Claude code 源码分析

事件背景

美国东部时间2026年3月31日凌晨4点23分，安全研究者 Chaofan Shou 在 X 发布推文, 发现 Anthropic 发布到 npm 的 Claude Code 包中，官方没有删除source map 文件, 这意味着 Claude Code 的完整 TypeScript 源码全部泄露, 包含 1902 个源文件以及 513,237 行代码.

目录结构

本仓库为对 Claude Code 泄露源码的静态分析文档集

claude-code-analysis/
├── README.md                        # 本说明文档（总索引）
├── analysis/                        # 分析文档主目录
├── src.zip                          # 源代码压缩包
└── src/                             # 源代码（仅供分析跳转引用）

总述

本目录中的分析文档基于 src/ 源码静态阅读整理，主要探讨以下系统设计问题：

1. 软件架构设计与程序启动路径。
2. 安全分析：用户信息的收集、利用情况，潜在的安全风险及防范措施。
3. Agent Memory 机制（多层级存储与 Session 压缩逻辑）及实现细节。
4. 能力扩充机制（Skills 扩展、Tool Call 机制、MCP 集成）的技术实现及运行方式。
5. 隔离机制：通过 Sandbox 防范本地操作风险的设计与实现。
6. 内部程序架构设计与模块特点。
7. UI 拆解：src/components/ 内 TUI 控制台的组件构成。
8. 竞品对比：与 Codex、Gemini CLI、Aider、Cursor 等工具的功能及体系差异分析。
9. 源码证据与外部公开资料对照。

主要系统特征：

• 该项目属于本地代码 Agent 平台，具备独立的执行逻辑与环境闭环设计。
• 核心功能包含统一的执行内核、分层 Memory 系统，以及基于 MCP 和 Skills 的外接扩展支持。
• 架构防御层面，系统采用了本地 Sandbox 隔离与工具调用权限（Tool Permission）控制措施。
• 隐私层面，涉及数据流出的环节主要包括模型上下文交互、本地持久化存储和外部组件远程通信功能。

一图总览

+---------------------------+
| CLI / 多入口               |
| entrypoints/cli.tsx       |
| main.tsx                  |
+---------------------------+
            |
            v
+---------------------------+
| 初始化与运行环境             |
| init.ts / setup.ts        |
+---------------------------+
      |                |
      v                v
+----------------+   +---------------------------+
| 命令与控制面     |   | TUI / REPL 工作台          |
| commands.ts    |-->| App / REPL / Messages     |
| PromptInput... |   | / PromptInput             |
+----------------+   +---------------------------+
                             |
                             v
                  +---------------------------+
                  | Query / Agent 执行内核     |
                  | query.ts / QueryEngine.ts |
                  +---------------------------+
                    |           |           |
                    v           v           v
          +---------------+ +--------------------+ +----------------------+
          | Tool/Perm     | | Transcript/Memory  | | 平台扩展层             |
          | Tool.ts       | | sessionStorage     | | MCP/Plugin/Remote/   |
          | orchestration | | memdir/SessionMem  | | Swarm                |
          +---------------+ +--------------------+ +----------------------+
                    \______________   |   ______________/
                                   \  |  /
                                    \ v /
                              回流到执行内核

分章目录

第一部分：总体架构

• 第一章：软件架构与程序入口

第二部分：安全分析

• 第二章 §1：用户信息收集与利用——系统接触哪些信息、如何被使用
• 第二章 §2：软件代码安全分析——源码中的风险点与攻击路径
• 第二章 §3：防范性安全措施——系统为保护宿主机构建的多层防线

第三部分：核心机制

• 第三章：Agent Memory 机制是怎么做的
• 第四章：Skills 的技术实现细节与运行方式
• 第五章：Tool Call 机制实现细节
• 第六章：MCP 技术实现细节与运行机制
• 第七章：Sandbox 技术实现细节与运行机制
• 第八章：Context 上下文管理实现细节
• 第九章：Prompt 管理机制与实现细节
• 第十章：Multi-Agent 机制与实现细节
• 第十一章：Session Storage / Transcript / Resume 持久化机制

第四部分：程序架构及亮点

• 第十二章：程序架构及亮点

第五部分：扩展分析

• 第十三章：额外探索与补充发现
• 第十四章：隐藏命令、Feature Flags 与彩蛋
• 第十五章：负面关键词检测与挫败感信号机制

第六部分：组件体系详解

• 组件详解（一）：组件总览、分层与依赖主干
• 组件详解（二）：核心交互组件与消息/输入主链路
• 组件详解（三）：平台能力组件与控制面实现
• 组件详解（四）：组件索引、长尾组件与目录映射
• 组件详解（五）：核心组件函数级实现拆解
• 组件详解（六）：平台控制面函数级实现拆解
• 组件详解（七）：叶子组件与子函数实现拆解

第七部分：同类产品对比

• 第十六章：同类产品对比
• 附录A：外部对比资料

第八部分：证据与资料

• 第十七章：代码证据索引
• 附录B：src 详细文件树（含文件说明）

第九部分：总结

• 第十八章：总结结论

声明

本项目仅供学术研究与技术学习使用。

本仓库所有内容均为对公开信息的二次整理与分析。Claude Code 的所有权利归 Anthropic 所有。

1. 无侵权意图：本分析文档基于已在公共互联网上广泛流传的信息整理撰写，目的在于帮助开发者了解 AI Coding Agent 的安全边界、隐私设计与工程架构，属于正当的技术研究行为。
2. 禁止商业使用：禁止将本仓库内容用于任何商业目的，或以此绕过、破坏 Claude Code 的安全机制与用户协议。
3. 免责声明：本仓库作者不对因参考本文档而产生的任何直接或间接损失负责。如有任何合规疑虑，请以 Anthropic 官方文档与用户协议为准。
4. 如需删除：若 Anthropic 认为本仓库内容侵犯其合法权益，请通过 Issue 联系，我们将在核实后第一时间进行删除处理。

Star History