从 Claude Code 看 Agent 编程工具的底层架构与边界

Claude Code 不只是编程助手,更像终端里的 Agent 操作系统。

原文标题:全网都在用的 Claude Code,一本书吃透底层源码架构

原文作者:图灵编辑部

冷月清谈:

文章以 Claude Code 的诞生过程切入,讲述它从 Anthropic 工程师的内部实验,逐步发展为广泛使用的 AI 编程工具。作者认为,Claude Code 与传统代码补全工具不同,它更像运行在终端里的微型 AI 操作系统:能持续理解任务、调用工具、读写文件、执行命令,并在多轮循环中推进工程目标。

文章进一步指出,Claude Code 能成立,依赖模型能力、工具协议和可信执行环境三方面共同成熟。随后引出《Claude Code 源码架构:核心解析》一书,强调其价值不在逐行讲代码,而在拆解 Agent 系统背后的架构取舍,包括交互循环、上下文管理、工具调用、权限治理、Prompt 工程等。

文中较有启发的观点包括:复杂工程任务不是一次回复完成的,而是模型推理、工具执行、结果回填的持续循环;工具执行不能完全交给模型,读操作可并行,写操作需串行;Prompt 不能被神化,真正可靠的 Agent 系统必须把模型能力与传统工程约束结合起来。

怜星夜思:

1、Claude Code 这种“你提目标,它自己干活”的模式,会不会真的改变程序员的核心工作?
2、一个能读写文件、执行命令、联网的 AI Agent,权限到底应该放到多大才算安全?
3、文章说 Prompt 工程不能被神化,那做 Agent 系统时,Prompt 和传统工程设计哪个更重要?
4、如果想学习 Claude Code 这类 Agent 架构,应该先读源码、先看书,还是直接动手做一个小项目?

原文内容

2024 年 9 月,Anthropic 新来的工程师 Boris Cherny 只是想摸熟公司的 API,就在终端里随手搭了个小玩具。那东西简陋得可笑,读不了文件,跑不了命令。它唯一的本事,是接上 AppleScript,告诉他此刻电脑里正放着哪首歌,心情好,还能替他换下一首。

有意思的是,这段脚本并不是 Boris 写的,他压根没碰过 AppleScript,是他给模型放开了执行命令的权限之后,模型自己琢磨出来、写好去查的。

这就是一切的起点。后来他干脆把读写文件、敲命令的能力全交给了它——它活了。

2024 年 11 月,内部试用版上线第一天,两成工程师用上了它。到第五天,半个 Anthropic 工程团队都在用。此后让它真正脱胎换骨的不是什么精巧的外壳或界面,而是模型本身一代代变强。

2025 年 2 月,它随 Claude 3.7 Sonnet 走向公众,5 月正式商用,到 2026 年初已跑过十亿美元年化营收,占下 AI 编程市场的半壁江山。

最让人想不到的是今天全世界每 25 次推上 GitHub 的公开代码提交,就有 1 次出自它手。而它的创造者本人,已经半年多没亲手敲过一行代码了。他说:“对自己这类工作而言,编程已经被解决了。”

它这就是 Claude Code

它根本不像个工具

第一次认真用它的人,常有一种说不上来的错位感。

锤子不会自己找钉子,计算器不会替你决定先算哪一步。工具的本分就是等你下令,Claude Code 偏不。

你敲下回车之后,它会自己琢磨下一步干什么、调哪个工具,把结果拿回来再想一轮,接着往下推。它记得住你的偏好,知道什么能碰什么不能碰,甚至会把活儿拆给不同的子任务并行处理。

你不再是那个盯着它一步步执行的人,更像是把一个目标交给它,然后看着它自己把路走通。

这已经不是工具两个字能装下的了。它有状态、有记忆、有边界、有分工——这些恰恰是一个操作系统才有的特征。

说得直白点,Claude Code 更像一个跑在你终端里、由 AI 自主驱动的微型操作系统。过去那些 AI 编程助手本质是更聪明的自动补全,还是你在写、它在帮。而 Claude Code 是你在指挥、它在干。

普通聊天型 AI 以一句漂亮的回复收场,它衡量每一轮的标准却是另一个:“这件事,有没有往前推进一步”

为什么现在要学会用 Claude Code

让 AI 自主干活这个念头喊了很多年。真正让它落地,是有三件事在这两年一起成熟了:

  1. 模型够强了:能在像样的工程项目里把需求从头落到尾;
  2. 工具协议统一了MCP(Model Context Protocol)、Skill 这类标准让任何外部服务都能用一种姿势接进来;
  3. 执行环境可信了:权限、沙箱、策略边界到位,一个能敲 shell 的 AI 才不至于是个谁也不敢放手的黑箱。

三者缺一不可,光有模型,它只能聊天;有工具没治理,它能跑你不敢信;治理再好模型不行,还是空中楼阁。

Claude Code 难得在它是把这三条边接得最稳的那个,也因此成了观察 Agent 时代最好的样本。

但问题来了,它好,你感感觉得到。它为什么好,你未必说得清。而这,正是一本好书该出场的地方。

一本帮你拆解底层逻辑的书

最近读到的《Claude Code 源码架构 : 核心解析》,干的就是这件事。网上讲 Claude Code 的内容不少,但大多落在两极。要么是使用教程,要么是逐行抠代码。这本书走中间那条更难也更值钱的路——讲架构,讲那些藏在代码背后的为什么

作者有个比喻我特别认同:“新手读源码最容易把读懂每一行当头等大事,可源码的本质从不是语句的堆叠,而是一群人为解决某个问题做出的一连串架构取舍。只盯单行实现,就像只盯着砖头纹理,却看不见整栋房子的格局——你能把每块砖描述得头头是道,却说不出这房子为什么这么盖。”

全书顺着“启动—交互—执行—扩展”铺开,不仅让你掌握 Claude Code 的底层原理,还让你彻底搞懂 Agent 系统。

说两个我印象最深、也最反直觉的点:

它教你重新理解“终端里那个对话框”

普通聊天框职责很纯:收消息、发模型、显示回复,适合一问一答。但软件工程不是一轮回复能搞定的,得不断攒上下文、推任务、处理工具结果。Claude Code 把交互理解成“持续工作”而非“连续发消息”,它把对话框做成了一个工作台:你在这儿提交任务、看阶段结果、判断下一步是继续还是掉头。

背后是一套循环——调模型、解析它要调的工具、执行、把结果回填、再调模型。一个“帮我重构 auth 模块”的请求,可能要转上 5 到 15 轮。看懂这个循环,你才算真懂它凭什么扛得住复杂任务。

最见功力的一处:工具执行,它偏偏不全交给 AI

你以为聪明的 Agent 会让模型自由调度一切,恰恰相反——执行工具时,它用的是最朴素的传统工程手法:按“并发安全”分两组。

  • 只读的(读文件、搜代码):可以并行,互不打架;
  • 但凡写入的(改文件、跑 Bash 写命令):必须串行,保证顺序一致。

它没天真地相信模型能管好执行安全,而是用确定性的工程规则,在模型的自主之外又兜了一层底。这种该信模型的信、该信工程的信工程,是全书反复强调的清醒。

关于 Prompt 工程的迷思当然,最让人津津乐道的 Prompt 工程也有专门一章,比如那个反直觉的发现:管住 AI 靠的是高密度的别做什么,而非该做什么。但作者特意提醒:“别把 Prompt 单拎出来神化,真功夫是把扎实的工程设计 and 它拧在一起。”

这些洞察有个共同的好处是不随版本号作废。函数签名、文件路径会变,但“为什么工具调用要和模型推理解耦”“为什么写操作必须串行”这些设计层面的考量,能稳很多年。这本书给大家的,正是这些不变的东西。

给你提供一种全新看问题的方式

到全书结尾,作者抛给读者一个诚恳的问题:”你通读完,到底该带走什么?“

他的答案是——别盯具体实现,那些迟早过时;你该装进行囊的,是一套思维方式。看系统要看数据怎么流、错误怎么扩散;每给系统加一项能力,就同步问一句约束在哪。能力和缰绳,得一起长。

  • 保持敬畏:Claude Code 源码里堆着大量处理意外的代码(中断、超时、重试、熔断)。它们的存在本身就在说——哪怕是最强的模型,也没法保证每条路径都顺利走通。承认 Agent 的不确定性、为失败做好准备,正是专业系统和业余作品之间最清楚的分水岭。
  • 直面缺陷:这本书没从头吹到尾。它一样把几道坎摊在你面前——谁也说不清某段 Prompt 为什么更管用,这门手艺还远谈不上科学;一个能跑命令、读写文件、联网的 AI,既是它的底气也是它最危险的地方。一本愿意把问题和优点一起摆出来的书,反而更让人信得过。

不管你是懂技术的开发者,还是零基础的职场人,或者本就对 Agent 设计感兴趣,如果你想要一份能搬进自己项目的经验—,这本九十多页的小册子,真的很值得读。

我很喜欢作者的这句:学一样东西最好的办法永远只有一个,打开编辑器,敲下第一行,然后亲眼看着它跑起来。而这本书要替你做的,是在你动手之前,先把那张架构地图,在你脑子里铺明白。

Claude Code 源码架构:核心解析》
叶文滔 | 著
Claude Code 是 Anthropic 出品的标杆 AI 编码工具,具备成熟的 Agent 系统设计,本书依托其源码,以 “启动–交互–执行–扩展” 为主线拆解整体架构与模块边界,其中一二章讲解入口分流、REPL 交互及命令、工具系统设计,第三章剖析上下文管理、文件持久记忆与上下文窗口压缩等底层机制,第四章深入负向指令、元 Prompt、验证 Agent 等 Prompt 工程核心方法,第五章则从工具与操作系统两个维度总结 Claude Code 的设计启发。
叶文滔,AI 研发专家,曾任职于字节跳动、蚂蚁集团等知名科技企业,负责过多个企业级大模型、Agent 研发项目,兼任香港中文大学 ( 深圳 )、西交利物浦大学人工智能与先进计算学院校外导师。著有《OpenClaw( 小龙虾 ) 权威指南 : 从架构原理到源码解析》,译有《大模型技术 30 讲》,另有多篇以第一作者身份发表的 AI 相关论文与专利。
全书共分 5 章,第 1 章和第 2 章梳理入口分流机制、REPL 交互流程,以及命令系统与工具系统的设计思路。第 3 章聚焦底层支撑机制,包括上下文管理、基于文件的持久化记忆以及上下文窗口压缩策略。第 4 章深入分析 Prompt 工程,重点讨论负向指令、元 Prompt、验证 Agent 等核心技巧。第 5 章从工具与操作系统的双重视角,总结 Claude Code 的设计启示。
作者行文简洁,不堆砌代码,着力呈现核心架构脉络,认真读完,你将获得:
  • 工业级 Agent 系统架构地图
  • 可迁移的 Prompt 工程方法论
  • 上下文管理、持久化记忆的实战方案
  • 工具调用、权限治理的设计取舍
如果你希望深入理解 Claude Code 内部机制的日常使用,或者对 Agent 系统设计感兴趣,这本书一定要好好读一下

复制下方链接到浏览器,可以下载本书试读PDF:
https://download.ituring.com.cn/book/download/a8ef8e65-4c82-4850-beb5-700e68cb2c38

这个问题其实和操作系统权限很像。不是问“它聪不聪明”,而是问“它出错时损失能不能被限制住”。能在临时分支里改代码,和能直接改生产配置,完全是两个宇宙。

3 个赞

我觉得安全边界应该按场景分层。个人玩具项目可以放开一点,反正炸了重来;公司生产仓库就必须分级授权、审计日志、可回滚、禁危险命令。不能用“我相信模型”替代权限设计。

3 个赞

如果是零基础,先看书更友好。源码通常是结果,不是教程,它不会告诉你为什么这么设计。先有地图,再进森林,迷路概率低很多。

1 个赞