Claude Code工作原理深度解析：提示组装、权限控制与Skills机制

Anthropic团队的Claude Code工程师Lydia推出了一门免费课程，系统讲解了Claude Code的内部工作机制。这门课程揭示了许多开发者在日常使用中容易忽略的底层原理，帮助用户真正掌握agentic engineering的精髓。

核心认知：模型是无状态的

理解Claude Code最关键的一点是：模型本身是无状态的。它没有会话内记忆，每次调用都从零开始。所有的上下文、文件内容、对话历史、环境信息，都由Claude Code的harness（运行时框架）负责组装和提供。

这里的"无状态"（Stateless）是一个源自计算机科学的经典概念，最早广泛应用于HTTP协议和RESTful API设计中——服务器不保留客户端的任何会话信息，每次请求都必须携带完整的上下文。大语言模型的推理过程本质上也是如此：每次API调用都是一次独立的前向传播计算，模型权重是固定的，不会因为上一轮对话而发生改变。所谓的"记忆"和"连续对话"，完全依赖于外部系统将历史消息重新拼接后一并发送。而harness（运行时框架）正是承担这一职责的中间层——它介于用户界面和模型API之间，负责状态管理、工具调度、权限校验和提示组装等所有"有状态"的工作。

这意味着每当你按下回车，Claude Code会在后台将所有数据组装成一个完整的请求——远比你在CLI中看到的要丰富得多。

提示组装机制：模型真正看到了什么

当请求发送时，Claude Code会组装以下四层信息，这是理解其工作原理的核心：

工具模式（Tool Schemas）

这是定义Claude Code可执行操作的JSON Schema，包括bash、edit、read、agent、web fetch等。每个工具都有名称、描述和输入格式。模型读取这些Schema后，就知道自己可以请求harness执行哪些操作——但模型本身无法直接执行，只能将指令返回给harness处理。

JSON Schema是一种用于描述JSON数据结构的标准规范（目前最新为Draft 2020-12），它定义了数据的类型、必填字段、取值范围等约束条件。在AI工具调用（Function Calling / Tool Use）场景中，JSON Schema扮演着"接口契约"的角色：模型通过阅读Schema来理解每个工具接受什么参数、返回什么格式，然后生成符合规范的JSON输出。这种设计将"决策"（模型负责）与"执行"（harness负责）彻底解耦，既保证了安全性（模型无法直接操作系统），又保证了灵活性（新增工具只需添加Schema定义，无需重新训练模型）。

系统提示（System Prompts）

这部分由Anthropic硬编码在Claude Code中，定义了模型的身份、语气风格、编码规范和安全规则。开发者无法直接修改这一层，但可以通过CLAUDE.md等方式补充上下文。

环境信息（Environment）

包括操作系统、shell类型、当前运行的模型、Git分支等运行时数据。Claude Code在每次启动会话时自动捕获这些信息，确保模型了解当前的开发环境。

消息数组（Messages Array）

这是提示组装中最关键的部分，包含用户提示、CLAUDE.md文件内容以及可用Skills的名称和描述列表。这里采用了渐进式披露（Progressive Disclosure）策略——首次只展示Skills的名称和简要描述，而非全部内容，从而节省上下文窗口。

渐进式披露是用户界面设计中的经典原则，由IBM研究员Shneiderman在1980年代提出，核心思想是"只在用户需要时才展示复杂信息"。在Claude Code的场景中，这一原则被巧妙地应用于上下文管理：当前主流模型的上下文窗口虽然已扩展到128K甚至200K tokens，但上下文越长，推理成本越高（计算复杂度与序列长度呈二次方关系），且模型对中间位置信息的注意力会衰减（即"Lost in the Middle"现象）。因此，Claude Code只在消息数组中放入Skills的索引信息，当模型判断需要某个Skill时，再通过工具调用获取完整内容。这种"按需加载"的策略在保持功能完整性的同时，显著提升了推理效率和准确性。

Agentic Loop：循环执行的工作流

理解了提示组装机制后，来看Claude Code的实际执行流程。以用户要求"为calc添加测试"为例：

1. 模型收到请求后发现：提示中并没有包含目标文件的内容
2. 模型在Tool Schema中找到read工具，发出读取文件的tool call
3. Harness执行实际的文件读取操作（如fs.readFile）
4. 文件内容作为tool result返回给模型
5. Claude Code重新组装完整提示（包含新增的assistant message和tool result），再次发送给模型
6. 模型继续推理，直到任务完成

每一轮循环，模型都会重新看到完整的上下文。这就是它被称为"Agentic Loop"的原因——一个自主决策、持续迭代的执行循环。

Agentic AI（智能体AI）是2024-2025年AI领域最重要的范式转变之一。与传统的"单次输入-单次输出"模式不同，Agentic系统具备自主规划、工具使用、环境感知和迭代修正的能力。这一概念的理论基础可以追溯到认知科学中的OODA循环（观察-定向-决策-行动）和控制论中的反馈回路。在实际工程中，Agentic Loop的关键挑战在于：如何让模型知道"何时停止"（避免无限循环）、如何处理工具调用失败（错误恢复）、以及如何在多步骤推理中保持目标一致性（避免目标漂移）。Claude Code通过将每轮工具调用的结果追加到消息历史中，让模型在每次迭代时都能回顾完整的执行轨迹，从而做出更准确的下一步决策。

权限控制：精细化安全管理

三种权限级别

Claude Code提供三种权限级别，实现对工具调用的精细化管控：

• Allow：无需确认直接执行（如npm run、git commit）
• Ask：每次执行前询问用户确认（如rm删除操作）
• Deny：完全禁止执行（如git push、编辑特定文件）

这种三级权限设计体现了信息安全领域的最小权限原则（Principle of Least Privilege）——任何主体只应被授予完成其任务所需的最小权限集合。在AI Agent的语境下，这一原则尤为重要：由于大语言模型的输出具有不确定性（可能产生幻觉或误解指令），赋予其不受限制的系统访问权限会带来显著的安全风险。Claude Code的权限模型本质上是一种"人机协作的安全边界"——将低风险的重复操作自动化（Allow），将高风险操作保留人类审批（Ask），将不可逆或越权操作彻底阻断（Deny）。这与云计算中IAM（Identity and Access Management）的角色权限设计理念一脉相承。

权限配置方式

可以通过.claude/settings.json手动配置，也可以使用内置的/permissions斜杠命令交互式添加规则。

课程中演示了一个实用功能：fewer permission prompts命令。它会分析你的历史会话记录，找出你频繁允许的工具调用，自动添加到权限白名单。同时它非常保守——如果操作有风险或已被自动允许，则不会重复添加。

权限优先级规则

当全局设置与项目设置冲突时，采用从上到下的优先级：企业管理设置 > 用户全局设置 > 项目设置。这确保个人配置无法覆盖团队或公司级别的安全策略。

Plan Mode：只规划不执行

Plan Mode类似于一种特殊的权限模式——告诉模型"不要写代码，不要触碰任何东西"，只进行分析和规划。这在复杂任务开始前特别有用，让你先审查模型的执行计划，确认方向正确后再进入实际编码阶段。

这种"先规划后执行"的模式在软件工程中有深厚的理论支撑。数据库领域的"dry run"（试运行）、Terraform的plan命令（预览基础设施变更）、以及军事决策中的"沙盘推演"都是同一思想的体现。对于AI Agent而言，Plan Mode还有一个额外的价值：它让人类开发者能够在模型执行不可逆操作之前介入，形成一个"人在回路中"（Human-in-the-Loop）的安全检查点。这在处理大规模重构、数据库迁移或生产环境部署等高风险任务时尤为关键。

Skills：可复用的工作流模板

Skills是存储在项目中的Markdown文件，定义了特定的多步骤流程。适用于部署、代码审查、集成测试等需要反复执行的标准化任务。

从更宏观的视角来看，Skills代表了一种声明式工作流定义的范式。与命令式编程（逐步告诉计算机"怎么做"）不同，声明式方法只描述"要达到什么目标"和"遵循什么约束"，具体执行细节由运行时（这里是AI模型）自行决定。这与DevOps领域的Infrastructure as Code（IaC）理念高度相似——Terraform的.tf文件、Kubernetes的YAML清单、GitHub Actions的workflow文件，都是用声明式文本定义复杂的自动化流程。Skills将这一范式引入了AI辅助开发：开发者用自然语言Markdown定义工作流的步骤和约束，AI负责理解语义并执行具体操作。这使得工作流的创建门槛大幅降低，同时保持了版本控制和团队共享的能力。

Skills的高级配置选项

• 指定模型：可在front matter中设置该Skill使用的模型（如代码审查用Sonnet而非Opus，节省成本）
• 禁止模型调用：设置disable model invocation: true后，Skill只能通过斜杠命令手动触发，模型无法自行调用
• 仅模型调用：设置user invocable: false后，只有模型可以在合适时机自动调用，用户无法手动触发
• 参数传递：支持arguments语法，如/deploy staging将参数传入部署流程

快速创建Skills

内置的skill creator命令可以交互式生成Skills文件，无需手动编写Markdown。你只需描述想要的工作流，Claude Code会帮你生成完整的Skill定义文件。

思维模式的转变：从写代码到设计工作流

课程传递的一个重要理念是：在动手编码之前，先想想Claude Code是否已经自动化了这个流程。很多日常开发任务——权限管理、代码审查、部署流程——都可以通过Claude Code的内置功能或自定义Skills来完成。

这不仅是工具的使用技巧，更是一种工作方式的根本转变：从"我来写代码"到"我来设计AI的工作流"。掌握Claude Code的底层原理，才能真正释放agentic engineering的生产力。

这种转变与软件工程的历史演进一脉相承。从汇编语言到高级语言，从手动部署到CI/CD，从命令式运维到声明式基础设施，每一次抽象层级的提升都让工程师从"如何实现细节"中解放出来，转而专注于"解决什么问题"。Agentic engineering代表了这一趋势的最新阶段：工程师的核心价值不再是编写每一行代码，而是设计AI的工作边界、定义质量标准、构建可复用的自动化流程，并在关键决策点进行人类判断。理解Claude Code的底层架构——无状态模型、提示组装、Agentic Loop、权限系统——正是掌握这种新工作方式的基础。

核心要点