文章作者：嘉研Kea

文章来源：硅谷Alan Walker

早上 7:02 am，Mission District，Zombie Coffee 窗边

今天是个 weird morning。Chaofan Shou 发的那条X推文已经310万次浏览了，各种群都在炸。

第二杯下肚，硅谷Alan Walker 把 1,900 个文件扒下来，开始认真读。

读完之后 Alan 跟几个人聊了聊——Kai（ex-Google，现在做infra创业），Marcus（PE背景，最近在看AI deal），还有 Sarah（Anthropic前工程师，现在independent）。以下是今天聊出来的东西。

硅谷Alan Walker 觉得大多数人分析的角度都不够底层。以下是我的记录和整理。

01 秘密一：模型只是原材料，harness 才是护城河——而这个数字是46,000行

大多数人看到这次泄露说的第一句话是："哇，Claude Code原来这么复杂。"错了，应该倒过来说：Claude Code 之所以好用，不是因为它调用了一个更聪明的 Claude，而是因为它在模型外面搭了一套 46,000行 的查询引擎。

Alan： Kai，你看 QueryEngine.ts 没？光这一个文件，46K 行。这不是一个"AI wrapper"，这是一个操作系统。

Kai： 我看了。更有意思的是它用 Bun 不用 Node——startup time 的考量。这说明他们认真测过冷启动性能。这不是随手写的。

从第一性原理看：模型的能力是上限，harness 决定你能用到上限的多少。

一个raw API调用，能用到模型能力的 20%。

Claude Code 这套harness——上下文管理、工具路由、权限分层——让你能用到接近 80%。这 40%的差距，就是 46,000行 代码换来的。

下一个 ChatGPT killer 不一定来自做出更好模型的团队，而可能来自做出更好 harness 的团队。

02 秘密二：权限系统的真实意图——不是让 AI 不敢动，是让 AI 敢于行动

所有人看到四层权限系统，第一反应是"安全措施"。这个理解 完全反了。

Alan： Sarah，你在Anthropic做过，这个permission system设计初衷真的是为了"安全"吗？

Sarah： 不完全是。更准确说是为了让model敢于execute。没有清晰的边界，agent在每一步都要犹豫"我能不能做这个"。有了边界，边界内直接干，边界外停下来问。

注意那个细节：

危险命令不是靠规则列表来拦截的，而是 用第二个 AI 来做语义判断。

这意味着 Anthropic 知道规则列表会有漏网之鱼，所以用 AI 审查 AI ——这是防御体系，不是防御规则。

类比到任何组织：清晰的授权边界不是让人不敢做事，是让人在边界内敢于快速决策。

模糊的授权才让人瘫痪。

03 秘密三：记忆系统——只记偏好，不记代码，这是个深思熟虑的减法

Alan： memdir/这个目录你们看了吗？它的记忆系统存的东西比我想象的少得多。

Kai： 对，它不记代码，不记历史conversation，只记用户偏好和项目约束。第一次看觉得是偷懒，后来想想这是对的。

Context window 是有限资源，约 200K tokens。

一个塞满了历史代码的 context，就像一个脑子里装满了上个项目细节的工程师——今天的任务根本放不进去。

Anthropic 的解法是：长期记忆只存"怎么跟我工作"，具体内容每次重新获取。

AI 产品的下一个战场不是谁的记忆更多，而是谁的记忆更精准——记对的东西，忘掉不该记的。

04 秘密四：KAIROS——Anthropic真正要卖的不是工具，是一个永不下班的数字员工

Alan： Marcus，作为投资人，你看到KAIROS这个feature，什么感觉？

Marcus： 我看到的是一个完全不同的商业模式。你不是在付一个SaaS订阅费，你是在付一个全天候工作的contractor的薪资。这改变了整个定价逻辑。

Midnight boundary handling 这个细节是关键——有人认真想过"如果dreaming进程在11:58pm开始，跨越午夜怎么办"。

这说明 KAIROS 不是概念验证，是一个 设计好了准备上线的 feature。

SaaS 的商业模式将向 "AI staff augmentation" 演进。你雇了一个永不请假、边际成本趋近于零的数字员工。

这不是工具定价，这是人力资源定价。

05 秘密五：多Agent框架——AI公司在复制人类公司的组织架构图

Kai： 你们看目录结构没？coordinator/, tasks/, skills/, services/——这跟一个创业公司的org chart一模一样。

Alan： 对。而且Coordinator Mode里一个Claude能spawn多个worker agent——这就是一个manager管理一组IC的模型。

单一AI的上限是 context window 的大小（200K tokens）。

突破这个上限的唯一方式，是让多个 AI 分工协作、各自管理自己的上下文。

这正是人类公司通过分工解决个人认知局限的同一套方案。区别在于：

AI 团队的协调成本趋近于零，而人类公司最大的成本恰恰是沟通协调。

AI 的规模化路径，正在复刻人类组织的进化路径——但把 coordination cost 砍掉了 90%。

06 秘密六：BUDDY——Anthropic 知道情感依附是产品黏性的终极武器

Sarah： BUDDY 这个 feature，外面很多人说是噱头。我不这么看。Duolingo 靠一只绿猫头鹰做到了全球最高的DAU/MAU比之一。

Alan： 关键是那个 deterministic seed——你的物种是由你的 user ID hash 决定的，永远是那只龙，不是别人的。这才是让人上瘾的东西。

物种名称在源码里用 String.fromCharCode() 数组隐藏——

Anthropic 明确不想让它出现在字符串搜索结果里。

计划是四月一号开始预热（愚人节），五月正式上线。教科书式的病毒增长路径。

情感是最强的锁定机制，比任何数据迁移成本都强。

你可以迁移代码库，迁移配置文件，但你没办法迁移那只陪了你两年、Claude 起名叫"Mochi"的传说级龙。

07 秘密七：Sourcemap 泄露本身，是整个 AI 行业供应链脆弱性的截面

Marcus： 你知道这件事发生的同一天，Axios 也被黑了吗？每周8300万下载量的npm包，维护者账户被劫持，部署了跨平台RAT。

Alan： March 31 is a weird day for npm。这两件事叠在一起，说明的是同一个问题：现代AI产品的发布链条极其脆弱。

2025年全年，npm上有 454,000 个恶意包被发布。

平均每个npm项目拉入 79 个传递性依赖。

AI安全的战场，正在从"模型本身的安全性"快速转向 "部署和供应链安全性"。

Claude Code 代表了目前最精密的 AI 工程之一，他们也会犯这种错。

08 秘密八：这次泄露本身，是 Anthropic 最好的一次无意为之的产品营销

第五杯，凉了。窗外 Mission District 的早晨刚开始。

Marcus： 我做了20年投资，这件事的timing太微妙了。Anthropic上一轮融资后半年，这份代码让全世界开发者自发验证了他们的技术护城河。任何PR预算都买不到这个。

Alan： 更准确说：竞争对手现在知道要做什么了，但这不等于他们能做到。Google有最好的搜索论文，没做出最好的AI产品。

全球开发者社区在几小时内自发分析、传播、讨论 Claude Code 的技术深度——310万 次X浏览量，1,100+ 星，1,900+ fork。

在这个过程里，每一个工程师都成了 Anthropic 的自愿背书者。

Anthropic 损失了什么？一些 TypeScript 代码。

架构图是地图，执行力才是地形。

他们真正在建造的，是人类有史以来第一个真正意义上的数字员工操作系统——有自己的记忆、权限体系、情感接口、自主行动能力、以及多Agent协作网络。

那道等待回答的问题不是 "AI会不会取代人类工作"。源码已经给出了答案：

KAIROS 永不停歇，BUDDY 建立情感，Coordinator 管理团队。

真正的问题是：你打算成为那个设计 harness 的人，还是被 harness 管理的人？