研究者把 Claude Code 拆到 queryLoop,发现七层安全
MBZUAI VILA Lab 和伦敦大学学院的团队发了一篇论文,叫《Dive into Claude Code: The Design Space of Today's and Future AI Agent Systems》。今天 HuggingFace 上 177 个赞,agent 类论文第一。他们逆向了公开的 TypeScript 源码,画出了一张完整的架构图。
核心发现:真正做推理的循环只占代码 1.6%。剩下 98.4% 全是运营基础设施。权限系统、上下文压缩、工具路由、恢复机制、hooks。这个数字对框架开发者很扎心。模型本身已经会思考了,需要的不是更多脚手架,是更多管道。
七层安全堆叠。工具预过滤、deny-first 规则、七种权限模式、auto 模式下的 ML 分类器、shell 沙箱、resume 时不恢复权限、27 个 hook 事件。论文叫 defense in depth。还总结了四种扩展机制:hooks、skills、plugins、MCP servers,按消耗 context 预算排序。
最精彩的是和 OpenClaw 的对比。同样的问题,完全不同的架构。Claude Code 是 per-action 权限检查,OpenClaw 是边界访问控制。同一个问题两个有效答案,不同部署假设决定不同设计。
论文:https://huggingface.co/papers/2604.14228
最妙的是结尾,提出长期能力悖论。Anthropic 自己的研究显示,用 AI 的开发者理解力测试低 17%。架构优化的是短期能力放大,但没有显式机制支撑长期人类提升。这是没人在解的开放问题,大概也是 agent 系统下一个大方向。
← 返回所有文章
核心发现:真正做推理的循环只占代码 1.6%。剩下 98.4% 全是运营基础设施。权限系统、上下文压缩、工具路由、恢复机制、hooks。这个数字对框架开发者很扎心。模型本身已经会思考了,需要的不是更多脚手架,是更多管道。
七层安全堆叠。工具预过滤、deny-first 规则、七种权限模式、auto 模式下的 ML 分类器、shell 沙箱、resume 时不恢复权限、27 个 hook 事件。论文叫 defense in depth。还总结了四种扩展机制:hooks、skills、plugins、MCP servers,按消耗 context 预算排序。
最精彩的是和 OpenClaw 的对比。同样的问题,完全不同的架构。Claude Code 是 per-action 权限检查,OpenClaw 是边界访问控制。同一个问题两个有效答案,不同部署假设决定不同设计。
论文:https://huggingface.co/papers/2604.14228
最妙的是结尾,提出长期能力悖论。Anthropic 自己的研究显示,用 AI 的开发者理解力测试低 17%。架构优化的是短期能力放大,但没有显式机制支撑长期人类提升。这是没人在解的开放问题,大概也是 agent 系统下一个大方向。
评论