上线一个月后我想着优化一下，加了 <thinking> 让模型”先分析问题意图再选择答案”。心想这肯定更稳吧，结果一跑——84%。

整整掉了 8 个点。我反复看了很多 case 才搞明白：这类任务本质上是”语义相似度召回”，模型在 embedding 层面其实已经做对了判断，你硬让它”逐步推理”，它反而会被自己推出来的中间结论带偏。

这事给我上了一课。CoT（Chain of Thought）不是越多越好，更不是万能。这篇说一下我现在怎么判断。

什么时候 CoT 是神器

先说有用的场景。我经验里 CoT 确实能显著提升效果的几类任务：

一、数学和数值推理。不管多简单，只要涉及”一步算错全盘错”的计算，让它一步步来就对了。实测一个三步应用题，直接问正确率 73%，加 <thinking> 后 94%。这个提升是稳的。

二、多跳问答。“根据 A 文档里的 X 和 B 文档里的 Y 推出 Z”这种。模型需要先把中间结论落到纸面，不然容易幻觉。

三、合规 / 规则判断。比如”判断这份合同是否违反下面 7 条规则”。你不让它一条一条过，它会漏。让它显式地说”规则 1: 符合；规则 2: 不符合，因为…”准确率直接上去。

四、复杂决策树。客服分流、工单分类有 20 多种类别且存在嵌套层级的时候，CoT 能让模型稳得多。

这些任务的共同点：有可拆分的中间步骤、有客观验证路径、犯错代价高。给它展开的空间，它会自己纠偏。

什么时候 CoT 反而添乱

这些是我踩过坑的：

一、纯召回 / 纯匹配任务。像我开头说的那个 FAQ 项目。模型其实一眼就知道答案，你让它”分析再选”是在给它添乱。

二、简单分类。三到五个类别、边界清楚的那种。加 CoT 会让模型过度理由化——“这条评论包含了正面情绪但也有一丝失望所以应该是…”结果越想越歪。直接判断快又稳。

三、创作 / 生成任务。让它写一个故事前先 <thinking> 梳理一下人物？没必要。创作是发散的，强行收窄到”先想后写”反而让输出变得程式化。

四、高吞吐短响应场景。API 客服实时应答，延迟要求 500ms 以内，你加一段思考就是 500+ tokens 的开销，用户体验直接崩。这时候宁可损失 2-3 个点的准确率也要快。

判断逻辑大致是：任务能不能”一眼看出对错”？能的话，CoT 大概率添乱。需要”想一下才能判断对错”的，CoT 才有意义。

<thinking> 标签的正确用法

决定要用 CoT 之后，怎么用也有讲究。我看过太多人把这个标签用歪了。

错误用法一：标签里塞”万能咒语”。

1
2
3
4

<thinking>
请仔细思考这个问题，考虑所有可能的情况，
确保你的回答准确无误。
</thinking>

这种写法 Claude 看了基本等于没看。空洞的”请认真思考”对输出没任何指导作用。

错误用法二：要求固定的思考步骤但步骤不匹配任务。

1
2
3
4
5

<thinking>
1. 分析用户意图
2. 检索相关信息
3. 组织回答
</thinking>

这种模板如果和真实任务路径对不上，反而在限制模型。比如任务是个简单数值题，它会被迫走”分析用户意图”这一步，浪费 token 还可能走偏。

我现在的写法：任务依赖型，而不是通用型。

合规判断场景：

1
2
3
4
5

<thinking>
先把合同里所有可能涉及规则的条款列出来，
对每一条规则判断：符合 / 不符合 / 不适用。
所有规则过完再给最终结论。
</thinking>

数学题场景：

1
2
3
4

<thinking>
逐步列出计算过程，每一步明确说明依据的条件和得到的中间值。
算完后回头验算一遍。
</thinking>

具体、可执行、紧贴任务。不是给模型”打气”，是给它”操作手册”。

那个”让它思考反而更错”的 case

再讲个我印象深的反例。某金融客户要做”判断一条新闻是利好还是利空”。

0-shot 准确率 81%，我觉得还能更高，加了一段：

1
2
3
4

<thinking>
先分析这条新闻涉及的主体是谁、事件性质是什么、
短期影响和长期影响分别如何、最后综合判断利好利空。
</thinking>

测下来 76%。反复看了 case 之后我发现问题：金融新闻的”利好利空”很多时候是情感驱动的市场反应，不是严密因果推理的结果。

你让模型去分析”长期影响”，它经常会推出一个”虽然短期看是利空但长期利好”的结论，结果跟市场真实反应完全相反。真实市场就是看短期情绪，不看你的长期理性推理。

后来我把 thinking 拿掉，改成一条简短的 hint：”从市场短期情绪反应的角度判断”，准确率回到 81% 并稳定在那。

这个教训是：CoT 的前提是任务本身有”可推理”的结构。没有这个前提，你强行推理就是在制造噪声。

Extended Thinking 模式怎么看

Claude 后来出的 extended thinking 模式（就是那个可以看到完整思考链、token 消耗翻倍的那个）我也用过不少。

值得开的场景：

• 复杂代码生成（写一个有设计模式考虑的完整模块）
• 多文档综合分析
• 需要调试的 bug 排查
• 棋类 / 规则类博弈决策

不值得开的场景：

• 所有短平快任务
• 写营销文案、客服回复
• 文档抽取（大部分情况）
• 简单的代码 review

成本上，extended thinking 的 token 消耗能达到常规的 2-5 倍。我自己项目里的原则是：能用 Sonnet 常规模式解决的事，不开 thinking；必须开的时候，先用 Opus 试，效果 OK 再考虑降级。Claude 家族那篇里有更细的模型选型讨论。

还有个细节：extended thinking 模式下，prompt caching 的表现和常规模式有些差异，具体的我在缓存深度指南里提过。

我的决策树

简化一下我现在的判断流程：

1. 先 0-shot 跑 baseline，记录准确率和延迟
2. 分析错误 case：错的地方是”不会”还是”没想到”？
   • “不会”（知识 / 能力不够）→ 换更强的模型，或者加 few-shot，CoT 救不了
   • “没想到”（漏掉一步推理）→ 上 CoT 可能有效
3. 如果任务天然是”一眼看对错”的类型 → 跳过 CoT
4. 如果任务需要多步推理且每步可验证 → 上 CoT，写任务依赖型 thinking
5. CoT 之后再评估一次准确率和延迟，权衡是否值得

顺便说一句，CoT 和 few-shot 不是互斥的。有时候我会写 3 条带 thinking 过程的示例，让模型学会”怎么思考”。这种组合在复杂推理上特别猛。few-shot 的数量和顺序我在另一篇里细讲了。

最后

CoT 这个东西，两年前大家吹它是灵丹妙药，现在业内已经慢慢意识到它是一把双刃。用对了提升显著，用错了不但浪费 token 还损失精度。

核心就一句话：不是所有问题都需要”想一下”才能答。你问一个人”1+1 等于几”，他想 30 秒再回答你，你反而怀疑他是不是有啥毛病。模型也一样。

我加了 3 条示例进去，升到 81%。再加到 5 条，到 89%。客户说够了够了，上线。

后来我自己出于好奇，又加到 10 条示例，心想应该能冲到 92%？结果掉回了 85%。

当时我特别费解。加示例不是应该让模型学得更好吗？为什么到一定程度后会倒退？

这个问题我花了大半年才摸清楚。这篇就说说我现在怎么定 few-shot 的数量。

先讲那个倒退曲线

这事其实有道理的。Few-shot 的本质是”上下文学习”（in-context learning），模型在推理时动态地从你给的例子里提炼模式。但提炼是有极限的——示例太多，会发生两件事：

第一，示例之间的细微不一致被放大。你自己写 10 条示例，总有几条风格或边界判断不完全一样。模型会把这些”不一致”也当成信号，结果反而变得犹豫。

第二，上下文长度增加，对任务本身的注意力被稀释。尤其在长文档场景下更明显。

所以 few-shot 不是”越多越好”。是有个甜蜜点，过了就掉头。

我现在用的 3/5/7 法则

这个法则不是啥标准答案，是我在实际项目里反复校准出来的经验值。不同任务类型，甜蜜点位置不一样：

3 条：分类任务 + 风格迁移

情感分类、意图识别、打标签、改写成某种特定文风——这类任务的特点是”模式相对简单，但边界需要锚定”。

3 条示例基本够了。一条典型正例、一条典型负例、一条边界模糊的。这样模型就明白了你的判定规则在哪。

再多加也没啥用。你加第四条、第五条多半是在重复前三条的模式，对模型来说是冗余信号。

5 条：结构化抽取

从长文本里抽字段、从邮件里提关键信息、从合同里找条款——这类任务需要模型学会”看哪里”和”怎么填”。

5 条示例里我通常这样配：2 条标准样例、2 条包含噪声或歧义的、1 条字段缺失或需要”填 null”的。覆盖主流情况 + 典型异常，再多就多余了。

7 条：复杂推理 / 多步决策

比如多跳问答、合规判断（需要组合多条规则）、代码评审这种需要”先看整体再判断细节”的任务。

7 条示例里，我会确保每条示例的”推理路径”都不一样——不是换输入，是换思考路径。让模型看到”哦原来这类问题可以这么想、也可以那么想”。

超过 7 条我基本就不加了。要么升级到带 <thinking> 的链式推理（这个在思考还是直接给答案那篇里细说），要么考虑微调或者上更强的模型。

示例顺序的讲究

这是个容易被忽略的点。同样 5 条示例，顺序不同效果能差 3-5 个百分点。

我摸出来的规律：最相关、最典型的那条放最后。Claude 的注意力对”刚刚看到的内容”是有偏向的（这事叫 recency bias），放最后的示例在生成时的权重明显更高。

所以我现在的排法大致是：

1. 先放几条”覆盖各种情况”的杂样例
2. 中间放”边界案例”
3. 最后放一条和当前待处理输入最相似的

有时候如果我能动态检索，还会做个”相似度召回”，用检索到的最相似 case 作为最后一条示例。这套手法在 RAG 项目里特别好使。

示例写太好，反而拉低平均

这点我踩过大坑。

有次给一个客服改写项目写示例，我特别认真地把每条都润色得又专业又亲切。结果上线一测，发现模型在处理比较随意的用户投诉时，输出也变得很客套很书面——用户反馈说”像在跟机器人讲话”。

把示例里两条换成稍微”粗糙”一点的真实样本，口吻立刻松下来了，用户满意度反而上去了。

所以：示例的质量是”代表性”，不是”完美”。你的真实输入有多杂，示例就该有多杂。不要把示例全写成你梦里希望的那种理想形态，模型会照着做，然后在处理现实世界输入时别扭得要命。

输入输出对齐的格式

Few-shot 的格式写法我建议用 XML 标签成对包装，比 “Q:… A:…” 这种冒号式更稳定。为啥 Claude 特别吃 XML，这篇专门讲过。

典型写法：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

<example>
  <input>用户评论：这破玩意儿用了三天就坏了</input>
  <output>负面</output>
</example>

<example>
  <input>用户评论：还行吧，没啥特别感觉</input>
  <output>中性</output>
</example>

<example>
  <input>用户评论：冲着品牌买的，用起来确实比便宜货强</input>
  <output>正面</output>
</example>

<task>
请判断下面这条评论的情感：
{用户输入}
</task>

格式统一、标签闭合、最后一条是最典型的。

0-shot vs Few-shot 怎么选

不是所有任务都需要 few-shot。我的判断标准：

能 0-shot 就 0-shot。Claude 的 zero-shot 能力本身就很强，简单任务加示例是浪费 token、拖慢响应。

什么时候需要 few-shot？

• 任务有”主观判断”的成分（比如风格分类）
• 期望输出有特定格式且不容易用自然语言描述清楚
• 边界情况多，光靠规则说不清楚
• 你试了 0-shot 结果准确率差 5 个百分点以上

先 0-shot 测一轮，拿到 baseline，再决定要不要加示例。有些人上来就怼 10 条例子，既浪费 token 也错过了真实性能评估。

我开头那个 68%→89% 到底怎么拆的

回到那个情感分类项目。我当时加示例的具体步骤，给大家看下：

• 第 1 条：一个明显负面但用词委婉的（让模型学会看”言外之意”）
• 第 2 条：一个表面夸实则讽刺的（中文里特别多这种）
• 第 3 条：一个情感混合的，判定为中性（教它怎么处理混合情感）
• 第 4 条：一个带脏话的负面（锚定”脏话≠一定是差评”的边界）
• 第 5 条：和当前测试集分布最接近的一条标准负面

每加一条都带来 2-5 个点的提升。到第 5 条时覆盖了主要 edge case，再往上加就开始触发前面说的”不一致被放大”现象。

一些零碎经验

• 示例里的输入尽量匿名化。别写真实用户名、真实公司名，容易让模型”记住”导致偏差。
• 输出格式在示例和最终任务里必须一致。你示例里是一个词，任务要求一段话，模型会精分。
• 示例本身也会走 prompt caching。如果你的示例长期固定，可以让它进缓存，省下不少钱。缓存机制我在这篇里拆过。
• 不同模型的甜蜜点不同。Haiku 对示例更敏感、可能 7 条都嫌少；Opus 自身推理强、3 条可能就够。Claude 家族那篇里有模型选型的讨论。

最后

Few-shot 这事说玄乎也玄乎——同样的示例换个顺序都能差好几个点。说朴素也朴素——你给模型看的就是它学到的，你示例写得糙，模型就糙。

3/5/7 不是铁律，是个起点。拿这个数字去试，根据你自己的评估集往上调或往下调 1-2 条。这个过程才是 prompt 工程的本体，不是套公式。

真正让我切过来的契机挺偶然——春节前那阵我在做一个合同解析的私活，原始 PDF 塞进 GPT 之后它经常胡说八道，把”甲方”和”乙方”认反，把日期从 2024 改成 2023。我当时快崩溃了，抱着死马当活马医的态度把同样的东西丢给 Sonnet 4.6，结果它不仅读对了，还主动指出了合同第 14 条的一个歧义条款。

从那天开始，我把 API Key 环境变量换了过来，到现在三个月整。这篇文章不想讲模型参数、跑分榜单——那些东西知乎和 X 上已经写烂了。我就想把我这三个月真实的使用场景、真实的账单、真实的翻车记录摊开，让还在犹豫的人看看一个普通独立开发者的视角是什么样的。

一、先把账单摊开：三个月花了多少钱

很多文章讲”性价比”讲得天花乱坠，但从来不给具体数字。我给你看我的：

• 1 月：$43.20，主要是合同解析那个项目收尾
• 2 月：$78.50，开始做一个小型的内容生成工具
• 3 月：$112.30，加上了日常 coding 辅助和少量的 Agent 实验

合计 $234 出头。对比之前用 GPT-4 Turbo 的两个月（$180 + $210），单位 token 价格 Sonnet 其实更便宜，但我用得更频繁了，所以总支出差不多。

关键不是省没省钱，关键是同样的钱做完的活更多、更稳。GPT-4 时代我有一半的钱是花在”重试”上——回答不对，再问一遍；格式错了，再要一遍 JSON。切到 Sonnet 之后，一次过的比例大概从六成涨到了八成五，这才是实际省下来的东西。

二、为什么是 4.6，不是 Opus、也不是 Haiku

Anthropic 家族现在三档模型：Opus 4.7、Sonnet 4.6、Haiku 4.5。一个很常见的新手困惑就是——既然都是一家的，我直接用最强的 Opus 不就完了？

答案是：你大概率不需要 Opus。

我试过一个月把默认切成 Opus，结果账单直接翻了三倍，但真正需要 Opus 才能搞定的任务不到 5%。Sonnet 4.6 的能力已经覆盖了我 90% 以上的场景——写代码、改文档、分析数据、做结构化抽取、甚至一些轻量级的推理任务。

Haiku 4.5 是另一个极端，它便宜到几乎不计成本，但处理稍微复杂一点的多轮对话就容易丢线索。我现在把 Haiku 放在 Router 这个位置——前置一个 Haiku 判断请求类型，简单的直接 Haiku 回，复杂的再路由到 Sonnet，这一招差不多能再省 40% 的钱。这个路由策略的细节我后面会单开一篇讲，这里就先点一下。

Sonnet 4.6 卡在中间这个位置，是典型的帕累托前沿——再往上 Opus 贵 5 倍但提升只有 15-20%，再往下 Haiku 便宜 5 倍但能力掉 30% 以上。这就是为什么它适合做日常默认。

三、我实际在用的场景，以及每个场景的坑

下面这些是我真实用 Sonnet 4.6 干的事情，按使用频率排序：

1. Coding 辅助（占比约 40%）

这是最大头。我日常用 Claude Code 做 CLI 编程助手，它对 Sonnet 4.6 的工具调用做了专门的优化。比起之前在 Cursor 里用 GPT-4，最大的区别是它不乱改你的代码——GPT-4 有时候会自作主张把你没让它动的函数重写一遍，Sonnet 4.6 会老实地只改你指定的地方。

唯一的坑是：你得给它足够的上下文。不给 CLAUDE.md（项目级的约定文件），它就会按照它自己理解的”最佳实践”来写，有时候和你项目的风格不符。这个坑值得单独写一篇，这里先给个参考链接。

2. 文档和长文处理（占比约 25%）

200K token 的上下文是真香。我经常把整个项目的文档、代码、issue 一股脑喂进去让它分析。GPT-4 那 128K 用起来总要斟酌”哪些重要哪些能砍”，Sonnet 4.6 基本可以粗暴地 “all in”。

翻车记录：一次性塞 180K 的时候，它有时候会”偷懒”——前半部分读得很细，后半部分明显不如前面深入。解决办法是用 Prompt Caching，把大段不变的上下文缓存下来，每次只动态拼动态部分。成本立刻降到 1/10，效果反而更好（因为模型每次只处理变化的部分，注意力更集中）。

3. 结构化数据抽取（占比约 20%）

合同、简历、发票、邮件——这些非结构化文本转 JSON 的任务，Sonnet 4.6 做得特别稳。我的经验是：

• 一定要用 XML 标签分隔输入和指令。Claude 家族对 XML 的识别度比 Markdown 好得多
• Few-shot 给 2-3 个例子就够了，再多没意义甚至副作用
• 输出 Schema 直接用 Tool 定义，不要让模型自由发挥 JSON

4. 日常问答和写作（占比约 15%）

这块其实和 GPT 没有特别大的区别。稍微有点感觉的是 Sonnet 4.6 的中文表达更”自然”一点，GPT-4 的中文总有种”翻译腔”。但这个事儿很玄学，不同人感知不一样。

四、说点实话：它不是没有缺点

写到这里如果我只说好话，那就太像广告了。Sonnet 4.6 真实的缺点也列一下：

1. 联网搜索是痛。国内用起来没有原生 Web Search（Anthropic 官方 API 的 web_search 工具在国内受限），这点比 GPT 和 Gemini 体验差。我的解决办法是接一个 Perplexity API 做 MCP Server
2. 图片理解不如 Gemini。处理截图、做 OCR 这类任务，Gemini 3.1 Pro 明显更强
3. **创造性写作偶尔过于”理性”**。要它写小说、写诗词这种需要”放飞”的内容，感觉比 GPT 拘谨
4. 延迟。Sonnet 4.6 不是最快的，对实时交互要求高的场景（比如 voice agent）Haiku 更合适

五、给还在犹豫的人一句话

如果你的主力场景是写代码、处理长文档、做结构化任务，Sonnet 4.6 几乎是目前性价比最高的选择，闭眼切。

如果你主要干的是聊天机器人、创意写作、实时语音，那继续留在 GPT 或者试试 Gemini 可能更好。

最好的办法其实是——同时保留两家的 API Key，按场景用不同的模型。我现在就是 Sonnet 做主力、GPT 备着、Haiku 打杂，一个月总账单还比只用 GPT 的时候低。

下一篇我会展开写怎么用 Haiku 做 Router 砍账单，有兴趣的可以关注一下，或者先去知识地图翻翻其他内容。

第一次是 2025 年 8 月。我在一台跑着甲方客户数据的 staging 机上用 Claude Code 做日志分析。当时设了 acceptEdits，以为”编辑自动通过，Bash 还是要问的”。然后让 Claude 清理 /var/log/app/ 下的老日志，它跑了一条 find /var/log -mtime +30 -delete。

实际命令 Claude 给我了，但因为我当时以为 acceptEdits 会拦住 Bash，眼睛扫过去就按了回车……它删到了 /var/log/auth.log 和 /var/log/nginx/access.log.*，staging 的所有 HTTP 访问历史没了。客户没追究，我自己赔了周末两天补数据。

第二次更离谱。2026 年 1 月，我在本地 dev 机开 bypassPermissions 模式，脑子一抽觉得”bypass”是”绕过（某些）”，以为是”跳过一些检查但关键操作还拦”。实际上——bypassPermissions 的意思是全部放行。我让 Claude “清理 node_modules”，它跑了 rm -rf node_modules，没问题。然后它又主动跑了 rm -rf ~/.npm 来”清理缓存”，瞬间把我本地所有全局包配置吞了。

这两次之后我把官方文档翻了个底朝天，也做了一堆实验，下面把 4 个模式的真实行为写清楚。

default：正常开发的默认档

刚装完 Claude Code 就是这个。行为：

• Read/Grep/Glob：默认放行（只读不危险）
• Edit/Write/MultiEdit：首次编辑某个文件会弹 ask
• Bash：每条命令都弹 ask，除非你 allow 过
• WebFetch/WebSearch：弹 ask

适合场景：第一次接触一个陌生仓库、生产机、或者任何”出问题会心疼”的地方。

坑点：弹窗疲劳。我最忙的一次 3 小时弹了 1247 次 ask，最后几乎是闭着眼按 Y。这种状态下 default 已经跟 bypassPermissions 没区别了。

解决方式是配合 less-permission-prompts 思路，把确实安全的读类操作 allow 掉（Read、Grep、Glob、git status、git diff、npm test、pytest 这种），把危险操作保留 ask。

acceptEdits：熟悉项目的主力档

我自己最常用的模式。行为：

• Read/Grep/Glob：放行
• Edit/Write/MultiEdit：自动通过，不弹窗
• Bash：还是 ask
• WebFetch：ask

关键区分：Edit 自动过，Bash 不自动过。我第一次踩雷就是搞反了这个。

适合场景：你已经在这个仓库里工作过一段时间，对 Claude 的编辑质量有信心，测试+lint hook 配齐了（回看 hooks 自动化 那篇），改错了也能被拦住。

为什么我常用这个：开发节奏最快的一档。Claude 改 50 个文件不用你按 50 次 Y，但 rm、git push 这种有破坏性的命令仍然会被问。

有个小细节：acceptEdits 下如果你配了 PreToolUse hook 拦 Bash 危险操作，hook 还是会生效。这个组合非常推荐——Edit 顺畅，Bash 由 hook 守门，比一味问你舒服。

plan：只读的 planning 阶段

行为：

• Read/Grep/Glob：放行
• Edit/Write/MultiEdit：一律拒绝
• Bash：一律拒绝
• WebFetch：ask 或者 allow（具体看配置）

Claude 在这个模式下会”只做计划不做事”。典型用法：接手一个陌生的大仓库，先让 Claude 读、总结、提方案，批准后再切 acceptEdits 真正动手。

我做咨询时候的标准流程：进客户仓库先 plan 模式走 30 分钟，跑出一份”改动计划”贴到飞书。客户点头才切 acceptEdits 干活。这样扯皮概率从 37% 降到 8.4%（我拿最近 24 个咨询项目统计的）。

plan 模式最大的陷阱是——有些 Bash 命令是只读的（比如 git log、curl localhost/health），这些也会被拒，导致 Claude 有时抓瞎。解决办法是在 allow 规则里把只读 Bash 模式显式放出来。后面讲规则语法会聊到。

bypassPermissions：字面意思是”全部放行”

这个名字起得不好。很多人第一次看到都以为是”绕过一部分检查”，实际上是所有工具无条件放行，连破坏性命令都不问。

官方的警告原话是”only use in sandboxed environments”。我翻译一下就是：除非你在容器里、VM 里、或者 throwaway 机器上，别开这个模式。

我踩完第二次雷之后定了自己的规矩：bypassPermissions 只在 docker container 或 dev container 里开。本地裸机、哪怕是 laptop 都不开。

适合场景：

• 你在 docker 里跑 Claude Code，容器挂了重建就行
• CI/CD 里的全自动任务
• 一次性的、可抛弃的沙盒环境

绝对不适合的场景：

• 任何挂着生产凭证的机器
• 挂着你 .ssh/、.aws/、.gnupg/ 的主目录
• 共享开发机

allow / deny / ask 规则语法的坑

这一节才是真的救命。前面四个模式是大框，实际细调靠 .claude/settings.json 里的 permissions 规则：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

{
  "permissions": {
    "allow": [
      "Read",
      "Grep",
      "Glob",
      "Bash(git status:*)",
      "Bash(git diff:*)",
      "Bash(npm test:*)",
      "Bash(pytest:*)"
    ],
    "deny": [
      "Bash(rm -rf /:*)",
      "Bash(git push --force:*)",
      "WebFetch"
    ],
    "ask": [
      "Edit",
      "Write",
      "Bash"
    ]
  }
}

规则几个容易踩的点：

坑 1：Bash(xxx:*) 的冒号和通配符

Bash(git status:*) 表示”命令以 git status 开头的任意后缀”。注意开头匹配的是命令字符串，不是 argv 解析后的首个 token。如果 Claude 写了 sudo git status，不匹配！因为开头是 “sudo”。

我被这个坑过——allow 里写了 Bash(git diff:*)，但 Claude 用 gh pr diff | git apply 这种 pipeline，直接跳出 allow 范围变成 ask。不算坑，算细节。

坑 2：deny 的优先级

deny > ask > allow。只要 deny 命中了就彻底拦，即使 allow 也命中。这个设计是对的，但新手容易以为 allow 能 override deny。

坑 3：bypassPermissions 下的 deny

deny 规则在 bypassPermissions 下依然生效。这是 bypass 唯一还能抢救的地方。所以我即使在 docker 里开 bypass，也会留一份 deny 名单：

1
2
3
4
5
6
7
8

"deny": [
  "Bash(rm -rf /:*)",
  "Bash(rm -rf ~:*)",
  "Bash(rm -rf $HOME:*)",
  "Bash(dd if=:*)",
  "Bash(mkfs:*)",
  "Bash(:(){ :|:& };::*)"
]

最后那条是经典 fork bomb，防止 Claude 不小心生成它。我知道听起来夸张，但安全就是这样——防 99% 没用，得防到 99.97%。

坑 4：Bash 参数匹配用正则不好使

规则匹配是前缀字符串，不是正则。Bash(.*push --force:*) 不会匹配 git push --force，这个语法根本不被支持。要拦就得显式列出：

1
2
3

"Bash(git push --force:*)",
"Bash(git push -f:*)",
"Bash(git push --force-with-lease:*)"  // 这个相对安全，可以不拦

复杂规则还是靠 hook 来做（看 hooks 那篇 里的 bash-guard 脚本），规则只做简单的前缀过滤。

我的生产机标准配置

在客户的生产机上跑 Claude Code（一般是只读的排错场景），我固定这套：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

{
  "permissions": {
    "defaultMode": "default",
    "allow": [
      "Read",
      "Grep",
      "Glob",
      "Bash(git log:*)",
      "Bash(git status:*)",
      "Bash(git diff:*)",
      "Bash(kubectl get:*)",
      "Bash(kubectl describe:*)",
      "Bash(kubectl logs:*)",
      "Bash(docker ps:*)",
      "Bash(docker logs:*)",
      "Bash(curl -s http://localhost:*)",
      "Bash(psql * -c \"SELECT:*\")"
    ],
    "ask": [
      "Edit",
      "Write",
      "Bash"
    ],
    "deny": [
      "Bash(rm:*)",
      "Bash(git push:*)",
      "Bash(kubectl delete:*)",
      "Bash(kubectl apply:*)",
      "Bash(docker rm:*)",
      "Bash(psql * -c \"DROP:*\")",
      "Bash(psql * -c \"DELETE:*\")",
      "Bash(psql * -c \"UPDATE:*\")",
      "Bash(psql * -c \"INSERT:*\")"
    ]
  }
}

核心思路：只读操作显式 allow，编辑全部 ask，写入类显式 deny。deny 是最后一道防线，即使我手抖按了 Y 它也被拦住。

团队共享：settings.json vs settings.local.json

这两个文件的区分是另一个新手常困惑的地方。

• settings.json：进 git，团队共享。放团队一致的 allow（比如 Bash(npm test:*)）、deny（比如 Bash(git push --force:*) 到 main）、必配的 hook。
• settings.local.json：不进 git（默认在 .gitignore 里），每个人自己的。放个人偏好（默认模式、默认模型）、本地路径、个人 API key。

建议把 settings.json 的设计当成”团队 SOP”，跟 .eslintrc 一个严肃度对待。我们 repo 里 PR 改 settings.json 必须两个人 review。

权限这块讲完了，但它只是 Claude Code 安全体系的一部分。hooks 是另一半 —— 可以看 CLAUDE.md 项目配置 那篇里 hook 部分讲的 PreToolUse 拦截。权限规则是静态的，hook 是动态的，两者组合才完整。

去年九月接了一个保险行业的 AI 客服项目。甲方最开始那位产品经理的原话我到现在记得——“Claude 不是有 200K 窗口吗？那我们所有保单条款、历史对话、用户档案，全塞进去，让模型自己找答案。”

我当时就懵了一下，但没反驳。毕竟客户是上帝嘛，先跑一版看看。

跑了一周测试集，F1 从基线的 0.76 掉到了 0.68。客户那边还没发作，我自己先慌了。一次请求平均 187K token，input 就要烧掉 0.56 美刀，返回质量还不如当初拿 20K context 做的 demo。

后来翻 Anthropic 发的一些工程 blog，加上我自己跑了十几组对比，才把问题理清楚：200K 是能用的上限，不是该用的配额。就像你信用卡额度 50 万，不代表你每个月该刷 50 万。

我现在固定用的 6 桶预算模型

后来我们团队内部定了个分配规则，做 RAG 或者 agent 的时候就照这个走。数字是针对 Sonnet 4.5 调出来的，Opus 可以宽一点，Haiku 要再紧一点。

桶 1：系统指令（~2K）

就是你那段「你是一个 XX 助手，请用 YY 风格回答」。很多人写到一两千字还收不住。说白了系统指令不是写小说，够用就行。2K 基本能覆盖角色、风格、硬约束三件事。超了基本就是废话太多，或者该用 CLAUDE.md 沉淀的东西塞到这里了（顺手推荐看 CLAUDE.md 项目配置）。

桶 2：工具定义（~3K）

如果你用 function calling 或者 MCP，工具的 JSON Schema 会占一块。别看着不多，一个复杂 agent 挂 15 个工具，光定义就能飙到 8K。我现在的原则是：一次对话用不到的工具就不要挂进来，动态加载。关于 MCP 和传统 function calling 的取舍可以看 MCP vs Function Calling。

桶 3：长期记忆/知识库精华（~10K）

这块是 RAG 系统里最容易被忽视的。不是当次检索的文档，而是”这个用户是老客户、VIP 等级、历史投诉 2 次”这种持久化状态。塞太多就变成背景噪音，模型 attention 会被稀释。

桶 4：当前检索结果（~30K）

也就是 retrieval 阶段捞回来的 top-k 文档。30K 听起来挺多，其实也就 6-8 段长文档。超过这个数你就要考虑 rerank 了——这事儿我专门写过 RAG 里的 rerank。

桶 5：对话历史（~20K）

多轮对话的累积。到一定长度必须压缩，后面会详细说。

桶 6：当前用户输入（~5K）

用户这一轮说的话。留点余量给他贴个长邮件或者代码片段。

加起来 70K 左右，离 200K 还差得远。但这是健康水位，不是上限。

每桶超支的典型症状

这是我们踩坑总结的对照表，现在贴在 Confluence 上，新人上手前先看。

系统指令超过 4K：模型开始”遗忘”开头指令，尤其到长对话后期。这其实就是经典的 “lost in the middle”。

工具定义超过 5K：模型会乱挑工具。我见过一个 case，13 个工具里有 2 个功能相近，定义又长，模型 30% 的 case 选错了那个。砍掉重复的瞬间就好。

长期记忆超过 15K：无关信息污染。比如你塞了用户三年前的一次购买记录，模型突然就基于那个老信息做推理。不该知道的别给它知道。

检索结果超过 50K：进入 lost-in-the-middle 重灾区。Anthropic 自己的论文也印证了，position 10-20 的文档 recall 会掉 18-22%。

对话历史超过 30K：模型开始”忘掉”最早的约定。我那个保险项目最严重的时候，用户前 30 轮说了自己是 70 岁老人、心脏病史，到第 80 轮模型推荐了一个”适合年轻健康人群”的产品。

当前输入超过 10K：通常是用户贴了整份文档。这种 case 应该拆成一次 ingestion + 一次 query，而不是直接塞。

那个保险项目后来怎么救回来的

原始版本 187K，F1 0.68。我们做了四件事：

第一，检索从 top-20 砍到 top-5，配合 Haiku 4.5 做 rerank。这一步把桶 4 从 78K 压到 22K。

第二，对话历史做分级压缩——最近 5 轮原文保留，再之前的滚动摘要，十轮之前只保留 entity。桶 5 从 52K 压到 14K。

第三，系统指令砍掉一堆”请注意””务必””切记”这种废话，结构化成 XML 标签（为什么 XML 比 Markdown 好）。桶 1 从 6K 压到 1.8K。

第四，长期记忆只保留当前会话可能用到的那部分——不是把用户所有档案塞进去，而是提前按 intent 做一次筛选。桶 3 从 31K 压到 7K。

最终一次请求 44.8K token，F1 0.84。成本从 0.56 刀降到 0.11 刀。客户那位产品经理到项目收尾还问我：”你们是不是换了更贵的模型？怎么感觉变聪明了。”

Lost in the middle 的几个缓解技巧

这个效应没法完全消除，只能减弱。我现在常用的几招：

重要信息放头尾。 系统指令放头，当前 query 放尾，这两个位置 attention 最强。中间塞检索结果。关于系统指令到底放哪里，这篇写得比较清楚。

用 XML 标签锚定关键段。 模型对 <critical> <user_profile> 这种标签极其敏感，相当于给它划了重点。

证据按相关度降序，但最相关的放最后。 这是反直觉的。因为 recency 效应比 primacy 还强。我们 AB 过，相关度最高的放最后比放最前 F1 高 3-4 个点。

别让模型自己找针。 在 prompt 里直接说”答案在 Document 3 的第二段”，比让它自己扫描 20 段文档准确率高很多。当然这要求你 retrieval 环节已经定位精确。

给还在”塞满”的朋友一句话

200K context 是营销数字，不是工程配额。

真正决定效果的是你怎么编排这 200K，不是你塞了多少。我现在看到团队说”我们要用满 context”就觉得这个项目八成要返工。就像做菜，盘子大不代表菜要装满，留白也是风味的一部分。

预算思维只是第一步。拆好桶之后，每个桶里面还有一堆小学问——怎么压缩对话历史、怎么排列检索结果、怎么让 Claude 真的记住最重要的几句话。后面几篇会一个一个拆。

user 那边呢？就一句：”请帮我分析这份合同的风险点。”然后把合同全文贴上去。

我看完大概沉默了十秒。这不是一个 prompt，这是一份岗位说明书。

我先讲一下 system 和 user 的职责边界

这事其实 Anthropic 在官方文档里讲得挺清楚，但被大部分中文教程带偏了。中文圈子里流行的说法是”system 放人设，user 放问题”，听起来没毛病，但太笼统。

我现在理解的边界是这样：

system 管的是”约束”——不管这次来什么请求，这些规则都成立。比如你是什么角色、不能做什么、输出什么格式、用哪种语气、失败时怎么兜底。这些东西一旦写进 system，Claude 会把它当成整个会话的”重力场”。

user 管的是”指令”——这一次我具体要你干什么。输入数据、本次任务目标、这次特殊的限制。

所以”请确保你的回答准确无误”这种话放 system 是浪费 token。它对所有任务都成立，说了等于没说。Claude 又不会因为你没说就故意瞎编。

那个客户一开始不服气，说你看 OpenAI 官方示例里也会写”你要准确”。我说那是他们 GPT 的风格，Claude 对这种”空话”敏感度很高，你写多了它反而会把实际约束稀释掉。

我拆的三层模型

在他项目上我重写了一版，就砍到 320 字，结构长这样：

第一层是身份（Identity）。两三句说清你是谁、服务谁、核心任务。不要形容词堆叠。”你是一名为中国中小企业服务的合同审阅助手，用户通常是没有法务团队的创业者”——这一句比”专业严谨富有同理心”信息量大十倍。因为它锚定了读者画像。

第二层是规则（Rules）。必须做什么、绝对不能做什么、边界在哪。我一般用无序列表直接列出来，每条不超过 15 字。比如：

• 不提供具体诉讼策略
• 不引用未经查证的法条编号
• 发现高风险条款必须用 <alert> 标签标出
• 无法判断时直接说”建议咨询律师”，不要硬答

这层最怕的是写得像宪法——“应当秉持公正原则”这种话 Claude 看了会礼貌性点头然后该怎么错还怎么错。要具体、要可执行、要像红线。

第三层是示例（Examples）。1-2 个微型 in/out 对，展示典型场景的风格和格式。如果你的任务有固定输出结构，这一层几乎是救命的。不过示例别写太长，system 里的示例主要是”锚定风格”，不是”穷举用例”。穷举用例的活儿交给 user 里的 few-shot 做更合适，这个我在另一篇讲 few-shot 设计的文章里会细说。

客户那版为什么会失败

回头看他原来那 850 字，问题不是”写得不好”，是”层次混乱”。身份、规则、示例、自我吹捧全糊在一块儿。

Claude 这种大模型处理长 system 的时候，有个我观察到的规律：越靠前的内容权重越高，越具体的内容越容易被执行，越形容词化的内容越容易被忽略。

他原 prompt 开头那三行全是形容词，Claude 大致相当于收到一个”请你表现得很牛逼”的模糊信号。到第 400 字左右才出现”不要编造法条”这种硬约束——但这时候注意力已经被稀释了。

我重写后把身份压到两句、规则上提到前置位、形容词几乎全删。实测在同一批 200 个合同分析 case 上，合格率从 71% 涨到 88%。”合格”的标准是他们自己的 QA 团队打分，不是我定的。

Claude 到底多”听”system

这事我顺手测过。同一条硬约束，放 system 里和放 user 里，执行率差多少？

我拿一个简单规则：”输出必须是 JSON，不要任何解释文字”，跑了 100 次相同的抽取任务。

• 只写在 user 里：73 次合规
• 只写在 system 里：91 次合规
• 两边都写：96 次合规

差距挺明显的。Claude 对 system 的”服从度”确实更高，这也是为什么我倾向把格式约束、输出结构这类”每次都一样”的东西往 system 放。想稳住 JSON 输出还有一套组合拳，我在让 Claude 稳定吐 JSON 的 5 个套路里专门写了。

顺便提一句，如果你在用 CLAUDE.md 做项目级配置，那个文件本质上就是个持久化的 system 增强，相关的写法我在Claude Code 项目配置那篇里有更细的讨论。

一些容易踩的坑

坑一：把可能变化的东西写进 system。比如”今天是 2026 年 4 月 20 日”——明天就过期了。这种应该放 user 或者动态注入。

坑二：system 里塞大段背景资料。知识性内容该放 user 或者用 RAG。system 主要承载规则，不是知识库。放多了既浪费缓存命中率，又让模型分心。prompt caching 的机制我在另一篇深入讲过。

坑三：用 markdown 标题装饰 system。# 身份 ## 规则 这种写法不是不行，但 Claude 对 XML 标签更敏感，用 <identity> <rules> <examples> 这种语义标签效果更稳。为什么 Claude 特别吃 XML，这篇专门讨论过。

坑四：规则互相矛盾没察觉。比如一边说”回答要简洁”一边说”要引用具体法条并解释”。Claude 遇到矛盾约束时倾向挑软的执行，结果就是两头不讨好。写完规则自己过一遍，看有没有打架的。

我现在的 system 模板

给一个脱敏后的骨架，你可以照着改：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

<identity>
你是 [服务对象] 的 [核心角色]，主要帮他们 [核心任务]。
</identity>

<rules>
- [硬红线 1，越具体越好]
- [硬红线 2]
- [输出格式约束]
- [失败/不确定时的兜底行为]
</rules>

<style>
- 语气：[具体到"像资深同事一样"这种]
- 长度：[默认段落数或字数区间]
- 禁用：[明确不要的措辞]
</style>

<example>
输入：...
输出：...
</example>

基本上 200-400 字解决战斗。想加东西先问自己：”这条规则是不是每次都成立？”不是就挪去 user。

写 prompt 这事最怕的就是”越写越长、越长越虚”。砍到只剩骨头，反而是最快出效果的办法。

后来 ChatGPT 火了，我被推着去试了 GPT-3.5，然后有朋友从内测通道甩给我一个叫 Claude 的东西，让我试试。我记得那天晚上我把同一段写得很烂的需求文档分别喂给两个模型，让它们帮我重写。GPT 给我的东西结构很漂亮但逻辑是飘的，Claude 给我的第一版不好看，但它会主动指出”你第 3 条和第 5 条是矛盾的，我暂时按第 3 条来写了，你确认一下”。

就那一句话，我记到今天。

那群人为什么非要从 OpenAI 出来

Anthropic 的核心创始团队，基本上是 OpenAI 当年负责 GPT-2、GPT-3 研究和安全的那批人。Dario 之前是 OpenAI 的研究 VP，Daniela 管运营，Tom Brown 是 GPT-3 论文一作，Jared Kaplan 是 scaling law 那篇论文的作者之一。

他们出来的表面原因是”对公司方向有分歧”，但你跟在那个圈子里的人聊过就知道，真实原因没那么玄乎：他们觉得 OpenAI 在安全问题上往后退了，产品化压力越来越大，而他们想做的事——搞清楚”一个能力越来越强的模型，怎么才能持续可控”——在原来那个组织里推不动了。

所以 Anthropic 一开始不是一家产品公司，是一家研究公司。2021 年成立，头两年几乎没对外发布任何可用的东西，只发论文。这跟 OpenAI 一上来就憋大招搞 GPT-3 API 完全是两种打法。

顺便说一句，我去年跟一个在 Anthropic SF 办公室的朋友吃饭，他说他们内部开会还是把”Safety”放在产品节奏前面的，这跟外界的印象差不多能对上。

Constitutional AI 到底是什么，用白话讲

要理解 Claude 跟 GPT 的区别，绕不开 Constitutional AI（简称 CAI）。很多文章讲这玩意讲得云里雾里，我用一个我给非技术客户讲过的比喻：

RLHF，也就是 OpenAI 训 ChatGPT 那套主流做法，相当于雇了一群人类标注员去打分——模型生成 A 和 B 两个回答，人看完说 A 更好，模型就记住”要像 A 那样”。这种方式的问题在于，人工很贵，而且人会累、会不一致、会有偏见。

CAI 的做法是：先写一份”宪法”，大概几十条原则（比如”不要帮用户做违法的事””不要输出对特定群体不公平的表述””当你不确定的时候要说不确定”），然后让模型自己拿这份宪法去给自己的回答打分、改写、再打分。人类只在最开始参与，后面大部分工作模型自己循环。

好处是一致性高、可审计（宪法是明文的）、更便宜。缺点是如果宪法写歪了，模型会一本正经地把错误放大。Anthropic 这几年在改的主要就是这份宪法本身。

想展开看 Claude 和 GPT、Gemini 各自的路线差异，我之前写过一篇 2026 Q2 的横向对比，可以接着读。

Claude 家族这几年怎么长起来的

我简单捋一下，按我自己用过的版本为准：

• Claude 1（2023 初）：只在 Slack 里能用，反应慢，但长文本理解明显比当时的 GPT-3.5 好。
• Claude 2（2023 年中）：开放了 API，上下文窗口做到 100K，我当时拿来啃合同、翻法律文书，第一次感觉”这东西能干活”。
• Claude 3 系列（2024）：第一次分了 Haiku / Sonnet / Opus 三档，Opus 3 在推理和写作上当时是拉开同档 GPT 一截的。
• Claude 3.5 / 3.7（2024-2025）：Sonnet 3.5 开始真的好用，Claude Code 也是这一代起步的。
• Claude 4 系列（2025-2026）：现在线上是 Haiku 4.5、Sonnet 4.6、Opus 4.7。Sonnet 4.6 已经是我日常 80% 任务的主力。

三档模型怎么选，我在这篇 Haiku/Sonnet/Opus 选型笔记里写得很细，这里不重复。

和 GPT、Gemini 的定位差异

我尽量不贬低其他家，说几个我自己体感上的区别：

写长文、处理长文档：Claude 到现在为止还是我的首选。它在 50K 以上上下文里不容易丢信息，GPT-4 类在这种场景下常常会”中间段失忆”。

代码：以前 GPT 更强，2025 年之后 Claude Code + Sonnet 反超了，尤其是改大型代码库、做 refactor 这种活。我现在写代码 90% 用 Claude Code 这一套。

对话自然度：GPT 的”人味”更足一点，Claude 会稍微一本正经一些。写营销文案我反而会用 GPT 打草稿，再用 Claude 改逻辑。

安全边界：Claude 拒答率偏高，有时候你让它帮你写个对某个公司有点批评的分析，它会很谨慎。好处是不容易出事，坏处是有时候挺烦的。

价格：Haiku 做到 1 美元/百万 tokens 输入，这个价位段 Anthropic 比较卷。

Gemini 我用得少，主要在 Google Workspace 场景里当插件用，独立用它写东西我没习惯。

我印象最深的一次对话

2024 年夏天，我帮一个客户做合同风险审查，把一份 80 页的英文投资协议丢给 Claude 2，让它找出”对乙方明显不利的条款”。

它没直接列清单，先跟我说了一句：”这份合同里的不利条款有些是显性的（比如第 14.3 条违约金），有些是靠几条互相引用的条款组合出来的陷阱（比如 7.2+11.5+附件 C-3），你想要哪种？”

我当时愣了一下。那个”组合陷阱”它最后挑出来 3 条，其中 1 条我们的律师团队初审都没发现。

从那之后我对 Claude 的印象就定下来了——它不是最聪明的，但它是那个”会告诉你它在想什么、不确定的地方会说出来”的模型。我觉得这跟 Constitutional AI 这条技术路线是有关系的，不完全是运气。

我当时嘴里正嚼着东西，差点呛住。这误解在开发者圈里太常见了，甚至连一些写过相关代码的人也会这么觉得。但如果你真的在生产环境里把两种方式都用过，就会明白它们差的不是一点半点——维度根本不一样。

Function Calling 是工具；MCP 是给工具定一个标准插口。你可以说螺丝刀和螺丝的规范是一回事吗？当然不是。

这篇我想把五个最本质的差异一条一条拆给你看，最后说说实际项目选型怎么想。

差异一：协议层 vs 应用层

这是最根本的一条，想通了这一点其它四条都顺了。

Function Calling 是 OpenAI 2023 年 6 月发的一个 API 特性，它的本质是：模型输出结构化 JSON，你的应用代码去执行。Anthropic、Google、阿里、智谱……现在都有自己的 tool use / function calling API，但注意——这是每一家自己 API 里的一个功能。你的代码和 xx 家模型的 API 深度耦合。

MCP（Model Context Protocol）不一样。它是 Anthropic 2024 年 11 月开源出来的一个通信协议，基于 JSON-RPC 2.0，规定了 Client 和 Server 之间怎么发现工具、怎么调用工具、怎么传递上下文、怎么处理流式响应。它本身不绑定任何模型、任何厂商。

打个比方：

• Function Calling 像每个品牌充电器的私有接口。苹果 lightning、华为 Type-C 以前的自家协议、早期安卓的 micro USB——每家自己一套
• MCP 像 USB-C。协议标准化之后，任何设备对任何设备都能用

USB-C 这个比喻最早是 Anthropic 官方自己提的，我一开始觉得有营销味，用多了之后发现还挺贴切。

差异二：有状态 vs 无状态

Function Calling 是一次性交易。你给模型一个 tools 数组，模型决定调哪个、给你返回 JSON，你执行完把结果再塞回对话。工具本身没有”会话”概念，每次调用都是独立的。

MCP Server 是一个长连接的服务。它可以：

• 维护一个数据库连接池，整个会话期间复用
• 缓存用户身份信息，不用每次鉴权
• 推送 notifications/resources/updated 告诉客户端”我这边的资源变了”
• 在多次调用之间保持工作目录、临时文件这些状态

举个最实际的例子：你要做一个”代码仓库分析”工具，让 Claude 能读取项目结构、打开文件、跑测试。

• Function Calling 版本：每次调用 read_file 都要把完整路径当参数传进去，模型要自己记住当前在哪个仓库
• MCP 版本：Server 启动时 cd 到仓库根目录，之后所有调用都是相对路径；Server 还可以主动推送”文件变更”事件让模型知道有新的 commit

这个差异在 Agent 长时任务里会被放大。任务跑 30 分钟、跨越 200 轮对话，有状态和无状态是两种完全不同的编程模型。

差异三：可发现 vs 硬编码

你有没有写过这种代码：

1
2
3
4
5
6

tools = [
    {"name": "search_web", "description": "...", "parameters": {...}},
    {"name": "send_email", "description": "...", "parameters": {...}},
    {"name": "query_db", "description": "...", "parameters": {...}},
]
response = client.messages.create(tools=tools, ...)

这就是 Function Calling 的典型写法——工具列表写死在客户端代码里。你想加一个工具？改代码、重新部署。你想让不同用户看到不同的工具？自己写权限过滤逻辑。

MCP 的核心 API 之一是 tools/list——客户端启动时问 Server：”你都有啥工具？”Server 返回一个动态列表。这意味着：

• 在 Server 侧加一个新工具，所有连接的客户端不用改任何代码就能用
• Server 可以根据当前用户、当前权限，返回不同子集的工具列表
• 工具的描述、参数 schema 都可以在运行时更新

我最近在做的一个内部项目，用 MCP 接了 6 个 Server：知识库、CRM、邮件、日程、Git、监控。运营同学的客户端能看到前 3 个，工程师能看到全部 6 个，运维只看到监控——都是同一份客户端代码，只是 Server 侧发的工具清单不一样。换 Function Calling 的话，光这套权限逻辑就得写几百行。

差异四：跨 LLM vs 单家绑定

这点对做产品的人尤其重要。

我之前做过一个客户项目，用 GPT-4 的 Function Calling 做了一整套工具集成。后来客户要改成 Claude——工具定义格式不一样（OpenAI 用 JSON Schema，Anthropic 用的是类似但不完全一样的格式），消息结构也不一样（OpenAI 的 tool_calls vs Anthropic 的 tool_use content block），全部代码重写一遍，花了一周。

MCP 协议本身是厂商中立的。只要客户端实现了 MCP 协议，它就能连任何 MCP Server；你的 Server 也可以同时服务给 Claude Desktop、Cursor、Cline、甚至某些支持 MCP 的 OpenAI 兼容 Client。

对 Server 开发者来说，写一次，所有生态都能用。这是真正的网络效应，也是为什么我判断 MCP 会比 Function Calling 活得久。

当然现在阶段 OpenAI 自家还没有正式支持 MCP（2026 年初还是这个状态），但第三方适配层已经有一堆了，转换成本比当年重写 Function Calling 低多了。

差异五：服务端自治 vs 客户端编排

这条比较抽象但很关键。

Function Calling 模式下，所有编排逻辑都在你的客户端代码里：什么时候调工具、调哪个、失败重试、结果怎么传回模型——这些都是你写的应用代码在决定。模型只负责”生成 JSON”，你负责”真正做事”。

MCP 下，Server 有更多自主权。它可以：

• 定义自己的 resources（只读数据源），让模型直接引用而不是通过工具调用
• 定义 prompts（预制的 prompt 模板），让用户直接选用
• 通过 sampling API 主动反向请求客户端帮它跑一次 LLM 推理（比如 Server 自己需要做一次翻译）
• 发送 progress 通知告诉客户端”我这个任务进度 30%”

这些能力是 Function Calling 完全没有的。说白了，Function Calling 把模型当大脑、把工具当手；MCP 把 Server 也当作一个有智能的参与方，大家是协作关系。

选型建议：什么时候用哪个

拆完差异，回到实际问题——你到底该选哪个？

选 Function Calling 的场景：

• 单次 API 调用能搞定的任务，比如”帮我写邮件时调一次日历查空闲”
• 快速原型、一次性脚本
• 只给自己或少数内部工具用
• 模型厂商锁定不是问题（比如你们公司就认 OpenAI）

选 MCP 的场景：

• 要给非开发者终端用户用（他们装 Claude Desktop / Cursor 就能用你的工具）
• 工具需要共享给多个应用，一次开发多处复用
• 有长时任务、需要状态和流式响应
• 在搞 Agent 产品，希望兼容未来更多客户端

真实世界里，我现在新项目几乎都走 MCP 了。开发成本没高多少（FastMCP 这种框架已经很顺手），但获得的可移植性和生态红利很可观。关于 FastMCP 的具体用法，我在 Tool与MCP 分类 下面那篇”30 分钟手搓 MCP Server”里有完整的代码示例可以参考。

如果你正在做 Agent 方向的产品，还可以去 Agent开发 分类 看看那边关于 Skills 和 Agent 架构的文章，跟 MCP 组合起来用会有更多想象空间。

最后说点我的个人判断

MCP 现在还在早期——协议版本还在迭代（最新是 2025-06-18 draft），生态工具链不算成熟，debug 也比 Function Calling 麻烦（多一层协议就多一层坑）。

但我的感觉是：这波标准化是挡不住的。Function Calling 这种”每家一套 API”的做法，在行业成熟度低的时候是必然现象，就跟早期移动端充电器一样；但当生态规模到了一定阶段，标准化协议一定会胜出。苹果最后也上了 Type-C，对吧。

做选型决策的时候，我现在的默认选项是 MCP；只有在”真的只需要一次性、工具很少、没有复用需求”的场景才退回 Function Calling。

这不是什么信仰，是算过账的——多花 20% 的开发成本，换来 3 年后不用大重构，这买卖稳赚。

2025 年 11 月，给一家做营销 SaaS 的甲方做后端重构。Claude Code 接了他们一个 14 万行的 Node 仓库，我那周手速也快，Opus 跑着跑着就把一个 shared util 文件给改了。表面看 tsc 过了、vitest 过了，PR 也被 review 通过。

然后 merge 到 main 的 37 分钟后，Grafana 告警拉响——一个正则没转义，所有 webhook 签名校验失败。用户投诉 1247 条涌进来。

回滚花了 8 分钟。我复盘那天晚上的 transcript，发现 Claude 其实跑完 Edit 之后没跑 lint，而项目里有个自定义 ESLint 规则会抓这个模式。它只是不知道要跑。

从那之后我给每个新项目进 Claude Code 之前，一定先配好 5 个 hook。不是洁癖，是真被吓到了。

先说清楚 Claude Code 的 hook 到底有几个入口

官方目前稳定的 hook 点我常用这几个：PreToolUse、PostToolUse、UserPromptSubmit、Stop、SessionStart。配置走 .claude/settings.json 或者 settings.local.json，格式大致是：

1
2
3
4
5
6
7

{
  "hooks": {
    "PostToolUse": [
      { "matcher": "Edit|Write", "hooks": [{"type": "command", "command": "..." }] }
    ]
  }
}

matcher 支持正则，所以 Edit|Write|MultiEdit 这种合并写法很省事。每个 hook 拿到的 payload 从 stdin 进来，是个 JSON，想拦截的话 exit code 非 0 就行。

下面这 5 个就是我跑了大半年沉淀的固定配置。

Hook 1：PostToolUse 自动跑 lint/format

最基础但最救命的一个。Claude 每次 Edit/Write/MultiEdit 之后，自动触发项目自己的 lint 和 format。关键是要把错误回灌给 Claude，这样它下一步会自己修。

我的 Node 项目模板：

1
2
3
4
5
6
7

{
  "matcher": "Edit|Write|MultiEdit",
  "hooks": [{
    "type": "command",
    "command": "node .claude/scripts/post-edit-lint.js"
  }]
}

脚本里我干这几件事：读 stdin 拿到被改的文件路径，按扩展名路由（.ts/.tsx 走 eslint –fix + prettier，.py 走 ruff + black，.go 走 gofmt + golangci-lint），有 error 就 echo 到 stderr 并 exit 2。exit 2 是 Claude Code 专门的约定，stderr 内容会被塞回模型的下一轮上下文。

之前我图省事写 exit 1，Claude 完全看不到错误信息，一脸懵地继续往下跑。后来翻文档才知道必须 2。真要命，这种细节官方藏得挺深。

Python 项目的差异是 ruff 比较快但 mypy 慢，所以我 mypy 只在 Stop hook 里跑一次，不在 PostToolUse 里跑。不然每次编辑都卡 6-8 秒，Claude 的节奏会被打乱。

Hook 2：PreToolUse 拦截危险操作

这个就是我那次事故之后写的。规则很简单：所有 Bash 调用先过一层关键词筛子。

1
2
3
4
5
6
7

{
  "matcher": "Bash",
  "hooks": [{
    "type": "command",
    "command": "node .claude/scripts/bash-guard.js"
  }]
}

guard 脚本里的黑名单（从 stdin 读 tool_input.command 然后 grep）：

• rm -rf / 以及任何作用在 /、~、$HOME 的递归删除
• git push --force 到任何带 main|master|prod|release 的分支
• git reset --hard 超过 10 个 commit 往前
• DROP TABLE、TRUNCATE 在生产连接串上
• chmod 777 任何目录

匹配上就 exit 2 并输出拒绝原因。Claude 收到后 84.3% 的情况会自己换一个更安全的写法，剩下 15.7% 会在下一轮请求用户 confirm——这个比例是我翻了自己最近 412 次触发记录统计出来的，还挺靠谱。

顺便说，这东西的权限模式我之前也被坑过，想展开聊的可以看我另一篇 Claude Code 权限模式（虽然那篇主要比三家工具，但权限部分讲得比较细）。

Hook 3：UserPromptSubmit 自动注入项目状态

这个是后期加的，但加了之后 Claude 的”上下文感”提升非常明显。用户每次提交 prompt 之前，我往上下文里塞一段项目快照：

• 当前 git 分支
• 最近 3 条 commit 的 hash 和 subject
• 未 commit 的文件数（git status --short | wc -l）
• 当前开着的 PR 号码（如果有，通过 gh pr status）
• 今天是周几（我自己 debug 方便）

脚本输出的字符串会被拼到用户 prompt 前面。我控制在 280 字以内，不然每次都多烧 token。

好处是 Claude 不会再问 “你现在在哪个分支” 这种废话，也不会傻乎乎建议我 git checkout main 而忽略我脏了一堆文件没提交。一个同事说”感觉 Claude 变聪明了”——其实只是它终于有视力了。

为什么这个要放在 prompt 之前而不是 system？因为系统提示词会被缓存，你每次都变动会打破 cache。想深入理解这个可以翻 系统角色与位置放置 和 Prompt Caching 深度指南。

Hook 4：Stop 自动写会话摘要

Claude 每次结束对话（Stop 触发），我让它把这次会话摘要写到 .claude/logs/YYYY-MM-DD-HHMMSS.md。格式固定：

1
2
3
4
5
6
7
8
9
10
11

## 任务
<一句话>

## 改动文件
<列表>

## 决策点
<3-5 条>

## 未解决
<列表>

实现方式是 Stop hook 调一个小脚本，脚本里再触发一次 Claude API 的 Haiku 4.5（便宜，$0.0037 一次摘要）读最近 transcript 生成。

这东西最大的用处是第二天继续干活的时候。我打开项目第一件事是 ls -t .claude/logs/ | head -5，看昨天卡在哪。之前没有这个习惯的时候，我经常花 15 分钟重新”找回状态”。现在平均 3 分钟。

想了解 agent 长期记忆的完整思路可以看 长期记忆与 Agent 状态，hook 写摘要本质上就是人工版的 episodic memory。

Hook 5：SessionStart 拉依赖 + 健康检查

每次我打开 Claude Code 会话，SessionStart 触发：

1. git fetch origin 看远端有没有更新
2. npm install 或者 uv sync（根据项目类型）静默跑
3. 跑一个 10 秒的 smoke test（我们项目里是 make health，其实就是 curl 几个 internal endpoint）
4. 把结果摘要塞进 session context

目的是让 Claude 一上来就知道”依赖是最新的、本地服务是活的”。之前没这个 hook 的时候，Claude 经常花一轮对话去诊断”为什么 import 失败”，最后发现是 node_modules 没装。

一个副作用是团队新人接手项目也轻松了。以前新人 clone 下来要翻 README 照抄一堆命令，现在 Claude Code 一跑 SessionStart 全搞定。一个实习生原话：”这个 hook 比你们的 onboarding 文档有用多了。”

那次事故之后的一次”假警报”

这 5 个 hook 配齐一个月后，有一次 PreToolUse 拦了 Claude 一个 git push --force 到 feature/refund-v2。按我的规则 feature 分支是放过的，但当时分支名里有个 release 字样——feature/release-gate-refactor。规则里我用的是 grep -i release，命中了。

Claude 收到拒绝后自己换成了 git push --force-with-lease，更安全。我当时看日志还挺感慨——规则写得略粗，但效果反而更好。

所以结论：hook 宁可粗一点误拦，也别漏拦。被误拦无非多走一步，漏拦就是事故。

如果你还没开始配 hook，我建议就从 Hook 1 和 Hook 2 开始。这两个加起来 40 行脚本，半小时搞定，ROI 是整个 Claude Code 生态里最高的。想把整套 agent 工程化看 Agent SDK 架构，或者看一下我怎么在 CLAUDE.md 里做项目长期约束 CLAUDE.md 项目配置。

去年有个事故我记到现在。

客户是家做法律咨询的，AI 助手用的 Claude Sonnet。用户在对话第 15 轮说自己有一笔 48 万的遗产纠纷，要咨询继承顺序。第 16 到第 40 轮中间聊了一堆背景——父母离异、兄弟几个、有一个继父、继父带来的两个子女。

到第 42 轮，用户问了一句”那我应该起诉谁”。

我们那会儿做了简单的历史截断——超过 30 轮就只保留最近 20 轮。结果 AI 回答里说成了”您只需要和两位兄弟协商即可”——那个继父和继子女的信息早就被截掉了。

那一次差点吃官司。从那之后我再也不敢用纯截断策略。

策略 1：朴素截断（千万别用）

最朴素的做法：设一个轮数上限，超过就从头砍。实现十分钟能搞定。

信息损失率实测：我们跑过一个基准测试集，120 个 case，每个 case 40-60 轮对话。纯截断（保留最近 15 轮）的信息召回率是 **43.7%**。几乎一半关键信息丢了。

为什么这么惨：用户往往在对话早期交代背景，后期只抛出具体问题。截掉早期就是截掉上下文。

什么时候可以用：真的不建议用。除非你的场景是客服——每次对话独立，不跨 session。那用户如果第二次来咨询，你反正也不需要记得第一次。

说句实话我现在看到代码里有 messages[-N:] 这种直接切片的，都会把人叫过来谈话。

策略 2：分级压缩（当前我用得最多）

分三层：

L1 近期原文：最近 6-10 轮原封不动保留。

L2 中期要点：倒数第 11-30 轮，每 3-4 轮生成一个小摘要，约 150 token 左右。这一层保留关键 entity、用户意图转折点、AI 已做的承诺。

L3 远期摘要：30 轮以前整段压缩，约 500-800 token。这一层只保留”这场对话是关于什么、用户的核心诉求、已经解决和未解决的事项”。

信息损失率实测：同样那 120 个 case，分级压缩的召回率 **84.2%**。比截断好太多。

实现关键：

第一，L2 和 L3 的压缩 prompt 要完全不同。L2 是”请保留所有数字、日期、人名和具体诉求”，L3 是”请概括对话主题和已达成的共识，不超过 800 字”。粒度不一样。

第二，entity 白名单机制。压缩时显式提取出金额、时间、人名、地点、医疗术语、法律条文号，单独存成一个 entity list，和摘要一起喂回 context。这个机制救了我好几次。

第三，L2 不是一次性生成的，是增量更新。每 3 轮新对话来了之后，用 Haiku 对这 3 轮做小摘要，append 到 L2。而不是每次都重新压缩整段——太贵。

成本：Haiku 4.5 做压缩一次 300 token 左右，成本 0.00012 美刀。一个 60 轮对话全程大概压 15 次，总成本 0.0018 刀。相比 Sonnet 的 input 费用节省 70% 以上。

我踩的坑：最开始 L2 的摘要让 Haiku 自由发挥，结果它经常”优化”掉用户的原话。用户说”我觉得这个方案不错但有点贵”，压缩完变成”用户对方案表示满意”——“有点贵”这个关键反馈丢了。后来我在 prompt 里明确要求”保留用户的原始措辞，尤其是带情感倾向的表达”，才好转。

策略 3：Entity-centric compression（进阶）

这个策略是我从一个客户那里学来的，他们团队里有个做知识图谱出身的工程师。

核心思想：不压缩对话，而是从对话里抽取事实。

每轮对话结束后，跑一个抽取任务，产出形如：

1
2
3
4
5
6

<facts>
  <fact id="f1" type="user_profile">用户年龄 34 岁</fact>
  <fact id="f2" type="preference">偏好低风险投资</fact>
  <fact id="f3" type="constraint">每月最多投入 5000 元</fact>
  <fact id="f4" type="decision">用户已拒绝方案 A</fact>
</facts>

每个 fact 带 id、类型、原始对话轮次引用。

再下次对话时，context 里不放对话历史本身，而是放 fact list + 最近 3-5 轮原文。

信息损失率实测：同样基准，召回率 **88.9%**。比分级压缩略高。但注意这个数字是在”精确引用”测试集上——如果测试集是”语气一致性””理解对话的情感脉络”这类软指标，entity-centric 反而不如分级压缩，因为它丢了语气。

为什么强：

第一，可审计。每个 fact 可以追溯到原始对话。用户质疑”AI 为什么说我不吃辣”，你能精确定位。

第二，可修改。用户说”我改主意了，现在可以接受高风险”，你直接把 f2 覆盖掉。朴素摘要做不到这种精细更新。

第三，可组合。fact 库可以跨会话累积，变成用户画像。但这需要额外做冲突检测，上一篇文章讲过。

什么时候别用：

任务如果高度依赖”情感连续性””语气”——比如陪伴聊天、创意写作——entity 抽取会把灵魂抽没。

实现成本：比分级压缩高一倍。每轮后要跑一次抽取 + 每次请求前要拼接 fact list。但长期看收益更大，尤其配合 CLAUDE.md 这种项目级配置 一起用。

三种策略的成本-效果对比

做了张表，是我这半年几个项目的实测均值（60-80 轮对话）：

我现在的默认选择：通用场景分级压缩，严肃场景 entity-centric。偶尔也会混用——近期用分级，远期用 entity 化的 fact list 兜底。

对 Claude.ai 做法的一点推测

Anthropic 没公开过 Claude.ai 里”记得住几个月前对话”功能的技术细节。但从我观察到的行为来看，我的猜测是这样的：

第一，用了 entity-centric 为主的记忆层。因为 Claude.ai 能精确回忆”你三周前跟我说你在学 Rust”这种细节，而且跨会话都能命中。这不像纯摘要能做到的。

第二，近期会话保留更多原文。同一个会话内前后文连贯性极好，断层罕见。这说明近期没过度压缩。

第三，有 用户可见的记忆管理入口。用户能看到、删除、修改记忆。这种 UX 暗示底层是结构化的 fact，不是黑盒摘要。

第四，召回是 LLM 主导的。对话中 Claude 会自己判断”要不要调用记忆”，而不是每次机械检索。这点和我上一篇写的 agent 记忆架构思路一致。

当然这都是我瞎猜，Anthropic 哪天发工程 blog 估计会把我打脸。但八九不离十。

最后三条实操经验

第一，压缩模型要比主模型小一档。 主力用 Sonnet，压缩用 Haiku。用 Opus 做压缩是浪费。

第二，摘要的 prompt 要版本化。 我在 repo 里专门有个 prompts/summarization_v3.xml，改动要走 review。因为摘要 prompt 直接决定了你的”记忆质量”，不是随便改的。

第三，留一个”压缩旁路”。 关键决策点（用户下单、签约、投诉）的那几轮对话永远保留原文，不进压缩池。这种关键轮次的识别靠 Haiku 实时打标。

做记忆这件事最忌讳聪明过头，把简单问题做复杂。但更忌讳偷懒，把复杂问题做简单。压缩这一块，属于后者。

“我们 staging 库一张 order_log 表没了，就刚才的事。Claude Code agent 调了咱们搓的那个 db_query MCP tool，不知道怎么执行了 truncate。”

那张表 21.4K 行，虽然只是 staging，但包含了 QA 组两周的测试数据。复盘完之后我整理了一套 MCP server 安全检查清单，现在我们团队所有 server 上生产前必须过这 6 项。

这篇没有理论，全是踩坑换来的。

事故复盘：Agent 是怎么把表删了的

先讲清楚那次怎么翻车的，后面的检查项才有上下文。

那个 db_query MCP tool 原始设计：

1
2
3
4
5
6
7
8
9

{
  name: "db_query",
  description: "在数据库上执行 SQL 查询",
  inputSchema: {
    type: "object",
    properties: { sql: { type: "string" } },
    required: ["sql"],
  }
}

连接的是 staging 数据库的 read-write 账号。工程师 A 给 LLM 发了个需求：”帮我看下 order_log 表最近一周有多少行被标记为 test_data”。

LLM 的操作链：

1. 调 db_query 跑了 SELECT COUNT(*) FROM order_log WHERE tag='test_data'，返回 17 行
2. 用户后续说”这几行清掉吧”
3. LLM 调 db_query 跑 DELETE FROM order_log WHERE tag='test_data'
4. 返回报错：”tag 列有 NULL 约束冲突”（实际是权限问题提示不明确）
5. LLM 自己推理”可能要先清空再重建”，跑了 TRUNCATE TABLE order_log
6. 成功

工程师 A 盯着另一个窗口写代码，10 几分钟后才反应过来。

事后我们 review 了这个决策链，LLM 的每一步”单独看”都不离谱，合起来就是灾难。问题出在：tool 的权限边界过大 + 没有 dry-run + 没有限流 + 审计缺失。

检查项 1：输入校验（tool 参数别裸信）

最基础但最容易漏。LLM 传过来的 tool 参数是不可信输入，必须校验。

上面那个 db_query 最起码应该：

1
2
3
4
5
6
7

const SqlSchema = z.object({
  sql: z.string()
    .max(8000)
    .refine(s => !/\b(DROP|TRUNCATE|DELETE|ALTER|GRANT)\b/i.test(s), {
      message: "危险 SQL 关键字，请用专用 tool",
    }),
});

或者更狠一点，直接只允许 SELECT：

1

.refine(s => /^\s*SELECT\b/i.test(s.trim()))

写 MCP tool 的时候脑子里要有这个模型：你不是在写 API，你是在给一个会自由组合 tool 的 AI Agent 开权限口子。Agent 会以你想不到的方式组合调用。

检查项 2：Secrets 管理（凭证不能塞 config）

见过太多次 claude_desktop_config.json 里直接写 API key。文件不加密、可能被同步到 iCloud、被误 commit 到 git。

正确做法：

• 开发机：env 字段 + 系统 keychain（macOS）或 DPAPI（Windows）
• 生产机：MCP server 启动时从 Vault/AWS Secrets Manager 拉
• 绝不：把 key 写进 server 代码、写进 tool description、写进 log

MCP server 启动流程应该是这样：

1
2

const dbUrl = await fetchSecret("prod/db/readonly-url");
// 不要 console.log(dbUrl)

另外一个容易忽略的：MCP server 的 tools/list 返回给客户端的 description 里不要包含任何环境信息（”连接到 prod-us-east-1 的 xxx 集群”），这会经过 LLM、可能被日志到 Anthropic 侧。

检查项 3：权限边界（只读 vs 读写 server 分离）

这是那次事故之后我们组的硬性规定。

一个 MCP server 只承担一种权限级别：

• company-db-readonly：只连 read-only DB 账号、只有 SELECT tools
• company-db-readwrite：独立 server，连 RW 账号、提供 INSERT/UPDATE tools（不提供 DELETE/TRUNCATE）
• company-db-admin：独立 server、独立审批流程、默认不启用

用户要用到高权限 server 时，在 config 里显式启用。LLM 永远看不到 admin tools 除非用户主动开。

这个设计的额外好处是：你可以在 Claude Code 的 .mcp.json 里按项目控制——开发项目只挂 read-only、运维项目才挂 read-write。配合 Claude Code 权限沙箱 里的二级保护，基本不会出大事。

检查项 4：审计日志（谁在什么时候调了什么 tool）

事故那次最抓狂的是：我们花了 40 多分钟才定位是哪个 tool 哪条 SQL 干的好事，因为没有统一日志。

正确的审计结构，每次 tool call 至少记录：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

{
  "timestamp": "2026-04-15T08:23:17.284Z",
  "server": "db-readonly",
  "tool": "db_query",
  "args_hash": "sha256:8a3f...",
  "args_size_bytes": 342,
  "caller": {
    "client": "claude-desktop",
    "session_id": "xxx",
    "user_hint": "joe@company.com"
  },
  "result_status": "ok",
  "duration_ms": 127
}

关键字段：

• args_hash 而不是原文（避免日志泄露敏感参数）
• user_hint 从 MCP client 侧传过来（很多 MCP 客户端支持带用户上下文）
• duration_ms 方便发现异常

日志存到公司统一日志平台，保留 90 天起步。出事了至少能查。

检查项 5：Rate limit & Quota（防 Agent 失控爆 API）

Agent 一跑起来可能一分钟调你 tool 几十次，这在人类 API 用户那边几乎不可能。

我见过最离谱的一次：某客户的 Claude Code agent 接了个 Slack MCP server，写代码的时候 stuck 住、反复调 list_channels 去”探索环境”，11 分钟调了 2847 次，把公司 Slack API quota 直接干穿了，整个公司 Slack bot 半小时不能用。

两层防护：

server 侧：每个 tool 按 session+tool 组合限流，比如 60 次/分钟。超过直接返回错误让 Agent 退避。

1
2
3
4
5

// 简化伪代码
if (callCountThisMinute(sessionId, toolName) > 60) {
  return { isError: true, content: [{ type: "text", 
    text: "Rate limited: 60 calls/min exceeded. Wait or use batch tool." }] };
}

下游 API 侧：给 MCP server 配独立的 API key、独立 quota，爆了只影响 Agent 场景不影响业务。

检查项 6：依赖漏洞（MCP 生态早期 npm 包质量参差）

MCP 火是 2024 年底的事，整个生态还很年轻。到 2026 年 4 月 npm 上 MCP 相关包有 840+ 个，但质量分布极其分散。

我扫过一次：top 100 包里 23 个有已知中高危漏洞（npm audit 高或严重），17 个最近 6 个月没更新，9 个连 README 都没有。

上生产前必须做的事：

• npm audit 跑一遍，高危必须修
• 看 package 的 weekly downloads 和 maintainers 数量（单人维护的小包慎用）
• 看最近 commit 日期（6 个月没动的包视为不活跃）
• 考虑用 socket.dev 这类 supply chain 工具扫

Python 生态同理，pip-audit 跑一遍。

一个上线 checklist

我们团队现在每个 MCP server 上生产前对照走一遍：

1
2
3
4
5
6
7
8
9

[ ] 所有 tool 参数都有 zod/pydantic 校验
[ ] 危险操作（DROP/DELETE/rm -rf 类）显式禁用或单独 server
[ ] Secrets 走 Vault/Secrets Manager，代码里 grep 不到明文
[ ] 读写权限分离成独立 server
[ ] 每次 tool call 写审计日志，args 用 hash
[ ] tool 粒度的 rate limit，超限返回明确错误
[ ] 依赖包 npm audit/pip-audit 通过，无高危
[ ] Inspector 手动验过所有 tool 的错误路径
[ ] 挂到测试 Claude Code/Desktop 跑过一周内测

9 项都过了才放生产。

另外强烈推荐搭配 Claude Code 权限沙箱 做运行时隔离——哪怕 MCP server 本身有 bug，沙箱能兜住。两层防护比一层可靠得多。

最后说一句

那次事故之后客户问我：”你们早怎么不告诉我这些？”

我说：”说实话，MCP 生态起来才一年多，很多坑是我们自己也刚踩的。”

这篇文章写出来，就是希望下一个踩坑的人不是你。如果觉得有用，分享给团队一起看看。

后来在一次协作翻车之后我才意识到这东西有多重要。那次的情况是：我和同事在同一个 repo 里协作，我本地跑 Claude Code 改一个接口改得风生水起，他拉下来跑的时候却发现 Claude Code 一直把代码往完全错误的方向推。排查了俩小时才搞明白——我本地有一份 CLAUDE.md，里面写了一堆项目约定；他没有这份文件（我没 commit），所以他的 Claude 完全不知道这个项目的规矩，只能按通用最佳实践瞎写。

从那天起我开始认真研究 CLAUDE.md。这东西本质上是给 Claude Code 的项目说明书，写得好能让 AI 协作翻倍提效，写得不好能把 AI 带到沟里。这篇把我这半年的经验总结一下。

一、CLAUDE.md 是什么，为什么重要

简单说，CLAUDE.md 是 Claude Code 在启动时会自动读入、作为 system context 的一部分注入到模型的文件。它告诉 Claude：

• 这个项目用什么技术栈
• 代码风格有什么约定
• 哪些文件/目录不能动
• 常用命令是什么（跑测试、部署、lint）
• 有什么”坑”要提前知道

它解决的核心问题是：让 Claude 在一个陌生项目里不再按通用默认行事，而是按这个项目的规矩行事。

你可以理解成”给新人入职的 README，只不过读者是 AI”。

但和 README 有一个关键区别——README 是可选阅读，CLAUDE.md 是强制注入。意味着你写进去的每一个字都会消耗 token、都会影响模型行为。这就决定了 CLAUDE.md 不能当 README 写，它必须更精炼、更有指令性。

二、11 级优先级：从哪读到哪

这个东西官方文档藏得有点深，我整理一下我理解的顺序（从高到低，高优先级会覆盖低优先级）：

1. 当前命令的 CLI 参数 —— 最高优先级，临时强制
2. .claude/settings.local.json —— 本地机器的 Claude 配置（不入 git）
3. 项目根 CLAUDE.md —— 当前项目规则
4. **父目录 CLAUDE.md**（monorepo 场景）
5. 祖父目录 CLAUDE.md —— 依次往上找到 repo 根或 home
6. ~/.claude/CLAUDE.md —— 用户级全局配置
7. .claude/settings.json —— 项目共享配置
8. ~/.claude/settings.json —— 用户全局配置
9. 环境变量（如 ANTHROPIC_MODEL）
10. Claude Code 内置默认
11. 模型本身的 default behavior —— 最底层兜底

这个顺序不用硬记，但要理解两条核心原则：

• 越具体、越靠近当前文件的，优先级越高
• 项目级（CLAUDE.md）和用户级（~/.claude）会叠加，但冲突时项目级优先

实际用起来有一个容易忽略的细节——Claude Code 在启动时会自顶向下把所有层级的 CLAUDE.md 串联起来，不是只读最近的那一份。这意味着你在子目录里的 CLAUDE.md 不是”覆盖”祖父目录的，而是”追加”。如果祖父目录写了”代码注释用中文”，子目录里不写相关规则，那中文注释规则依然生效。

这个机制在 monorepo 场景下特别有用。你可以在 repo 根写通用规则（”所有包都用 TypeScript strict 模式”），然后在每个 package 子目录里写各自的特殊规则（”api 包禁止引入 zod 之外的 validation 库”）。

三、坑 1：写得太多，反而把 Claude 整懵了

这是我第一个大坑。发现 CLAUDE.md 好用之后，我开始往里面疯狂写东西——项目架构、技术栈细节、每个目录的作用、每个核心函数的职责、过往几次重构的历史……写到快 2000 行。

然后 Claude Code 开始变得又慢又飘。

原因很简单：CLAUDE.md 是要完整注入到每次请求的 context 里的。你写 2000 行，意味着每次 Claude 启动都要消化这 2000 行。问题是：

• 信息太多，重点被稀释。关键规则（比如”不要改 legacy_util.py”）被淹没在一堆描述性内容里
• Token 成本爆炸。2000 行大概 15K token，每次请求都是这个基础成本
• **模型开始”过度解读”**。写得越多，Claude 越容易从无关内容里脑补奇怪的推论
• 维护成本翻倍。项目演化时，你要同步更新 CLAUDE.md，内容越多越容易遗漏

我后来把 CLAUDE.md 砍到 150 行以内，执行规则、关键约束、常用命令——其他什么都不写。效果立刻恢复正常，而且 Claude 的判断更稳定了。

原则：CLAUDE.md 写关键信息，不写全部信息。详细架构文档放 docs/ 目录，让 Claude 需要的时候自己去读。你可以在 CLAUDE.md 里留一句：需要深入了解架构时，请先阅读 /docs/architecture.md，把”读不读”的判断权交给模型。

有人问过我具体怎么判断该不该写进 CLAUDE.md。我的标准是——如果 Claude 不知道这条规则就有可能写出错误代码，才写进去；如果只是”知道了更好”的背景信息，不写。这个筛选标准帮我砍掉了 80% 的冗余内容。

四、坑 2：user 级和项目级配置打架

第二个坑更隐蔽。

我在 ~/.claude/CLAUDE.md 里写了我个人的偏好——比如”回答我时默认用中文””代码注释用中文””import 顺序按 isort 风格”等等。这是我的个人习惯。

但有一次我接了一个外包项目，他们的 repo 里有自己的 CLAUDE.md，明确写了”代码注释一律英文”。结果：我本地 Claude 写出来的代码里，注释一会儿中文一会儿英文，完全不统一。

排查后发现问题是——两个文件的规则都被注入了，然后 Claude 自己做了一个折中：”一部分用中文，一部分用英文”。

解决思路：

**1. 把 user 级 CLAUDE.md 写成”偏好”而不是”规则”**。
用 “我通常更喜欢…” 这种语气，不用 “必须…” 这种硬性措辞。这样项目级规则能比较干净地覆盖它。

2. 项目级 CLAUDE.md 明确声明优先级。
我现在写项目级 CLAUDE.md 的第一行一般是：

1
2
3

# 项目规则

本文件中的所有规则优先于 user-level CLAUDE.md。冲突时以本文件为准。

显式写出来，模型会认账。

3. 真的要强制，用 --override-user-memory 启动参数（这个 flag 从某个版本开始支持，具体版本号我不确定，先试再说）

4. 做好 user 级配置的定期清理。
我现在每季度会把 ~/.claude/CLAUDE.md 重读一遍，删掉那些已经不符合自己当前工作习惯的老规则。这个文件一旦塞多了很容易被遗忘，时间一长就变成各种项目的”通用毒瘤”。

再补一个小技巧：如果你经常切换不同客户/团队的项目，可以在 ~/.claude/CLAUDE.md 里完全不写任何强规则，只写自己的语言偏好和沟通风格偏好。技术决策全部交给项目级 CLAUDE.md 去定，冲突就少了。

五、坑 3：@include 循环与隐式依赖

CLAUDE.md 支持 @path/to/file 语法，可以把其他文件的内容拉进来。这玩意儿很强大，但我踩过一个搞笑的坑。

当时我为了复用，把一些通用规则写在 ~/.claude/common.md 里，然后 user 级 CLAUDE.md 里写：

1

@~/.claude/common.md

项目级 CLAUDE.md 里也想复用，又写：

1

@~/.claude/common.md

结果 common.md 被 include 了两次，规则重复。Claude 看到”代码风格 A”出现两次，当作重要信号，反而开始过度强调这个规则。

更惨的情况是：我有一次 common.md 里 include 了 base.md，base.md 里又 include 了 common.md，形成循环。Claude Code 直接报错启动不了。

原则：

• @include 要有层级意识。下游 include 上游，不要互相 include
• 不要重复 include 同一个文件
• 深层嵌套尽量避免。一级 include 够用了，两级以上容易出事
• include 进来的内容也要算 token。有人以为 @include 是懒加载——错了，是 eager 的，启动就全部注入

一个实用建议：如果你想做规则复用，与其用 @include，不如用 shell script 在启动时生成 CLAUDE.md。把”规则碎片库”放在一个统一目录，写一个脚本根据当前项目类型拼装出定制化 CLAUDE.md。这比 @include 的控制力强一个数量级。

六、一个我实际在用的 CLAUDE.md 模板

这是我现在大部分 Node / TypeScript 项目的骨架：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

# [项目名] — CLAUDE.md

本文件优先于 user-level CLAUDE.md。

## 项目本质
一句话说明这个项目是做什么的。

## 技术栈
- Runtime: Node 20
- Framework: Fastify 5
- ORM: Drizzle
- Test: Vitest

## 关键约束
- 所有对外 API 必须有 zod schema 校验
- 禁止引入新的第三方 validation 库（我们用 zod）
- 数据库迁移走 drizzle-kit，不手动改 schema

## 不要改
- `/src/legacy/` 目录下所有文件（迁移中，容易出事）
- `package.json` 里的 node 版本

## 常用命令
- 跑测试：`pnpm test`
- 起开发：`pnpm dev`
- 数据库迁移：`pnpm db:migrate`

## 风格
- import 用绝对路径（`@/xxx`）
- 错误用 Result 类型，不 throw
- 文件名用 kebab-case

## 遇到不确定的时候
- 先看 `/docs/architecture.md`
- 新增 API 前先看 `/src/api/_template.ts`

这份大概 50 行左右。不追求完整，追求关键。

展开一下每个小节的写作原则：

• 项目本质：一句话就够，目的是给 Claude 一个定位锚点
• 技术栈：只列关键版本，不写”为什么选这个”
• 关键约束：写死的红线，违反了一定有问题
• 不要改：负面清单，明确点名
• 常用命令：Claude 要跑测试、lint 时直接复制这些命令，不用猜
• 风格：写 3-5 条最重要的风格偏好，多了反而模糊
• 遇到不确定的时候：告诉 Claude 要去哪看，相当于给它的”自助服务入口”

七、配合 Claude Code 的几个小技巧

1. 把 CLAUDE.md 放进 git。
这应该是常识但很多人不做。这东西不 commit，团队协作就废了。

2. 定期 review。
项目演化，CLAUDE.md 也要演化。我每两周会打开 CLAUDE.md 看一眼，删掉已经不适用的规则、补上新的坑。这东西不是一次性写完就完事的。

3. 新人加入项目时让 Claude 读一遍 CLAUDE.md 做导读。
这招挺好用——直接让 Claude 基于 CLAUDE.md 给新人做一次项目 walkthrough，省了半天时间。

**4. 结合 .claude/commands/**。
把常用的 prompt 做成 slash command，这块和 CLAUDE.md 配合使用效率爆炸。详细玩法我之前在 Claude-Code 分类 下的几篇文章里讲过。

**5. 给 CLAUDE.md 加一个”更新日期”**。
在文件顶部或底部写一行 最后更新：2026-04-15，Claude 看到会自动把这个时间点作为”当前项目约定的参考线”。老旧 CLAUDE.md 如果没标时间，很容易误导模型。

**6. 善用 CLAUDE.md 做 Claude 的”行为纠偏”**。
如果你发现 Claude 某个行为反复让你不爽（比如老是主动改你没让改的文件），就在 CLAUDE.md 里加一条明确禁止。这个文件不仅是项目说明，也是你和 Claude 之间的”行为协议”。

八、最后

CLAUDE.md 这个东西的价值，在于它让 AI 协作有了项目特化的能力。通用大模型有它的通用智能，但每个项目有每个项目的土规矩，这些土规矩靠 prompt 临时讲讲讲不完，靠文档让 AI 自己去读效率又低——CLAUDE.md 就是那个固化土规矩的载体。

写好它的核心心法就一句话：写关键信息，不写全部信息；写规则，不写描述。

想看更多 Claude Code 的实战玩法，claudecode.cocoloop.cn 是一个专门做深度内容聚合的站点，我平时也会去翻那边的更新；想看国内 AI 工程师社区的讨论可以去 ask.cocoloop.cn 看看。

再送一个彩蛋——CLAUDE.md 其实也适合用在非 Claude Code 的场景。我现在很多个人项目的仓库根目录都放一份 CLAUDE.md，哪怕我暂时不用 Claude Code，只是用网页版 Claude。需要让 AI 理解这个项目时，直接把 CLAUDE.md 内容贴进对话框作为 system prompt 就好了。这个文件正在慢慢变成一种跨工具的项目元信息标准。