飞飞的AI实验室

你每天用 Claude Code 写代码、改 Bug、跑测试。

你觉得它安全、高效、值得信任。

但你有没有想过，你 clone 下来的那个项目，可能就是一颗定时炸弹？

2026 年初，安全公司 Check Point 披露了 Claude Code 的多个高危漏洞（CVE-2025-59536、CVE-2026-21852）。攻击者只需要在仓库里埋一个配置文件，你用 Claude Code 打开项目的那一刻，代码就开始在你机器上悄悄执行了。没有任何提示，没有任何确认弹窗。

更可怕的是，这不是理论推演。2026 年 2 月，AI 编程工具 Cline 就因为类似的攻击链，被人发布了一个被篡改的 npm 包，影响了 500 万用户。

AI 编程工具的供应链安全，已经不是”将来可能出问题”，而是”正在出问题”。

到底发生了什么？

Claude Code 的三个致命漏洞

Check Point 的研究人员 Aviv Donenfeld 和 Oded Vanunu 发现，Claude Code 有三个可以被利用的攻击面。它们都藏在同一个地方：项目配置文件。

你有没有这样的经历？

用 ChatGPT 或者 Claude 聊了半天，得到了一个看起来不错的方案。然后呢？复制，粘贴到文档里，手动调格式，打开表格填数据，再导出 PDF，发邮件……

AI 帮你想好了怎么做，但活还是你自己干的。

2026 年 1 月，Anthropic 发布了一个叫 Claude Cowork 的产品。它要解决的，恰恰就是这个问题——让 AI 不只是告诉你怎么做，而是直接帮你把活干了。

从聊天到干活，AI 终于迈出了这一步

过去两年，大模型的主要交互方式是「对话」。你问它问题，它给你答案。本质上，它是一个更聪明的搜索引擎。

但工作不是只靠问答就能完成的。

你需要整理文件、分析数据、写报告、做 PPT、发邮件。这些事情，聊天机器人帮不了你。或者说，它能帮你想，但不能帮你做。

Claude Cowork 的思路完全不同。它不是一个聊天窗口，而是一个桌面端的 AI 代理（Agent）。你给它一个任务目标，它会自己拆解步骤、访问你的本地文件、操作浏览器、连接你常用的工具，然后把结果交付给你。

你用 Claude Code 多久了？

如果你和大多数人一样，日常操作就是：打开终端，输入需求，等它生成代码，复制粘贴。偶尔用用 /help 和 /clear，就觉得自己已经算熟练了。

但你知道吗？Claude Code 有超过 40 个内置命令、几十个键盘快捷键、和一整套隐藏在文档角落里的高级功能。大多数开发者只用了其中不到 10%。

一位日本开发者在 DEV Community 上写了一篇爆火文章，标题就是《我整理了 Claude Code 的所有命令，包括一些隐藏的》。评论区里全是「用了几个月才知道有这个功能」的感叹。

今天这篇文章，我挑了 10 条最实用、最容易被忽略的命令和技巧，每一条都是能立刻改变你工作流的那种。从「省钱」到「省时间」到「少踩坑」，全覆盖。

1. Esc+Esc：时间旅行，不只是撤销

你可能知道按一次 Esc 可以停止 Claude 的生成。但你试过按两次吗？

**连按两次 Esc**，会弹出一个 /rewind 菜单，让你选择：

• 只回退代码：Claude 改的文件全部恢复，但对话历史保留
• 只回退对话：代码不动，但对话回到上一步
• 两者都回退：回到上一个检查点

2026 年 2 月 10 日，Spotify 联合 CEO Gustav Söderström 在财报电话会上说了一句话，整个开发者社区炸了锅。

「当我和我们最资深的工程师聊天时——我们最好的开发者——他们说自己从去年 12 月起就没写过一行代码了。他们只生成代码，然后监督它。」

当天，Spotify 股价涨了 14.7%。Reddit 上 14000 多人投票讨论。一半人恐慌，一半人兴奋，还有一半人在问：「那工程师到底在干嘛？」

答案藏在一个被大多数人忽略的细节里。

Söderström 说的不是「所有工程师」。他说的是「最资深的工程师」——那些对 Spotify 的业务逻辑、系统架构、产品目标了如指掌的人。这些人不写代码了，不是因为他们变懒了，而是因为他们终于可以把时间花在更值钱的事上：告诉 AI 该做什么，而不是自己动手做。

这件事的核心不是「AI 能写代码了」。而是：如果你只会写代码，你在这个新世界里还有什么位置？

Spotify 到底是怎么做到的

先说事实。

Spotify 的工程师用的是两套系统：Anthropic 的 Claude Code 和内部开发的 Honk。

上个月，我亲眼看到一个做 HR 的朋友用 Claude Cowork 写了一个自动筛选简历的脚本。

她不会 Python，不会 JavaScript，甚至分不清前端和后端。但她用自然语言描述了需求：”从这个文件夹里读取所有简历 PDF，提取工作年限和技能关键词，按匹配度排序，输出一个 Excel 表格。”20 分钟后，脚本跑起来了。

我看着她屏幕上那个绿色的”完成”提示，心里五味杂陈。作为一个写了好几年代码的人，我突然意识到：我引以为傲的”会写代码”这件事，正在变得不那么稀缺了。

如果你也是一个工作三年以内的程序员，这篇文章可能会让你不太舒服。但我觉得，越不舒服的真相，越值得早点面对。

“写代码”正在被民主化

先看几组数据，感受一下变化的速度。

2026 年初，全球 46% 的代码由 AI 辅助生成。每天有 2000 万开发者使用 AI 编程工具。GitHub 上 4% 的公开代码提交是 Claude Code 自动生成的——一个月前这个数字还只有 2%。

但更值得关注的不是开发者用 AI 写代码，而是非开发者也在用 AI 写代码。

根据 Solveo 对 1000 名 Reddit 用户的统计，vibe coding 社区中 63% 的活跃用户根本不是程序员。Business Insider 报道了一个更极端的案例：一个学林业工程的人，从没写过一行代码，用 AI 工具在五个月内构建了 12 个应用，其中一个已经商业化运营。

打开你的 VS Code，数一数装了多少个 AI 插件。

Copilot、Codeium、Tabnine、Cursor 的内置补全、某个 AI 代码审查插件、还有那个你试了一次就忘了关的 AI 注释生成器。六七个图标排在侧边栏里，偶尔还会打架——一个在补全代码，另一个在疯狂弹建议，第三个在后台偷偷吃你的 CPU。

你有没有想过一个问题：为什么工具越来越多，写代码的体验却没有明显变好？

2026 年，一个有意思的趋势正在发生。那些最高产、最受尊敬的开发者——开源项目的核心维护者、大厂的 Staff Engineer、一个人撑起整个产品的独立开发者——他们的工具栏反而越来越干净。很多人的开发环境里，AI 工具只剩一个：终端里的 Claude Code。

这不是信仰，是效率倒逼出来的选择。

工具疲劳：一个被忽视的效率杀手

先看一组数据。

Stack Overflow 2026 开发者调查显示，开发者平均同时使用 2.3 个 AI 编程工具，70% 的人使用 2-4 个。听起来不多？但每多一个工具，就多一套快捷键、多一个配置文件、多一种上下文切换。

更要命的是认知负担。用 Copilot 补全一行代码，切到 Cursor 做重构，再开个 ChatGPT 问架构问题——你的大脑不停地在不同工具的「语言」之间切换。每次切换都有成本，只是你感知不到。

你是不是也经历过这样的场景？

刷到一个教程，标题写着”用 LangChain + CrewAI 搭建你的第一个 AI Agent”。你兴冲冲地打开 VS Code，跟着敲了三个小时代码。结果呢？光是处理依赖冲突就花了一个小时，链式调用报错排查又花了一个小时，最后你的”智能 Agent”连一个简单的文件读写都搞不定。

关掉电脑，你开始怀疑自己：是不是我太菜了？

不是你的问题。是你选错了工具。

今天我想聊一个可能会得罪一些人的观点：对于大多数新手来说，那些花里胡哨的 Agent 框架，不是通往 AI 编程的捷径，而是弯路。 真正的捷径，可能就是打开终端，输入 claude，然后开始干活。

Agent 框架的”繁荣”背后：一场集体焦虑

先说说为什么 Agent 框架这么火。

2023 年 LangChain 横空出世的时候，整个开发者社区都在兴奋。终于有人把 LLM 的各种能力串起来了！链式调用、工具使用、记忆管理，听起来就像搭乐高一样简单。

但现实是什么？

你有没有这种感觉？

上个月刚把工作流切到 Claude Code，这个月 OpenAI 又放出 Codex 大招。群里一半人喊”Claude 真香”，另一半在转发”Codex 碾压测试”。你打开钱包一看，两边的 Pro 订阅都在自动扣费。

别急着站队。因为你纠结的这个问题背后，藏着一场比”谁家模型更强”大得多的战争——AI 大厂正在用真金白银，疯狂抢夺开发者。

今天我们不聊”哪个模型更好用”这种月经话题。我想和你聊聊，这场开发者争夺战背后的商业逻辑，以及它会怎样影响你我每一个写代码的人。

一场价值万亿的抢人大战

先看几个数字，感受一下这场战争的烈度。

2026 年 3 月，Anthropic 的 Claude Code 年化收入突破 25 亿美元，占公司总收入近五分之一。OpenAI 的 Codex 紧随其后，年化收入刚过 10 亿美元。差距是明显的，但两家都在狂奔。

更疯狂的是收购。上周 OpenAI 宣布收购 Python 工具链公司 Astral——就是做 uv、ruff 这些工具的那个团队。再往前，Anthropic 收购了 Bun，Google DeepMind 买下了 Antigravity 团队。

你没看错。每一家认真做开发者生态的 AI 公司，都在买开发工具公司。

Sam Altman 盘腿坐在办公椅上，盯着天花板。

这是 WIRED 记者描述的场景。当被问到「为什么 AI 领域最大的名字，却在 AI 编程革命中掉队了」时，这位 OpenAI 的掌门人沉默了一会儿，说了一句：「先发优势很重要。我们在 ChatGPT 上有过这个优势。」

言下之意——在 AI 编程这场仗上，这个优势属于 Anthropic。

上周，WIRED 发布了一篇万字长文，标题直接了当：《Inside OpenAI’s Race to Catch Up to Claude Code》（OpenAI 追赶 Claude Code 的内幕）。与此同时，India Today 报道 OpenAI 内部进入了「Code Red」状态，The Wall Street Journal 则披露高管要求员工放下「支线任务」，全力聚焦核心产品。

一家估值 3000 亿美元的公司，在追赶一家「叛逃者」创办的竞争对手。而这场追赶的代价，可能是一整代初级程序员的职业前景。

OpenAI 到底怎么掉队的

故事要从 2021 年说起。

那年，OpenAI 就已经做出了第一个 Codex——一个能把英语指令翻译成代码片段的模型。他们把它授权给了微软，做成了 GitHub Copilot。产品大火，几个月内用户过百万。

然后呢？Codex 团队被拆散了。有人去做 DALL-E 2，有人去训练 GPT-4。公司内部的逻辑是：编程能力会自然地融入未来的大模型里，不需要单独搞一个产品。况且，「这块有 GitHub Copilot 在做了。」

周五下午五点半，你正让 Claude Code 重构一个支付模块。进度到一半，女朋友催你出门吃饭。

以前你的选择是：合上电脑，回来再说——然后一晚上心里惦记着那个没跑完的任务。或者跟女朋友说「再等五分钟」——然后五分钟变半小时。

现在你有第三个选择：掏出手机，扫个二维码，在手机上继续看 Claude 的进度。走到餐厅的路上，发现测试报错了，直接在手机上打几个字让 Claude 修。吃完饭回来，PR 已经挂好了。

这就是 Claude Code 最近一系列「远程协同」功能带来的体验变化。Remote Control、Channels、Dispatch——三个功能组合起来，让你真正可以离开电脑继续写代码。

今天这篇文章，我把这三个功能全部拆开讲清楚，从原理到配置，一篇搞定。

先理清楚：三个功能分别是什么

Claude Code 的远程能力不是一个功能，而是三个功能的组合。它们解决不同的问题，适用于不同的场景。搞清楚区别，才不会选错工具。

Remote Control：手机变遥控器

发布时间： 2026 年 2 月 25 日