AntSpace:Anthropic的秘密PaaS
一位19岁的工程师逆向工程了Claude Code Web,发现Anthropic正在悄悄构建整个云技术栈。从模型到...每一个层级。
微信 ezpoda免费咨询:AI编程 | AI模型微调| AI私有化部署
AI工具导航 | Tripo 3D | Meshy AI | ElevenLabs | KlingAI | ArtSpace | Phot.AI | InVideo
Anthropic还没准备好让你看到这些。研究人员没有。产品团队没有。那些精心策划关于Claude扩展能力每次公告的公关人员更没有。基础设施工程师们——他们在一个我只能形容为极其方便的疏忽时刻——将一个27兆字节的Go二进制文件发布到了生产环境,却没有先剥离它。
但事情就是这样发生了。因为一个19岁的全栈工程师,名叫AprilNEA——ArcBox Labs的创始人,一家在Firecracker MicroVM领域建设的创业公司——决定用strace、strings和go tool objdump这些并不特别的工具,检查他们自己的Claude Code Web会话。没有漏洞利用。没有权限提升。没有零日漏洞。只是...每个发行版都自带的Linux工具。
他们发现的,说实话,是今年AI行业最重要的基础设施泄露之一。Anthropic不仅仅在构建一个聊天机器人。他们在构建整个云。从理解你意图的模型,到编写你代码的运行时,到存储你数据的数据库,到托管你应用的平台。每。一。层。
科技界对"AI编码智能体"兴奋不已。但这已经不再关乎编码智能体了。这关乎平台主导地位。
1、一个少年如何打开了Anthropic的基础设施
让我们从方法开始,因为方法几乎和发现本身一样有趣。
AprilNEA的动机是竞争研究。ArcBox Labs构建类似Railway和E2B的基础设施——为AI智能体提供沙盒执行环境。他们注意到Claude Code Web(基本上所有其他严肃的编码智能体平台)都在Firecracker MicroVM上运行,这是Amazon最初为Lambda和Fargate构建的开源虚拟机监控程序。标准配置。
所以他们启动了一个Claude Code Web会话,开始四处查看。第一个发现:VM内的ACPI表使用OEM ID FIRECK和创建者ID FCAT签名。硬编码的Firecracker签名。机器规格看起来像一个不错的开发环境:4个虚拟CPU(Intel Xeon Cascade Lake 2.8GHz)、16GB RAM、252GB磁盘,运行Linux内核6.18.5。
这个VM内的进程树是极简主义的。极度简洁。PID 1不是systemd;它是一个名为/process_api的自定义init二进制文件,在端口2024上充当WebSocket网关。没有sshd。没有cron。没有journald。只有运行Claude环境所需的最基础组件。
但关键在这里:位于/usr/local/bin/environment-runner的是一个27MB的Go二进制文件。当AprilNEA对其运行go version -m时,构建元数据泄露了一切。模块路径:github.com/anthropics/anthropic/api-go/environment-manager。版本字符串:staging-68f0dff496。使用Go 1.25.7构建。
这个二进制文件是未剥离的。完整的调试符号。完整的符号表。整个内部包树就在那里。
这通常需要Ghidra、IDA Pro和数小时的艰苦逆向工程,现在变成了go tool objdump加grep的练习。AprilNEA自己的话说:"将带有完整调试符号的未剥离二进制文件发布到生产环境是...一个选择。"
internal/
├── api/ # API客户端(会话入口、工作轮询、重试)
├── auth/ # GitHub应用令牌提供者
├── claude/ # Claude Code安装、升级、执行
├── config/ # 会话模式(新/恢复/恢复缓存/仅设置)
├── envtype/
│ ├── anthropic/ # Anthropic托管环境
│ └── byoc/ # 自带云环境
├── gitproxy/ # Git凭证代理服务器
├── input/ # Stdin解析器 + 密钥处理
├── manager/ # 会话管理器、MCP配置、技能提取
├── mcp/
│ └── servers/
│ ├── codesign/ # 代码签名MCP服务器
│ └── supabase/ # Supabase集成MCP服务器
├── orchestrator/ # 轮询循环、钩子、whoami
├── podmonitor/ # Kubernetes租约管理器
├── process/ # 进程执行 + 脚本运行器
├── sandbox/ # 沙盒运行时配置
├── session/ # 活动记录器
├── sources/ # Git克隆 + 源代码分类
├── tunnel/ # WebSocket隧道 + 动作处理器
│ └── actions/
│ ├── deploy/ # ← 这就是有趣的地方
│ ├── snapshot/ # 文件快照
│ └── status/ # 状态报告
└── util/ # Git助手、重试、流尾部读取
哦,这确实是一个选择。对于一个将自己定位为"安全优先"AI实验室、发布负责任的扩展策略、不断谈论存在风险的公司来说,将整个内部架构作为可读明文发送到每个用户会话是...我是认真的。我们是认真的吗?
2、二进制文件里有什么:完整的包树
从二进制文件中提取的internal/目录结构读起来就像全栈云平台的蓝图。不是编码助手。是一个平台。
以下是里面的内容:用于会话管理和轮询的api/。用于CLI安装和执行的claude/。包含new、resume、resume-cached和setup-only等会话模式的config/。带有两个子包anthropic和byoc的envtype/(我们稍后会回来讨论这个)。用于代码签名和Supabase集成的mcp/servers/。用于Kubernetes租约管理的podmonitor/包。最重要的是:包含部署处理器的tunnel/actions/deploy/。
依赖列表讲述了自己的故事。用于隧道的Gorilla WebSocket。用于模型上下文协议集成的MCP-Go v0.37.0。用于指标的DataDog v5。用于分布式追踪的OpenTelemetry v1.39.0。用于会话路由的gRPC v1.79.0。这不是原型。这是具有完整可观察性的生产基础设施。
3、Antspace:官方不存在的PaaS
在那个tunnel/actions/deploy/包里,AprilNEA发现了两个部署客户端。
第一个是VercelClient。预料之中。Claude Code Web一直有Vercel部署支持。实现很干净:基于SHA的文件去重、基于轮询的部署状态。标准的Vercel API集成。没什么意外的。
第二个是AntspaceClient。完全出乎意料。
在发现时,全互联网搜索"Antspace"返回的结果恰好为零。Anthropic网站上没有。GitHub上没有。博客、文档、LinkedIn、职位发布或专利申请中都没有。零。这个词直到2026年3月18日AprilNEA的帖子出现之前在公共领域根本不存在。
部署协议本身是一个三阶段过程。第一阶段:向antspaceControlPlaneURL发送带有bearer令牌的POST请求,发送包含应用名称和元数据的JSON主体。第二阶段:多部分表单数据上传dist.tar.gz,有强制的大小限制("项目超过%dMB限制")。第三阶段:以NDJSON(换行分隔的JSON)流式传输部署状态,定义的进度为:打包 → 上传 → 构建 → 部署 → 已部署。
这不是黑客马拉松项目。协议是成熟的。它有适当的错误处理、大小限制、流式状态更新。Anthropic的某人花了真正的工程时间构建了这个。然后把它放在一个未剥离的二进制文件中发布,却没人知道它存在。
名称的词源几乎太明显了。据报道,"Ant"是Anthropic员工内部使用的昵称。"Space"代表托管空间。Antspace。蚂蚁们为自己建造了一个托管东西的空间。可爱。
4、Baku:"帮我构建一个网页应用"背后的代号
你知道在claude.ai上那种体验——你要求Claude为你构建一个网页应用,它就...做到了?启动开发环境,编写React组件,给你一个实时预览?在内部,这叫做"Baku"。
Baku技术栈是Vite + React + TypeScript,通过supervisord管理,开发服务器日志输出到/tmp/vite-dev.log。模板位于/opt/baku-templates/vite-template。Git提交作者为claude@anthropic.com。草稿存储在.baku/drafts/,探索存储在.baku/explorations/。这是一个完整的项目管理系统,隐藏在看似简单的聊天界面中。
但有趣的是这里。Baku自带六个自动可用的Supabase MCP工具:provision_database、execute_query、apply_migration、list_migrations、generate_types和deploy_function。环境变量(SUPABASE_URL、SUPABASE_ANON_KEY及其Vite前缀对应项)被自动写入.env.local。
你不需要设置数据库。你不需要配置连接字符串。除非你去找,你甚至不知道Supabase参与其中。Claude只是...通过MCP静默地配置了它。
默认的部署目标呢?不是Vercel。是Antspace。
预停止钩子在部署前强制执行代码质量检查:检查未提交的更改、TypeScript错误、Vite构建日志错误。这是一个伪装成聊天功能的CI/CD流水线。
5、流水线:从意图到生产,无需离开Anthropic
让我详细说明Anthropic在这里构建了什么,因为我认为行业还没有完全理解其含义。
流水线是这样的:
用户有想法 → Claude(LLM)理解意图并编写代码 → Baku(运行时)管理项目,运行开发服务器,处理版本控制 → Supabase(通过MCP自动配置)提供数据库、认证、边缘函数 → Antspace(PaaS)托管部署的应用 → 在线应用可从互联网访问。
用户在任何时候都不需要离开Anthropic的生态系统。不需要去托管平台。不需要去数据库。不需要去部署平台。什么都不需要。
这不是AI编码助手。这是一个垂直整合的云平台,AI是界面层。用户用英语说他们想要什么。其他一切都自动发生,在Anthropic的基础设施上,使用Anthropic的工具。
如果这不是...那什么才是?你会怎么称呼一个接收自然语言输入并产生已部署、带数据库支持的网页应用的系统——用户从不接触终端、git仓库、托管仪表板或数据库控制台?
6、BYOC:企业级布局
发现不止于Antspace。在envtype/包里,与anthropic子类型并列的是byoc:自带云(Bring Your Own Cloud)。
这是企业级布局。BYOC允许公司在自己的基础设施上运行environment-runner,而Anthropic的API协调会话。两种环境子类型:antspace(Anthropic内部托管)和baku(项目构建器)。
发现了七个定义的API端点,包括用于身份发现的/v1/environments/whoami、工作轮询和确认处理器、会话上下文配置、代码签名和二进制验证、用于实时隧道的worker WebSocket,以及Supabase数据库查询代理。
通过podmonitor的Kubernetes集成处理pod租约管理。认证注入通过称为containProvideAuthRoundTripper的东西进行。Git分支验证在获取操作之前发生。默认会话模式是resume-cached,意味着会话可以持久化并在中断的地方继续。
这不是猜测。
这是一个企业就绪的编排层,具有适当的认证、会话管理和基础设施抽象。Anthropic正在构建工具,让财富500强公司在自己的云上运行Claude驱动的开发环境,同时Anthropic保持对编排层的控制。
当目标不是我赢,而是你输时;它看起来就是这样。每个构建AI沙盒的创业公司,每个提供"从AI部署"工作流的公司,每个试图成为AI编码智能体和生产托管之间桥梁的平台;他们都在构建Anthropic免费将其捆绑在模型本身中的功能。
8、这会杀死谁(谁应该担心)
让我们直接谈谈竞争影响,因为Hacker News的人群已经明白了这一点。一位评论者jonathan-adly称这是"一个伟大的发现,非常有趣,会杀死几家热门创业公司。"
他们没错。这是被杀名单:
Vercel、Netlify
Vercel和Netlify是最明显的。如果Claude的默认部署目标是Antspace而不是Vercel,那么Vercel就从AI生成应用的默认部署平台变成了可选替代品。这是漏斗中的巨大转变。
Replit、Lovable、Bolt
Replit、Lovable、Bolt以及整个"AI应用构建器"类别。这些公司正在构建代码生成之上的用户体验层。但如果Claude可以在claude.ai内部生成代码、管理项目、配置数据库并部署应用,那么独立的AI应用构建器的价值主张到底是什么?
E2B、Railway、Firecracker
E2B、Railway和Firecracker沙盒提供商。Anthropic已经构建了自己的。它能用。它集成在模型中。第三方沙盒对其他模型来说是锦上添花,对Claude来说不再是必需品。
Supabase很有趣,因为他们既是合作伙伴又是依赖。Baku集成比claude.com/plugins/supabase上的公共Claude插件更深入。这是无需用户交互的自动配置。Supabase获得了分发,但代价是成为用户从未有意识选择的商品后端。
9、数据飞轮
最后一部分才是真正的关键。数据飞轮。通过Baku构建的每个应用、推送到Antspace的每个部署、通过MCP配置的每个数据库;都反馈到Anthropic对人们想要构建什么以及如何构建的理解中。这不仅仅是一个平台。这是一个在成为平台方面变得更好的学习系统。
10、不应被忽视的安全角度
我需要回到未剥离的二进制文件,因为这不是脚注。这是头条。
Anthropic发布了带有完整调试符号、完整Go符号表和私有monorepo路径(github.com/anthropics/anthropic/api-go/environment-manager/)的/usr/local/bin/environment-runner二进制文件。这个二进制文件对每个启动Claude Code Web会话的用户都是可访问的。
在安全术语中,这相当于把你的建筑蓝图——安全系统线路清晰标注——留在前院。供任何人捡起。阅读。用他们从家里带来的放大镜。
11、小小的虚伪
对于一个发布负责任扩展策略、雇佣世界顶级AI安全研究员、谈论"如果-那么承诺"和评估框架的公司来说;这是一个运营安全失误,应该让他们的安全团队深感不安。不是因为AprilNEA做了什么恶意的事情(他们没有;这是在他们自己的会话中运行的标准工具),而是因为下一个探索的人可能有不同意图。
staging-版本前缀表明这仍处于内部/早期部署阶段。但"早期阶段"和"发布到每个用户会话"这两个描述对于如此敏感的基础设施来说永远不应该共存。
抱歉,但这是对每个认真对待"安全优先AI开发"的人的侮辱——当倡导这个短语的公司在将二进制文件推到生产环境之前连strip都不愿意运行。
12、Anthropic 2026:从模型公司到平台公司
让我们从更大的角度看轨迹。
Claude Code Web于2025年10月发布——浏览器可访问的代码执行。Claude Cowork于2026年1月发布——将智能体范式扩展到非开发者知识工作者。MCP于2024年11月发布,现在是AI到工具集成的事实开放标准,被OpenAI、Google DeepMind采用,并于2025年12月捐赠给Linux基金会。
Antspace完美融入这个弧线
从部署协议的成熟度来看,Anthropic至少从2025年中开始就在构建平台层。他们没有宣布是因为他们还不需要。它在那里。它能用。当他们准备好公开时,他们将拥有一个完全可操作的PaaS,以及每个曾要求Claude为他们构建网页应用的用户的内置用户群。
这是Amazon的打法。首先为自己构建基础设施。让它变得非常好。然后向其他所有人开放。AWS最初是Amazon的内部云。Antspace正在从Claude的内部部署目标开始。
区别?
Amazon花了数年时间从内部基础设施转向公共云。Anthropic正以AI速度,用AI构建。问题不是Antspace是否会成为公共产品。问题是什么时候。以及目前在这个领域建设的创业公司是否有足够的跑道与一家拥有模型、运行时、数据库集成和托管平台的公司竞争。
这是每个人都预测但没人预料到这么快的垂直整合布局
这是我的观点。我会直说,因为骑墙既无聊又没用。
Anthropic刚刚意外地向我们展示了AI公司的终局是什么。不是卖API令牌。不是授权模型。是从意图到生产拥有整个技术栈。模型是界面。平台是产品。托管是护城河。
每家AI公司——OpenAI、Google、每个资金充足的创业公司——都会看看AprilNEA发现的东西,意识到他们已经落后了。不是因为Antspace今天比Vercel更好(可能不是,它还在测试阶段)。而是因为拥有技术栈每一层的结构性优势——从理解"帮我构建一个带认证的待办应用"的神经网络到托管最终应用的服务器——是一种复合增长的优势。很快。
创业公司和开发者
对于构建AI沙盒、部署平台、AI应用构建器的创业公司:时间不多了。不是因为你的产品不好。而是因为模型提供商正在将你的整个价值主张吸收为聊天界面中免费提供的功能。
对于评估AI编码平台的企业:BYOC意味着Anthropic也想要你的基础设施合同。他们会允许你在自己的云上运行。他们会管理编排。你会获得Claude驱动开发的好处,而无需将代码发送到Anthropic的服务器。这是聪明的布局。这也是锁定布局。
这是我的观点。你应该做你感到舒适的事。而对于Anthropic:也许下次剥离你的二进制文件。只是一个想法。
原文链接: Anthropic's Antspace: The Secret PaaS Nobody Was Supposed to Find
汇智网翻译整理,转载请标明出处
