Для сложных задач рефакторинга родительский агент может порождать субагентов (например, для исследования или планирования). Чтобы защитить основное окно контекста, эти субагенты работают в изолированных Git worktrees и независимых циклах контекста, общаясь с основным циклом исключительно через сжатые отчёты.
Кроме того, сохранение сессий опирается на транскрипты в формате JSONL, работающие только на добавление. При возобновлении или форке сессии система заново собирает историю разговора с помощью сохранённых метаданных границ (UUID). Но есть один критический нюанс: из соображений безопасности пермишены (разрешения), выданные в рамках сессии, не сериализуются. Возобновлённая сессия должна заново запрашивать доверие, чтобы устаревшие доступы не перетекли в изменённое окружение.
⚖️ Локальный агент против шлюза
Уникальность этого пространства дизайна становится особенно яркой при сравнении с принципиально иной топологией. Авторы сравнивают Claude Code с OpenClaw ( https://github.com/openclaw/openclaw), опенсорсным многоканальным персональным ассистентом-шлюзом.
Обе системы решают одни и те же архитектурные задачи, но приходят к противоположным выводам, продиктованным реалиями их деплоя. Claude Code, привязанный к локальному CLI и одному репозиторию, мощно инвестирует в оценку безопасности каждого действия (deny-first гейты, ML-классификаторы) и динамическое сжатие контекста.
OpenClaw, напротив, работает как постоянный сетевой демон, обрабатывающий множество мессенджеров (Slack, WhatsApp), и рассматривает контрольную панель шлюза как центр архитектуры. Он полагается на контроль доступа по периметру, привязанные к тредам сессии и структурированное извлечение из долгосрочной памяти (RAG), а не на агрессивную компрессию контекста в оперативной памяти.
Это сравнение доказывает: не существует единой идеальной архитектуры агента. Конфигурация операционной обвязки строго определяется временным скоупом и моделью доверия той среды, где разворачивается агент.
⚠️ Уязвимости и цена автономии
Несмотря на мощную инженерию, эта архитектура порождает критические структурные уязвимости. Самая очевидная проблема — деградация человеческого контроля. Анализ показывает, что пользователи одобряют около 93% запросов на разрешения, что приводит к глубокой усталости от аппрувов (approval fatigue). Когда интерактивное подтверждение становится мышечным рефлексом, архитектура безопасности, полагающаяся на авторитет человека, фундаментально компрометируется. Более того, ранние проверки безопасности выявили слепые зоны, когда архитектура инициализировала хуки и MCP-серверы *до* того, как пайплайн deny-first полностью включался, создавая поверхность для атаки ещё на этапе формирования доверия.
Помимо софтверных уязвимостей, статья указывает на надвигающийся "парадокс надзора", спровоцированный ограниченным окном контекста. Поскольку пятиуровневое сжатие контекста и изоляция субагентов по своей природе работают с потерями информации (lossy), модель часто вынуждена принимать оптимальные локальные решения без полного понимания всей кодовой базы.
Внешние эмпирические исследования, на которые ссылаются авторы, показывают: хотя ИИ-тулзы дают резкий буст скорости разработки в моменте, они одновременно вызывают статистически значимый рост сложности кода на 40.7%. Со временем нейронные связи самого разработчика и его понимание проекта ощутимо атрофируются. Это означает, что гипероптимизированные обвязки решают задачу мгновенного расширения возможностей прямо за счёт долгосрочной поддерживаемости софта.
🏁 На пороге агентных ОС
Глубокий разбор Claude Code знаменует смену парадигмы в нашем восприятии автономного софта. Мы уходим от эпохи, когда агентное поведение диктовалось в первую очередь промпт-инжинирингом и явными когнитивными графами.
