当 AI 编程工具进化为能够自主执行任务的智能体时,其底层的架构设计选择所影响的已远不止性能本身,更关系到系统的安全性、可控性以及长期可持续性。来自 MBZUAI VILA Lab 的研究团队,联合 UCL,以 Anthropic 的 Claude Code 源码为具体案例,对生产级 AI 智能体的设计空间进行了系统性的分析。
这项新研究在 X 平台上引发了广泛的关注与讨论:
该团队发布的研究,旨在回答一个核心问题:构建一个生产级的 AI 智能体,究竟需要解决哪些关键的设计问题?
Claude Code 是当前一代 AI 编程工具的典型代表:只需在终端输入一句“帮我修复 auth.test.ts 里失败的测试”,它便会自动收集上下文、规划执行步骤、调用各类工具、运行命令并检查结果,通过反复迭代直至任务完成[7]。尽管围绕其源码的解读文章已有很多,但它们大多停留在“如何实现”的技术层面。
这篇论文的切入视角则完全不同:
它并不满足于复述实现细节,而是尝试从源码和官方文档中逆向推导出驱动整个架构的设计哲学与设计原则。论文深入分析了权限、上下文管理、可扩展性、子智能体等关键子系统的设计权衡。同时,通过与近期备受关注的开源智能体系统 OpenClaw 的对比,展示了相同的设计问题在不同部署场景下,如何导向截然不同的解决方案。
研究方法
论文的分析基于以下几类信息来源:Claude Code v2.1.88 的 TypeScript 源码、Anthropic 官方发布的博客与产品文档,以及来自社区的逆向工程分析报告。
观察一:五条设计哲学塑造了架构,但它们之间存在内在矛盾
论文并没有一上来就深入技术细节,而是首先追问了一个更底层的问题:这个系统为何被设计成现在这个样子?通过综合分析 Anthropic 官方文档、源码及相关资料,论文总结出五条以人类价值观为导向、驱动整个架构的设计哲学:
- 人类决策权威:人类必须能够随时查看、批准或否决智能体的任何操作。
- 安全、隐私与数据保护:即便在人类无暇顾及之时,系统自身也必须能够保护用户、代码及数据的安全。
- 可靠执行:智能体的行为必须与人类的意图高度一致,并能在长时间运行中保持方向不偏离。
- 能力放大:系统应使人类能够达成以往无法独立完成的任务。
- 上下文适应性:系统需能适应不同用户的具体项目、工具及习惯,并随着使用时间的推移不断优化。
在此基础上,论文从官方文档和社区分析中提炼出十三条具体的设计原则,例如“拒绝优先”、“渐进式信任”、“纵深防御”以及“最小脚手架、最大操作Harness”等。
然而,论文发现,这些设计哲学之间存在着天然的矛盾与冲突。例如:
- 人类决策权威 vs. 安全:根据 Anthropic 的分析[1],用户批准了约 93% 的权限弹窗。频繁的审批点击导致用户对授权内容的注意力显著下降。因此,安全不能完全依赖人类审批,系统本身必须具备独立的防护机制。
- 安全 vs. 能力:严格的安全检查会带来性能代价。安全研究机构 Adversa.ai [2] 发现,当一条命令包含超过 50 个子命令时,若逐条进行拒绝规则检查,会导致界面冻结。为此,系统选择牺牲逐条检查,退化为单条审批以保持响应速度。这表明在性能压力下,多层安全防御有时不得不让位于可用性。
- 可扩展性 vs. 安全:丰富的扩展能力会扩大攻击面。Check Point Research 的安全研究[3]发现,Hooks 和 MCP 扩展在信任对话弹出之前就会加载,这个时序窗口被已披露的安全漏洞(CVE-2025-59536、CVE-2026-21852)所利用。扩展性越强,提前加载的代码越多,可被攻击的窗口也就越大(这些漏洞已在披露后数周内修复)。
这些矛盾更像是同时追求多条设计哲学所带来的必然取舍,而非单纯的设计缺陷;类似的权衡在其他智能体系统中也同样可能出现。
观察二:“最小脚手架、最大操作Harness”
△ 图1:Claude Code 的高层系统结构
系统由七个功能组件构成:用户、接口层、智能体循环、权限系统、工具、状态与持久化、执行环境。
这里的“脚手架”指的是约束和引导模型决策的规划框架,而“操作Harness”则是围绕模型运行的基础设施。对源码的分析显示,Claude Code 的绝大部分代码都是确定性基础设施(权限检查、工具路由、上下文管理、错误恢复),AI 决策逻辑仅占约 1.6%。核心的智能体循环是一个持续迭代的过程:调用模型、获取工具调用请求、执行、返回结果,直到模型停止请求。
在智能体工程领域,存在不同的设计取向。一些框架(如 LangGraph [8])将决策逻辑编码为显式的状态图,而 Claude Code 则选择了另一条路:不硬性规定模型的决策路径,而是赋予模型较大的决策自由度,同时用确定性代码来保障安全执行。
论文的分析指出,随着前沿模型在编码能力上逐渐趋同,围绕模型构建的“操作Harness”的质量,可能成为产品差异化竞争的关键因素。
用户请求执行流程
△ 图2:智能体循环的多轮迭代过程。
用户输入经过上下文装配进入循环:模型产出工具调用请求,由权限系统判定,允许则执行,拒绝则把反馈返回模型重试;遇到上下文压力时会触发压缩。循环持续直到模型不再请求工具,输出最终回复给用户;用户继续对话则再次进入新一轮循环。
上文讨论了“为什么这样设计”,接下来看“具体如何运行”。论文用一个“运行示例”串联起各个架构层级:假设输入“帮我修复 auth.test.ts 里失败的测试”,系统会先组织上下文(加载 CLAUDE.md 项目指令、对话历史、工具定义、git 状态等),然后在每轮模型调用前执行上下文压缩管道。在调用模型之前,权限系统已经通过工具预过滤移除了被禁止的工具。模型在可见的工具范围内决定要调用哪些工具后,权限系统再次判断具体操作是否允许执行。通过后工具执行,结果喂回模型,进入下一轮循环。子智能体委派也是通过 Agent 工具在这个循环中触发的。
这个循环涉及以下几个重要的架构层面:
1. 权限机制
△ 图3:权限系统的决策结构。
每次工具调用都要经过权限系统的判定,系统内置多层安全机制,最终结果分为三种:允许则放行执行,拒绝则直接返回,询问则交由用户或自动分类器裁决。
系统设计了七层独立的安全机制,包括工具预过滤、拒绝优先规则、权限模式、ML 分类器(Auto-Mode Classifier)、沙箱隔离、恢复会话时不继承旧权限,以及 Hooks 拦截。并非每次操作都会触发全部七层。例如,ML 分类器仅在 auto mode 开启时生效,沙箱仅针对 Shell 命令且需全局启用,Hooks 拦截则取决于用户是否配置了相应的 Hook。但在适用的层上,任何一层都可以单独否决操作(不过论文也指出,在性能压力下这些层可能共享失败模式)。
2. 上下文管理
随着对话推进,上下文窗口里的内容不断膨胀。为了不超出 token 预算,系统设计了五层上下文压缩:预算裁剪(始终生效)、历史修剪、微压缩、上下文折叠、自动摘要(默认开启)。其中历史修剪和上下文折叠受 feature flag 控制,不一定在所有版本中都启用。这五层在每轮模型调用前顺序评估,各层独立判断是否需要触发,从轻量裁剪到模型生成摘要,压缩力度逐层递增。
3. 可扩展性
模型的能力并不局限于其内置工具集。Claude Code 提供了四种主要的扩展途径:MCP 服务器用于对接外部工具与数据资源;技能(Skills)负责注入特定领域的操作指令;Hooks 提供了覆盖工具调用、会话生命周期及上下文管理等多个层面的拦截点;插件(Plugin)则作为一种打包与分发格式,能将上述机制以及命令、智能体定义等多种组件整合成可安装的扩展包。不同的扩展机制对上下文窗口的消耗程度各异,开发者可依据具体场景灵活选择最合适的扩展方式。
4. 子智能体的委派与编排
模型能够通过调用 Agent 工具来派遣子智能体(Subagent)执行子任务。系统内置了多种预设的子智能体类型(例如专注于探索的 Explore 和专注于规划的 Plan),同时也支持用户自定义。默认情况下,子智能体在独立的上下文窗口中运行,其隔离模式包括进程内隔离(默认模式,共享文件系统但上下文独立)和 git worktree 隔离(拥有独立的文件系统副本)。任务完成后,子智能体仅将最终结果返回给父智能体。在 agent teams 场景中,系统借助文件锁机制来协调多个智能体之间的任务分配。
观察三:与 OpenClaw 的对比:相同的设计挑战,不同的解决方案
该论文不仅深入剖析了 Claude Code,还将其与近期在开源社区中迅速流行的智能体系统 OpenClaw [6] 进行了六个维度的横向对比。OpenClaw 是一个个人助手网关,支持 WhatsApp、Telegram、Slack 等多种平台的接入。面对相同的设计问题,这两个系统给出了截然不同的答案:
- Claude Code 对每次工具调用都进行逐操作的安全评估,而 OpenClaw 则采用边界级的访问控制。
- Claude Code 的智能体循环是其系统的核心枢纽,而 OpenClaw 的智能体循环仅仅是网关中的一个组件。
- Claude Code 的扩展机制修改的是单个上下文窗口,而 OpenClaw 的插件扩展的是整个网关的能力边界。
- 两者甚至能够组合使用:OpenClaw 可以通过 ACP(Agent Client Protocol,智能体客户端协议)将 Claude Code 作为外部编程 Harness 接入。这表明智能体的设计空间并非简单的非此即彼,而是一个可以分层组合的结构,网关级系统与任务级 Harness 能够叠加使用。
观察四:对长期生产力与代码质量的潜在影响
除了架构层面的分析,论文还从另一个角度审视了智能体系统:AI 智能体所带来的生产力提升是否如人们感知的那样真实?它是否会在代码质量和长期可维护性上带来隐形成本?
在讨论部分,论文引用了多项针对同类 AI 编程工具的研究成果:
- 一项针对 16 名资深开发者、涉及 246 个任务的随机对照实验 [4] 发现,使用 AI 工具的小组实际完成任务的速度慢了 19%,但他们自我感觉却快了 20%。
- 一项对 807 个代码仓库的因果分析 [5] 显示,使用 Cursor 后,代码复杂度上升了 40.7%。
论文指出,未来的智能体系统可以将这种“可持续性缺口”纳入系统设计的考量范畴,而不仅仅是作为事后评估的指标。
六个开放的未来方向
论文梳理了六个有待进一步探索的研究方向:
1. 静默失败与可观测性、评估之间的差距: 智能体的主要失败模式并非系统崩溃,而是在无人察觉的情况下输出错误结果。如何弥合可观测性与实际评估之间的鸿沟?
2. 记忆持久化与人机长期协作: 如何让智能体与用户之间的工作关系在多次对话中有效且稳定地持续积累?
3. Harness 边界的演化: 智能体在哪里运行、何时行动、操作什么对象、与谁协作,这四个维度都在快速扩展。
4. 时间跨度的扩展: 智能体能否从单次对话级别扩展到持续数天乃至数周的科研级任务?
5. 治理与监管: 随着 EU AI Act 等法规的生效,智能体架构需要提供哪些审计与透明度接口?
6. 对人类长期能力的影响: 上述的可持续性问题能否从事后评估指标提升为系统设计目标?
对 AI 开发者和研究者的启示
第一,论文提供了一种从设计哲学出发分析智能体架构的视角,将具体的实现选择追溯到背后的设计理念与原则,而非停留在“如何实现”的层面。
第二,论文展示了智能体设计中多种价值之间的权衡:安全与效率、人类控制与自动化、可扩展性与安全性之间往往存在取舍,理解这些权衡有助于做出更明智的架构决策。
第三,论文指出了当前智能体系统尚未妥善解决的几类问题,例如跨会话记忆、静默失败检测、治理合规等,为未来的研究与开发指明了方向。
第四,论文还关注了一个技术之外的问题:智能体带来的短期效率提升是否真实?它是否会在代码质量和长期可维护性上付出代价?
写在最后
AI 智能体仍处于快速演进之中。这篇论文以 Claude Code 为切入点,旨在为智能体架构的设计讨论提供一些可供参考的观察。
代码和完整论文已开源,欢迎关注!
GitHub 项目主页:https://github.com/VILA-Lab/Dive-into-Claude-Code
论文下载:https://arxiv.org/abs/2604.14228
代码与数据:https://github.com/VILA-Lab/Dive-into-Claude-Code
参考文献
[1] Anthropic. Claude Code Auto Mode: A Safer Way to Skip Permissions. https://www.anthropic.com/engineering/claude-code-auto-mode
[2] Adversa.ai. Critical Claude Code Vulnerability: Deny Rules Silently Bypassed Because Security Checks Cost Too Many Tokens. https://adversa.ai/blog/claude-code-security-bypass-deny-rules-disabled/
[3] Donenfeld, A. & Vanunu, O. Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files. Check Point Research. https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/
[4] Becker, J. et al. Measuring the Impact of Early-2025 AI on Experienced Open-Source Developer Productivity. arXiv:2507.09089. https://arxiv.org/abs/2507.09089
[5] He, H. et al. Speed at the Cost of Quality: How Cursor AI Increases Short-Term Velocity and Long-Term Complexity in Open-Source Projects. arXiv:2511.04427. https://arxiv.org/abs/2511.04427
[6] Steinberger, P. & OpenClaw Contributors. OpenClaw: Personal AI Assistant. https://github.com/openclaw/openclaw
[7] Anthropic. How Claude Code Works. https://code.claude.com/docs/en/how-claude-code-works
[8] LangChain, Inc. LangGraph: Build Resilient Language Agents as Graphs. https://github.com/langchain-ai/langgraph
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/33840
