流水线五层压缩流水线体现了“上下文是瓶颈”工具结果预算限制较旧历史轻量裁剪缓存感知微压缩读时历史折叠视图模型生成的完整摘要。buildPostCompactMessages()会产生压缩边界、摘要消息、保留消息、附件和 Hook 结果。设计上尽量追加写入而不是修改或删除已写入的转录行。子 Agent 委派与编排多 Agent 编排是编程 Agent 的关键设计维度。Claude Code 的子 Agent 架构强调隔离边界子 Agent 在独立上下文中运行拥有重建后的权限上下文和独立工具集最后只把摘要返回父对话。8.1 Agent 工具与委派条件委派通过AgentTool实现Task是保留的旧别名。模型调用 Agent 时会提供委派提示、可选子 Agent 类型、隔离模式、权限覆盖和工作目录等结构化输入。内置子 Agent 类型包括Explore主要用于只读探索通常禁止写入和编辑工具。Plan创建结构化计划。General-purpose通用能力用户明确要求时使用。Claude Code Guide用于上手与文档帮助。Verification运行验证检查如测试和 Lint。Statusline-setup配置终端状态栏。用户也可通过.claude/agents/*.md定义自定义子 Agent插件也可贡献 Agent 定义。每个 Agent 可拥有自己的系统提示、工具白名单/黑名单、模型、努力等级、权限模式、MCP 服务器、Hooks、最大轮次、技能、记忆作用域和隔离模式。8.2 隔离架构Claude Code 支持多种隔离方式Worktree创建临时 Git Worktree让子 Agent 在独立仓库副本中修改。Remote内部用户可在 Claude Code Remote 环境中运行。In-process默认方式共享文件系统但隔离会话上下文。权限覆盖有优先级若父会话处于bypassPermissions、acceptEdits或auto等明确用户决策的模式子 Agent 的权限覆盖不会取代父模式。8.3 Sidechain 转录每个子 Agent 写入独立的.jsonl和.meta.json文件。完整子 Agent 历史用于调试与审计但不会进入父上下文。父对话只接收最终响应文本与元数据。这种“摘要返回”模型是上下文节省选择。若把所有子 Agent 历史都共享给父对话会导致上下文爆炸。会话持久化与恢复会话持久化需要在追加日志、结构化数据库、快照和无状态架构之间做选择。Claude Code 采用以追加为主的 JSONL 记录。9.1 转录模型系统有三条独立持久化通道会话转录项目作用域每个会话一个 JSONL 文件保存用户、助手、附件、系统消息、压缩边界等事件。全局提示历史只保存用户提示存于配置目录的history.jsonl。子 Agent Sidechain每个子 Agent 单独的.jsonl与.meta.json。追加式 JSONL 有审计性和简单性优势人类可读、可版本控制、无需专门数据库即可重建。但它牺牲了复杂查询能力。9.2 恢复、分叉与不恢复权限--resume会通过重放转录重建对话。分叉会从已有会话创建新会话。然而会话级权限不会被恢复或分叉继承。用户必须在新会话中重新授权。这是安全保守选择会话被视为独立信任域。恢复旧授权虽然方便却可能把陈旧信任带入已变化的上下文。压缩边界通过记录headUuid、anchorUuid、tailUuid来支持读取时修补消息链。旧转录不被重写压缩只追加边界和摘要事件。对比分析Claude Code 与 OpenClawOpenClaw 是一个本地优先的 WebSocket 网关可把 WhatsApp、Telegram、Slack、Discord、Signal 等约二十多个消息表面连接到嵌入式 Agent 运行时并拥有 macOS、iOS、Android 伴随应用。Claude Code 是绑定到单个仓库会话的 CLI 编程 HarnessOpenClaw 是面向多通道个人助手的持久控制平面。二者处于 Agent 设计空间的不同区域。10.1 六个比较维度维度Claude CodeOpenClaw系统范围CLI/IDE 编程 Harness会话级短生命周期进程持久 WebSocket 网关守护进程多通道控制平面信任模型逐动作默认拒绝、Hooks、可选 ML 分类器、七种权限模式单个可信操作者DM 配对与发送者白名单沙箱可选Agent 运行时queryLoop()异步生成器是系统中心Pi-agent Runner 嵌入网关 RPC 调度中扩展架构MCP、插件、技能、Hooks按上下文成本分层Manifest 优先插件系统12 类能力中央注册表记忆与上下文CLAUDE.md层级、五层压缩、LLM 记忆扫描工作区 Bootstrap 文件、长期记忆、每日笔记、可选混合检索多 Agent 与路由任务委派子 Agent、Worktree 隔离、摘要返回多 Agent 路由与子 Agent 委派分离支持通道绑定和嵌套深度10.2 对比揭示了什么对比产生三点观察设计问题是稳定的推理位置、安全姿态、上下文管理、扩展结构等问题并不只属于编程 Agent。两个系统在多个维度做出相反押注Claude Code 投资逐动作安全评估OpenClaw 投资边界级身份与访问控制Claude Code 以 Agent 循环为中心OpenClaw 以网关控制平面为中心。二者可以组合OpenClaw 可通过 ACP 承载 Claude Code把它作为外部编程 Harness。讨论论文将前文六个子系统分析综合起来讨论设计哲学、价值张力、架构权衡和经验预测。11.1 设计哲学Claude Code 投资于操作基础设施而不是复杂决策脚手架。系统绝大多数代码是确定性 Harness权限门、工具路由、上下文管理、恢复逻辑。LLM 被当作无状态补全端点调用。这与许多 Agent 框架不同后者把模型输出路由到显式图节点和类型边中。Claude Code 更倾向于给模型最大决策自由同时用丰富 Harness 提供执行和安全边界。随着前沿模型在编程任务上能力趋同周围操作 Harness 的质量可能成为主要差异化因素。11.2 价值张力价值组合张力证据或例子决策权 × 安全审批疲劳 vs. 保护用户批准约 93% 权限提示安全不能只依赖人类警觉安全 × 能力性能 vs. 防御深度复杂命令为避免 UI 卡顿可能跳过逐子命令检查适应性 × 安全扩展性 vs. 攻击面Hooks 和 MCP 服务器初始化可能引入预信任攻击面能力 × 适应性主动性 vs. 打扰主动助手能增加任务完成但高频率会降低偏好能力 × 可靠性速度 vs. 一致性有界上下文限制全局代码库认知子 Agent 隔离影响一致性长期能力保存也引入额外张力AI 工具可能提高短期产出但增加代码复杂度、削弱理解能力或影响新手成长路径。11.3 架构权衡安全 vs. 自主性权限模式构成从计划模式到绕过权限的渐变谱。随着自主性提高安全从人工审批转向自动检查与沙箱。对抗条件下的权限模型安全研究显示某些漏洞来自初始化顺序Hooks、MCP 连接和设置解析可能在用户信任对话前执行。这说明权限图不仅要考虑空间上的检查顺序也要考虑时间上的初始化顺序。上下文效率 vs. 透明性五层压缩提高上下文利用效率但部分压缩对用户不可见。用户可能难以清楚知道哪些信息被丢弃或摘要化。简单性 vs. 扩展性四类扩展机制组合能力强但也带来交互复杂性插件 Hook、分类器、懒加载规则、权限处理器分支等可能产生涌现行为。11.4 经验预测与早期信号该架构产生可测试预测由于上下文窗口有限Agent 生成代码可能更容易出现模式重复、约定违反和局部最优。子 Agent 隔离会加剧这种风险因为并行 Agent 可能各自重新实现已有方案。相邻系统的研究显示AI 工具采用可能伴随代码复杂度增加和技术债持续存在。但 Claude Code 的渐进压缩、摘要隔离和缓存感知机制是否足以缓解这些问题仍需经验验证。11.5 局限源代码分析存在限制构建目标和 Feature Flag 会导致行为差异上下文装配函数有缓存运行时变化可能不立即反映许多机制可能受内部构建或实验开关影响。11.6 新兴方向论文指出几个更广阔方向更长上下文窗口可能减轻压缩压力多模态工具将扩大工具面并带来新上下文挑战权限性质的形式化验证可增强安全保证Harness 组件可能逐步虚拟化使会话、Harness、沙箱成为可替换接口记忆会从上下文副产物变成一等子系统可观测性需要与离线评估、生成器-评估器分离结合治理和监管将要求更明确的日志、透明度和人类监督接口主动式 Agent如论文提到的 KAIROS将引入用户在场感知和成本节流问题。11.7 反复出现的设计选择三项跨子系统承诺贯穿全文分层机制优于单体机制安全、上下文和扩展都采用多层独立机制。追加式设计偏向审计性而非查询能力JSONL 转录、压缩边界、权限不恢复都服务于可审计。确定性 Harness 中的模型判断模型保留工具选择和行动顺序自由Harness 负责执行条件与边界。未来方向论文提出六个开放问题。12.1 静默失败与可观测性-评估鸿沟生产 Agent 的主要失败模式往往不是崩溃而是静默错误。可观测性已较普及但离线评估仍不足。开放问题是评估脚手架应内置于 Harness还是作为独立层现有 Hook 管线是否能承载这种评估而不耗尽上下文12.2 持久化记忆与长期同事关系系统当前有CLAUDE.md静态指令层和 JSONL 会话转录层。两者之间是否需要新的“可积累经验层”它如何同时承载个人指令、组织上下文和长期工作关系又如何避免恢复旧权限带来的安全风险12.3 Harness 边界演化在哪里、何时、做什么、与谁协作未来 Harness 可能沿四个方向扩展在哪里运行会话、Harness、沙箱虚拟化为接口何时行动从反应式转向主动式作用于什么从文本/代码扩展到视觉-语言-动作和物理世界与谁协作从父子 Agent 扩展到角色分化、多 Agent 辩论和图式工作流。12.4 长时程扩展从会话到科研项目当 Agent 工作从单个会话延长到数天、数周甚至科学研究项目时现有转轮、会话、子 Agent、记忆是否仍足够这可能需要跨会话记忆、长期协调原语或新的 Harness 层。12.5 规模化治理与监督AI 监管将对架构提出外部约束日志、透明度、人类监督、版权与数据来源等。当前内部可审计的 JSONL 转录是否足以满足外部监管接口“价值优先于规则”的设计能否转化为合规审查所需的明确规则表达12.6 重新审视评估镜头长期人类能力如果长期人类能力保存要成为一等设计问题需要回答两个问题能否在会话粒度测量理解能力、认知卸载和代码约定漂移一旦测量存在架构应如何响应是通过生成器-评估器分离、理解保护界面还是由 IDE、组织流程或人类学习机制承担相关工作论文把 AI 编程工具按自治程度分为四类类别例子模式内联补全Copilot, Tabnine编辑器插件聊天集成Cursor, Windsurf, CodyIDE 耦合产品代理式 CLIClaude Code, Codex CLI, Aider工具使用循环完全自主Devin, SWE-Agent, OpenHands沙箱 规划Claude Code 的核心循环遵循 ReAct 模式模型生成推理与工具调用Harness 执行动作结果反馈给下一轮。它也与 LangGraph、AutoGen、CrewAI、SWE-Agent、OpenHands、Aider 等系统在安全、上下文、协议和软件架构层面形成对照。在上下文管理上常见方法包括简单截断、滑动窗口、RAG、单次摘要和渐进压缩。Claude Code 采用多层渐进压缩。在安全上不同系统可使用逐动作审批、分类器自动化、容器沙箱、文件系统沙箱、Git 回滚或会话权限重置。Claude Code 选择把多种机制叠加。在扩展协议上MCP 已成为事实标准之一也带来了工具投毒、跨服务器阴影和 Rug Pull 等新的攻击面。结论生产级编程 Agent 可以被理解为对一组反复出现设计问题的回答推理相对于 Harness 的位置、执行如何组织、安全如何默认、扩展如何划分、上下文如何管理、子 Agent 如何委派、会话如何持久化。Claude Code 在这个空间中占据了清晰位置它给予模型广泛的局部自治同时用密集、确定性的 Harness 包围模型负责权限、工具路由、上下文压缩、扩展和会话恢复。OpenClaw 对比进一步说明同样的设计问题会在不同部署语境中产生不同答案Claude Code 在 CLI Harness 中投资逐动作安全分类和渐进式上下文压缩OpenClaw 在多通道网关中投资边界级访问控制和结构化长期记忆。二者甚至可以组合OpenClaw 可把 Claude Code 作为外部 Harness 承载。对 Agent 构建者而言最重要的开放问题也许不是“如何增加更多自治”而是“如何在长期保存人类能力”。当前架构显著放大短期能力但对长期人类理解、代码库一致性和开发者成长的显式支持仍然有限。未来系统可以把这一可持续性缺口作为一等设计问题而不是事后评估指标。学AI大模型的正确顺序千万不要搞错了2026年AI风口已来各行各业的AI渗透肉眼可见超多公司要么转型做AI相关产品要么高薪挖AI技术人才机遇直接摆在眼前有往AI方向发展或者本身有后端编程基础的朋友直接冲AI大模型应用开发转岗超合适就算暂时不打算转岗了解大模型、RAG、Prompt、Agent这些热门概念能上手做简单项目也绝对是求职加分王给大家整理了超全最新的AI大模型应用开发学习清单和资料手把手帮你快速入门学习路线:✅大模型基础认知—大模型核心原理、发展历程、主流模型GPT、文心一言等特点解析✅核心技术模块—RAG检索增强生成、Prompt工程实战、Agent智能体开发逻辑✅开发基础能力—Python进阶、API接口调用、大模型开发框架LangChain等实操✅应用场景开发—智能问答系统、企业知识库、AIGC内容生成工具、行业定制化大模型应用✅项目落地流程—需求拆解、技术选型、模型调优、测试上线、运维迭代✅面试求职冲刺—岗位JD解析、简历AI项目包装、高频面试题汇总、模拟面经以上6大模块看似清晰好上手实则每个部分都有扎实的核心内容需要吃透我把大模型的学习全流程已经整理好了抓住AI时代风口轻松解锁职业新可能希望大家都能把握机遇实现薪资/职业跃迁这份完整版的大模型 AI 学习资料已经上传CSDN朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】