Claude Code（3）：一份CLAUDE.md让AI写出更好的代码

ZXSXJ

262人浏览 · 2026-06-08 09:20:21

ZXSXJ · 2026-06-08 09:20:21 发布

写在前面

你好，我是程序员老王。

自从Claude Code问世以来，我的朋友圈里几乎每天都能看到这样的抱怨：

“明明在CLAUDE.md里写清楚要用TypeScript strict模式，生成的代码却全是any。”

“说了八百遍用async/await不要用promise，每次对话都要重新教一遍。”

“我写了482行的CLAUDE.md，Claude还是看不懂我的项目。”

你有没有遇到同样的问题？

停。

问题真的出在CLAUDE.md“写得太少”吗？

恰恰相反。大多数人的问题是——写得太多了，而且写错了方向。

上周有位开发者把他的CLAUDE.md发给我看，482行，从项目介绍到编码规范、Git提交格式到部署流程，事无巨细，恨不得把公司wiki搬进去。问题出在哪？不是写多了，而是写的全是Claude自己能从代码里推断出来的东西。真正需要写的——那些它猜不到的构建命令、那些违反默认习惯的项目规范——反而淹没在信息噪声里了。

2026年，Claude Code的生态已经发生了翻天覆地的变化。截至2026年6月，Claude Code已支持Sub-agent并行任务、Hooks自动化触发、CLAUDE.md持久上下文记忆、以及通过MCP协议接入Notion/Figma/数据库等外部工具。而CLAUDE.md，正是驾驭这一切的“控制面板”。

这篇文章，我就从部署方案→加载机制→架构设计→竞品对比→安全风险→最佳实践这条线，手把手教你写出让Claude Code“听话”的CLAUDE.md。

一、问题：为什么你的Claude Code总是“不听话”？

1.1 从一次真实踩坑说起

想象这样一个场景：

你正在做一个React + TypeScript项目。你跟Claude Code说：“帮我写一个用户登录组件。”

Claude Code唰唰唰地写完，你一看代码，愣住了——

用的是JavaScript，不是TypeScript
函数组件写成class组件
样式全部内联，而你项目明明用的是Tailwind
用的fetch，而你们团队统一用的是axios

你想骂人。但你冷静下来，发现它在CLAUDE.md里什么都没看到——因为你压根没写CLAUDE.md。或者说，你写了一个482行的CLAUDE.md，但里面塞满了Claude“读代码就能猜到”的信息。

这种场景，2026年的今天，每天都在无数开发者的终端里重复发生。

1.2 Claude Code会话的“失忆症”

要理解为什么CLAUDE.md如此重要，首先要理解Claude Code的一个核心特性：会话是无状态的。

Claude Code每次对话都以空白上下文窗口开始，这意味着上一次对话中你跟它说的所有内容、定下的所有规则，下一次都不复存在。你可能会想：“这不合理啊，AI不该有记忆吗？”

这正是Agentic架构与普通聊天的本质区别。普通聊天模型（如纯粹的ChatGPT）可以在对话窗口内持续“记住”你说过的话，但Claude Code跑的是一个代理循环（Agentic Loop） ——它需要执行“思考→行动→验证”的多轮迭代，每一次迭代都可能调用工具、读取文件、执行命令。这种架构天然需要更精细的上下文管理，而非简单的“一直记住”。

CLAUDE.md就是用来弥合这个记忆鸿沟的：它在每次会话开始时被加载到系统提示词中，让Claude从第一条消息就了解你的项目，而不需要你每次重复解释。

根据开发者工作流的真实反馈，每个项目从/init开始可以消除约80%的重复上下文设置。如果你还在每次对话中反复解释“用TypeScript”“用async/await”“单元测试放在__tests__目录下”……那你已经在低效地浪费时间了。

二、方案：CLAUDE.md的完整加载机制

2.1 文件优先级：谁覆盖谁？

在开始写CLAUDE.md之前，你必须先搞明白它的加载顺序。不然，你会发现某些指令莫名其妙地“不生效”。

Claude Code启动时会从四个层级收集CLAUDE.md文件，按优先级从高到低排列：

优先级	层级	路径	范围	是否提交Git
1	企业策略	`/etc/claude-code/CLAUDE.md` (Linux) / `/Library/Application Support/ClaudeCode/CLAUDE.md` (macOS)	全组织	否（IT管理）
2	用户全局	`~/.claude/CLAUDE.md`	所有项目，所有机器	否
3	项目根目录	`./CLAUDE.md`	当前项目全体成员	✅
4	本地覆盖	`./CLAUDE.local.md`	仅当前用户、当前项目	否（自动.gitignore）

优先级规则：上层优先原则。如果企业策略里规定了“所有代码必须包含测试”，那么你项目级的CLAUDE.md无法推翻这条规则（当然，个人开发者一般用不到企业策略层）。

2.2 Monorepo场景下的层叠机制

如果你的项目是一个Monorepo，事情会更有趣。Claude Code会沿目录树向上递归收集所有CLAUDE.md文件。

举个例子，你的目录结构是这样的：

my-monorepo/
├── CLAUDE.md          # 顶层：通用规范
├── backend/
│   ├── CLAUDE.md      # 后端子项目规范
│   └── src/
└── frontend/
    ├── CLAUDE.md      # 前端子项目规范
    └── src/

当你在backend/目录下运行Claude Code时，它会同时加载backend/CLAUDE.md和my-monorepo/CLAUDE.md，然后拼接在一起送入上下文。

踩坑警告：如果你在根目录CLAUDE.md里写了“用ESLint”，在子目录CLAUDE.md里写了“用Biome”，Claude Code会同时看到两条矛盾指令，然后……随机选择一个，或者更糟糕——忽略两者。

解决方案：子目录的指令应该补充而非覆盖根目录。除非你明确知道自己在做什么。

2.3 .claude/rules/ 目录：大型项目的最佳归宿

当项目足够大，单个CLAUDE.md超过200行时，可以考虑使用.claude/rules/目录进行拆分。

Claude Code官方推荐的**.claude/rules/**组织方式如下：

my-project/
├── .claude/
│   ├── CLAUDE.md
│   └── rules/
│       ├── testing.md           # 无path筛选 → 启动时加载
│       └── api-design.md        # path: "src/api/**" → 按需加载
├── .claudeignore
└── ...

规则的加载逻辑有两个关键点：

启动时加载：从当前工作目录向上递归，加载所有找到的CLAUDE.md文件和.claude/rules/中没有path筛选的文件
按需加载：当Claude读取特定目录（如src/api/）下的文件时，会自动加载带有匹配path筛选的规则文件

这种分层按需加载机制，对于大型Monorepo来说是救命级的优化。

三、动手写：CLAUDE.md应该写什么、不写什么

3.1 判断标准：Claude“猜不到”才需要写

这个标准看着简单，但90%的人都在犯同样的错误。

✅ 应该写的内容（Claude“猜不到的”）：

# CLAUDE.md

## 项目基本信息
这是一个金融风控系统的后端服务，基于Spring Boot 3.x框架，数据库使用MySQL 8.0 + MyBatis-Plus，缓存使用Redis 7.x。

## 关键技术约束
- 所有API接口必须返回统一的Response格式：`{code, message, data}`
- 敏感数据（身份证号、银行卡号）在存储前必须使用AES-256-GCM加密
- 所有数据库查询必须有分页限制，单次查询最大1000条
- 事务边界在Service层，禁止在Controller层开启事务
- 所有金额字段使用BigDecimal，禁止使用float/double

## 测试要求
- 单元测试使用JUnit 5 + Mockito，要求核心业务逻辑覆盖率≥85%
- 集成测试使用TestContainers，不允许Mock数据库

## 部署约定
- 生产环境使用的配置文件是application-prod.yml
- 健康检查端点：/actuator/health
- 日志级别：生产环境INFO，开发环境DEBUG

❌ 不应该写的内容（Claude“读代码就能懂的”）：

“写简洁的代码”——Claude不知道什么叫“简洁”，而且它会认为自己写得已经很简洁了
“使用驼峰命名”——这是JavaScript/Java的默认标准
“避免代码重复”——Claude原生就倾向于复用
“详细API文档”——给链接就好，不要全文粘贴

3.2 实战模板：前端React+TypeScript项目

# CLAUDE.md - React/TypeScript 金融科技前端项目

## 技术栈
- React 18 + TypeScript 5.4
- 状态管理：Zustand + TanStack Query
- UI组件库：Ant Design 5.x
- CSS方案：TailwindCSS 3.4 + CSS Modules
- 包管理：pnpm
- 构建工具：Vite 5.x

## 代码组织

src/
├── pages/ # 页面组件（路由级别）
├── components/ # 可复用组件
│ ├── common/ # 通用组件
│ └── business/ # 业务组件
├── hooks/ # 自定义Hooks
├── services/ # API调用（自动生成类型）
├── store/ # Zustand stores
├── types/ # TypeScript类型定义
└── utils/ # 工具函数


## 编码规范
- 函数组件使用箭头函数定义：`const Component: React.FC<Props> = () => {}`
- Props类型定义在组件文件内，使用interface（除非需要export复用）
- Hooks以use开头，自定义Hooks必须返回类型化的值
- API调用统一使用services/目录下的封装，禁止直接使用fetch/axios
- 所有异步操作必须有error handling，状态至少包含idle/loading/succeeded/failed

## 测试配置
- 测试框架：Vitest + React Testing Library
- 测试文件放置在被测文件旁边的`__tests__`目录：`Component.tsx → __tests__/Component.test.tsx`
- 快照测试仅用于稳定的UI组件

## 特别注意
- 项目开启了TypeScript strict模式，`noImplicitAny`为true
- 禁止使用`any`类型，特殊情况需要`// @ts-expect-error`注释说明
- 所有组件必须是响应式设计，默认考虑移动端
- 暗黑模式通过Tailwind的dark:前缀支持

3.3 实战模板：后端Python FastAPI项目

# CLAUDE.md - Python FastAPI 微服务项目

## 技术栈
- Python 3.11+
- FastAPI 0.104+ + Uvicorn
- ORM：SQLAlchemy 2.0 + Alembic
- 数据库：PostgreSQL 15
- 消息队列：RabbitMQ + Celery
- 容器化：Docker + Docker Compose

## 项目架构

app/
├── api/
│ ├── v1/ # API版本1
│ └── deps.py # 依赖注入
├── core/
│ ├── config.py # Pydantic settings
│ └── security.py # JWT、加密
├── models/ # SQLAlchemy模型
├── schemas/ # Pydantic schemas（请求/响应）
├── services/ # 业务逻辑层
├── repositories/ # 数据访问层
└── utils/ # 工具函数


## 编码规范
- 所有函数必须有类型注解（Python 3.11+ fully typed）
- 使用`async/await`处理所有I/O操作（包括数据库查询）
- 业务逻辑在services层，数据访问在repositories层
- API路由只负责参数校验、调用service、返回响应，禁止写业务逻辑
- 使用`structlog`进行结构化日志记录

## 关键约束
- JWT Token有效期15分钟，Refresh Token有效期7天
- Redis缓存键格式：`{service}:{resource}:{id}`
- 所有数据库模型必须有created_at/updated_at字段
- 敏感配置使用环境变量，禁止硬编码

## 测试
- 单元测试：pytest + pytest-asyncio
- 集成测试：使用test database（Docker自动启动）
- 测试覆盖率要求：≥80%（核心业务≥90%）

3.4 模块化：通过@import管理大型配置

当你的CLAUDE.md超过150行时，需要考虑使用@import指令进行模块化。

官方文档建议最大行数200行是保证规则遵循度的推荐上限。超过这个阈值，Claude的规则遵循度会开始下降。

# CLAUDE.md（主文件，约80行）
@import .claude/rules/coding-standards.md
@import .claude/rules/testing-guide.md
@import .claude/rules/deployment-config.md

## 项目概述
...

## @import规则说明
- coding-standards.md：TypeScript/React编码规范（约60行）
- testing-guide.md：Vitest单元测试规范（约50行）
- deployment-config.md：Vercel生产环境部署配置（约40行）

@import支持最多5层递归深度。但建议不要过度嵌套，2-3层就足够了。

四、竞品对比：CLAUDE.md vs .cursorrules

4.1 核心差异表格

2026年的AI编程工具市场上，Cursor的.cursorrules和Claude Code的CLAUDE.md是目前两大主流AI编程体系的项目规则配置核心文件。

对比维度	CLAUDE.md (Claude Code)	.cursorrules (Cursor)
加载方式	启动时自动加载，沿目录树递归向上	启动时加载一次，主要为项目级
作用范围	全局/用户级/项目级/子目录按需加载	主要为项目级
上下文窗口	200K token	约128K token
模块化能力	@import + .claude/rules目录	不支持原生模块化
子目录按需加载	✅ 支持（通过path筛选）	❌ 不支持
Skills扩展	✅ 支持	❌ 不支持
MCP协议支持	✅ 原生支持	有限支持
适用场景	大型Monorepo、团队协作、终端Workflow	中小项目、IDE深度集成

4.2 2026年头部工具三国杀

2026年的AI编程工具市场，真正在一线开发者中高频使用的就是Cursor、Claude Code和Gemini这三大阵营。此外，GitHub Copilot依然是基础编码辅助的“标配”。

一句话区分：

Copilot给你翅膀，Cursor给你一架新飞机，Claude Code给你一个自动驾驶副驾驶。

工具	月费	核心模型	形态	核心优势
GitHub Copilot	$10或免费	GPT-4o	IDE插件	补全最快，最普及
Cursor	$20（Pro）	Claude 3.5 / GPT-4o	独立IDE	Tab补全“读心术”级别，IDE原生体验
Claude Code	按Token计费	Claude Opus/Sonnet	终端CLI	自主Agent循环，Sub-agent并行，深度推理

Claude Code处理200,000 token的上下文窗口，比Copilot和Cursor多出56%，能够单次分析超过30,000行的代码库。

4.3 选型建议

如果你追求极致的编码速度：Cursor > Copilot > Claude Code
如果你需要深度代码理解、复杂架构分析、自动化多步任务：Claude Code是唯一选择
如果你做的是超大Monorepo、需要子目录级规则隔离：Claude Code + CLAUDE.md完胜
如果你依赖图形差异对比、喜欢“边敲边补”的IDE体验：Cursor或Cline更贴合
如果你常在终端、常连远程、要把AI塞进CI或运维脚本：Claude Code或Aider更自然

我的建议：两个都要。Cursor处理90%的日常编码（它的Tab补全确实无人能比），Claude Code处理剩下10%的复杂任务——重构、架构分析、代码审查、自动化脚本。

五、安全风险：你不可不知的6个“坑”

截至2026年6月，Claude Code相关的事件与漏洞已经引起整个安全圈的警觉。作为开发者，你必须知道这6个真实存在且可被利用的安全风险。

5.1 漏洞事件时间线

日期	事件/漏洞	严重程度	状态
2026年2月	CVE-2025-59536：Hook远程代码执行	高危	已修复
2026年2月	CVE-2026-21852：API密钥窃取	高危	已修复
2026年3月31日	源代码泄露事件（51万行源码曝光）	严重	已处理
2026年4月	CVE-2026-35022：OS命令注入	严重	已修复（v2.1.91+）
2026年4月	MCP OAuth Token窃取攻击链	高危	未修复
2026年5月	安全审查插件发布	-	新增功能

5.2 CVE-2026-35022：2026年最严重的命令注入漏洞

2026年4月24日，Fidelis Security披露了CVE-2026-35022——一个严重的操作系统命令注入漏洞，影响Claude Code CLI 2.1.91及以下版本、Claude Agent SDK for Python 0.1.55及以下版本。

漏洞原理：Claude Code在处理apiKeyHelper、awsAuthRefresh、awsCredentialExport等认证辅助配置时，使用shell=true调用命令，且没有输入验证。攻击者可以通过注入shell元字符，在用户设备上执行任意命令，窃取凭证和敏感数据。

CVSS评分：网络攻击向量，攻击复杂度低，无需任何权限和用户交互，三个“High”影响（机密性、完整性、可用性均为High）。

紧急修复方案：

# 立即升级到安全版本
npm update -g @anthropic-ai/claude-code@latest  # 确保 ≥2.1.91
pip install --upgrade claude-agent-sdk          # 确保 ≥0.1.55

# 如果暂时无法升级，立即禁用认证辅助
# 在.claude/settings.json中注释或删除 apiKeyHelper 等配置
# 改用环境变量 ANTHROPIC_API_KEY 直接设置
export ANTHROPIC_API_KEY=sk-xxx

5.3 源代码泄露事件（2026年3月31日）

2026年3月31日，Anthropic的Claude Code发生了严重的源代码泄露事件——npm包中误含了59.8MB的JavaScript source map文件，导致超过51万行未经过混淆的TypeScript原始代码曝光。

攻击者在数小时内就利用泄露的信息，在GitHub上建立了伪装存储库，传播窃取凭证的恶意程序。The Register对泄露源码进行逐行审计后指出：“Claude Code在你的电脑上拥有的权限，远超大多数人的想象。”

5.4 企业部署的5步安全配置

根据七牛云发布的《Claude Code企业源码安全：2026年IT负责人必读防护指南》，企业团队需要建立以下5步配置清单：

步骤1：建立代码分类制度
将代码分为“可AI辅助”和“禁止AI处理”两类。核心算法、密钥、客户数据相关的敏感逻辑禁止Claude Code访问。

步骤2：配置文件级访问隔离
在项目根目录创建.claudeignore文件，明确排除高风险目录：

# .claudeignore
.env*
secrets/
config/production/
**/*.pem
**/*.key

步骤3：禁用高危执行权限
团队层面统一禁止使用--dangerously-skip-permissions标志。在CI/CD流水线中添加配置检查：

# CI检查脚本示例
if grep -r "dangerously-skip-permissions" .claude/; then
  echo "❌ 发现危险权限绕过，PR被阻止"
  exit 1
fi

步骤4：配置API代理路由
通过企业API中转网关对Claude Code的出站请求进行统一监控和内容过滤，实现流量可审计。

步骤5：MCP连接审批
团队要求所有MCP服务器连接需提交审批，防止通过OAuth token窃取的数据泄露攻击。

5.5 MCP安全问题的核心本质

Claude Code通过MCP（Model Context Protocol）协议连接Jira、Confluence、GitHub、数据库和内部API。

Mitiga Labs最近披露的攻击链显示：一个伪装成npm包的恶意代码可以在安装时静默修改~/.claude.json，将所有MCP流量重定向到攻击者控制的服务器，拦截OAuth Bearer Token。

最可怕的部分是什么？

Audit日志看起来完全正常。IP地址解析到Anthropic的出口IP，用户是真的，会话是有效的。但查询不是用户执行的——攻击者在使用被拦截的token。

Mitiga于4月10日向Anthropic报告了该问题，Anthropic于4月12日回应称“攻击需要用户同意的代码执行，超出范围”。截至2026年6月，该攻击链仍未被修复。

5.6 安全审查插件：官方的新尝试

2026年5月29日，Anthropic正式推出了Claude Code的安全审查插件，能够在开发过程中实时检测代码漏洞。

系统会主动扫描：

eval()、new Function()等危险函数
os.system()、child_process.exec()等系统命令注入
不安全的反序列化方法
.innerHTML=等浏览器注入模式

但这只是“检测”，不是“预防”。真正安全的使用姿势，是把CLAUDE.md变成安全护栏本身。

六、架构设计：CLAUDE.md的Token经济学

6.1 Sub-agent并行：Token消耗的真实逻辑

Claude Code的核心不是一个普通的聊天模型，而是一个多智能体代理循环（Multi-Agentic Loop）。

当你向Claude Code提问时，内部会经历以下流程：

并行探索阶段：主智能体派生出多个探索子智能体，每个子智能体被赋予独立的上下文和目标，并行地在代码库中搜索相关信息
规划阶段：各子智能体将探索结果汇总后，主智能体调用规划子智能体，在全新的上下文窗口中制定实施计划
执行阶段：主智能体依据计划，调用文件编辑、Bash命令等工具执行修改

每个子智能体的“思考”都会消耗Token。你觉得它“想”了太久，对，它在背后并行执行了多个智能体的推理。

6.2 Prefix Caching：Token成本降低81%的秘密

根据一份基于真实追踪数据的分析报告，Claude Code通过**前缀缓存（Prefix Caching）**技术，在处理SWE-bench真实任务时，将200万输入Token的成本从$6.0降至$1.15，降幅高达81%。

前缀缓存的工作原理：

系统提示词和工具描述是固定前缀，约2800个系统提示词token + 9400个工具描述token
在多轮对话中，这部分前缀可以被缓存复用，而不是重复计算
CLAUDE.md内容也在缓存范围内

这就是为什么CLAUDE.md的冗余信息会成为“Token黑洞”——每条无用规则都会和有效规则一起进入前缀缓存，占用宝贵的上下文窗口。

6.3 LSP集成：如何再降40%的Token消耗

2025年底的一项测试显示，配置好LSP（Language Server Protocol）后，Claude Code的Token消耗直接降低了40%。

原理很简单：没有LSP时，Claude Code搜索代码像“盲人”，只能靠grep模式匹配和猜测。有了LSP，它终于能“看懂”代码的结构——知道哪些是函数定义、哪些是类型声明、哪些是引用。代码理解深了，自然不需要反复探索同一段代码。

在CLAUDE.md中配置LSP：

# CLAUDE.md

## LSP配置
- TypeScript/JavaScript: 启用tsserver
- Python: 启用pyright或basedpyright
- 优先使用LSP进行符号查找和定义跳转，而非grep搜索

6.4 最佳实践：CLAUDE.md应该控制在多少行？

根据Anthropic官方文档和社区验证的数据：

CLAUDE.md行数	效果评估
50-100行	⭐⭐⭐⭐⭐ 理想。Claude高度遵循，Toke成本可控
100-150行	⭐⭐⭐⭐ 良好。CLAUDE.md仍在上下文有效范围内
150-200行	⭐⭐⭐ 可接受。行数接近上限
200行以上	⭐⭐ 开始下降。建议使用@import或.claude/rules拆解
300行以上	⭐ 严重下降。大量信息被淹没，Claude的选择性忽略加剧

七、部署方案：你的CLAUDE.md能跑在哪儿？

7.1 快速安装Claude Code

根据Anthropic官方发布的安装指南（2026年2月版），Claude Code支持Mac、Linux、WSL、Windows多平台。

macOS/Linux/WSL（一键安装）：

# 安装稳定版本
curl -fsSL https://claude.ai/install.sh | bash

# 安装最新版本
curl -fsSL https://claude.ai/install.sh | bash -s latest

# 使用Homebrew（macOS）
brew install --cask claude-code

Windows：

curl -fsSL https://claude.ai/install.cmd -o install.cmd && install.cmd && del install.cmd

通过NPM安装（需要Node.js 18+）：

npm install -g @anthropic-ai/claude-code

验证安装并配置ANTHROPIC_API_KEY：

# 验证安装
claude --version

# 设置API Key（临时）
export ANTHROPIC_AUTH_TOKEN=sk-xxx
export ANTHROPIC_BASE_URL=https://127.0.0.1

# 启动Claude Code
mkdir my-project && cd my-project
claude

7.2 三种部署架构

方案A：个人开发者模式

在自己电脑上安装Claude Code + 个人API Key
CLAUDE.md放在项目根目录
无需额外配置，适合独立开发者

方案B：团队协作模式

团队成员各自安装Claude Code
CLAUDE.md随代码提交到Git仓库
项目根目录CLAUDE.md + 团队通用用户级~/.claude/CLAUDE.md
配置.claude/settings.json统一API代理和成本控制

方案C：企业安全模式（来自七牛云的企业安全指南）

通过/etc/claude-code/CLAUDE.md下发企业策略（只能读，不能覆盖）
配置.claudeignore排除敏感目录
配置API中转网关进行流量审计
禁用--dangerously-skip-permissions标志
在CI/CD中添加配置合规性检查

7.3 CLAUDE.md vs AGENTS.md：有什么区别？

可能有人会注意到项目里还有一个AGENTS.md。两者的区别很简单：

CLAUDE.md：专用于Claude Code，在这个工具里的优先级最高
AGENTS.md：通用AI Agent指令格式，被多款工具（包括Claude Code）读取作为后备

最佳实践：CLAUDE.md放在根目录，AGENTS.md作为辅助配置。

八、高级技巧：让CLAUDE.md真正“活”起来

8.1 Hooks自动化：写完代码自动格式化

2026年Claude Code的Hooks系统允许设置自动化触发行为。

在CLAUDE.md中配置Hooks：

# CLAUDE.md

## Hooks配置
- 每次文件写入后：自动运行`npm run lint:fix`和`npm run format`
- 生成新组件后：自动创建对应的`.test.tsx`测试文件框架
- 提交代码前：自动运行`npm run type-check`

8.2 Sub-agent并行任务配置

截至2026年6月，Claude Code已支持Sub-agent并行任务。通过CLAUDE.md，你可以设定哪些任务可以并行执行，哪些需要串行等待。

# CLAUDE.md

## Sub-agent并行规则
- 代码库探索任务可以并行执行：最多3个探索sub-agent同时运行
- 文件修改任务必须串行：避免冲突
- 代码审查和测试执行可以同时进行

8.3 MCP扩展：接入外部数据源

CLAUDE.md支持通过MCP协议接入外部工具，包括Notion、Figma、GitHub、数据库等。

配置MCP服务器连接：

# 在交互式会话内部
/mcp add notion https://api.notion.com
/mcp add figma https://api.figma.com/v1

在CLAUDE.md中声明MCP使用规范：

# CLAUDE.md

## MCP集成
- 所有Figma设计稿通过MCP协议读取，确保设计与实现一致
- 通过MCP读取Notion技术文档作为项目上下文
- 数据库连接MCP用于自动生成基于表结构的TypeScript类型

8.4 三种工作模式：通过Shift+Tab切换

Claude Code内置三种工作模式，通过Shift+Tab循环切换：

模式	快捷键	特点	适用场景
Default	Shift+Tab×1	每次编辑/命令需要确认	日常开发，需要掌控感
Auto-accept	Shift+Tab×2	文件修改自动执行，Shell仍需确认	批量重构、CRUD生成
Plan	Shift+Tab×3	只读模式，只分析不修改	架构规划、代码审查

重要：在CLAUDE.md中指定默认模式：

# CLAUDE.md

## 工作模式
- 默认使用Plan模式进行架构设计
- API开发完成后切换到Auto-accept模式执行批量修改
- 生产代码相关修改必须在Default模式下人工确认

九、实战案例：一个Monorepo的CLAUDE.md落地

假设你在维护一个大型金融科技Monorepo，项目结构如下：

fintech-monorepo/
├── CLAUDE.md                      # 顶层通用规则
├── packages/
│   ├── shared/
│   │   ├── CLAUDE.md              # 共享库专用规则
│   │   └── src/
│   ├── backend/
│   │   ├── CLAUDE.md              # Go后端专用规则
│   │   └── src/
│   └── frontend/
│       ├── CLAUDE.md              # React前端专用规则
│       └── src/
└── .claude/
    └── rules/
        ├── security.md            # 安全规范（全局）
        ├── deployment.md          # 部署规范（全局）
        └── api-design.md          # API设计规范（path: "packages/backend/**"）

根目录CLAUDE.md（精简版，80行）：

# CLAUDE.md - 金融科技Monorepo顶层规范

@import .claude/rules/security.md
@import .claude/rules/deployment.md

## 项目结构
- packages/shared：共享工具库（TypeScript）
- packages/backend：Go后端服务（Go 1.21+）
- packages/frontend：React前端（Vite + TypeScript）

## 团队规范
- PR必须有至少2人approve才能合并
- 所有API变更必须更新swagger/openapi文档
- Commit message格式：`<type>(<scope>): <description>`
- 禁止在main分支上直接push，所有变更必须通过PR

## 关键约束
- 敏感操作（资金转账、风控决策）必须记录审计日志
- 所有API响应时间P99不得超过200ms

frontend/CLAUDE.md（80行，只在前端目录生效）：

# CLAUDE.md - 前端子系统

## 技术栈
- React 18 + TypeScript 5.4 + Vite 5.x
- 状态管理：Zustand + React Query
- UI：Ant Design + TailwindCSS

## 前端特有规范
- 禁止在useEffect中进行异步数据请求（使用React Query）
- 表单验证使用react-hook-form + zod
- 路由使用React Router v6，所有页面默认lazy loading

当你在packages/frontend/目录下启动Claude Code时，它会同时加载：

根目录CLAUDE.md（通用规范）
.claude/rules/security.md（安全规范）
.claude/rules/deployment.md（部署规范）
frontend/CLAUDE.md（前端专用规范）

结果是：Claude Code知道全局安全要求，同时知道前端该怎么写——不需要你重复任何一条规则。

十、总结与趋势预判

10.1 你该记住的核心公式

80%的问题 = /init + 50-150行的CLAUDE.md
10%的问题 = 调整到200行左右 + @import拆解
剩下的10% = Claude Code自身的限制 + 你需要接受的现实

10.2 让AI写出更好代码的5个关键步骤

第一步：从/init开始
在项目根目录运行/init，让Claude自动分析你的代码库，生成CLAUDE.md初稿。

第二步：精简而非扩充
删除Claude“读代码就能推断”的内容。只保留架构决策、非常规规范、特定命令。

第三步：控制行数在150行以内
超过200行就拆。用@import和.claude/rules/目录，按目录或功能拆分。

第四步：测试+迭代
不是写完就完了。每次发现Claude没遵从某个规则，就复盘规则写法。4-5轮迭代后，规则通常能做到90%+的遵循度。

第五步：安全意识内置
在CLAUDE.md的第一段就写入数据分类、禁止操作、关键审批流程。像给刚入职的工程师发SOP一样，确保AI“上岗”第一天就知道红线。

10.3 2026年的AI编程趋势

趋势一：Agentic框架成为主流
2026年，Claude Code的Sub-agent并行架构、Hooks自动化、MCP扩展等能力已全面成型。AI编程的核心正在从“生成代码”转向“代理循环”——AI替你思考、规划、执行、验证。

趋势二：上下文管理成为核心竞争力
Claude Code通过LSP集成、前缀缓存、Sub-agent并行等方式，将Token消耗降低了40%-81%。在AI编程领域，“会省Token”和“会写代码”同等重要。

趋势三：安全成为企业选型的决定性因素
从CVE-2025-59536、CVE-2026-21852到CVE-2026-35022，再到MCP Token窃取漏洞，Claude Code的安全问题正在倒逼企业建立完整的AI编程治理体系。

趋势四：Multi-Agent协作常态化
2026年5月29日，Anthropic正式上线Claude Code动态工作流预览版，这项功能面向超大型任务推出，Claude会根据任务自动编写脚本，调用数十到上百个智能体并行处理任务。未来的CLAUDE.md，不只是配置一个AI，而是配置一个AI团队。

写在最后

CLAUDE.md不是文档，不是README，甚至不是给人看的。

它是你和AI之间的共识协议——就像分布式系统里节点之间约定好的通信规范。写对了，所有Agent按同一套规则执行；写错了，每次对话都在重复纠正同样的错误。

2026年的今天，Claude Code已经不是一个“玩具级”的代码生成工具。它是一个能够自主完成从需求分析、代码编写、测试运行到提交Pull Request全流程的AI工程师。

但再强的AI工程师，也需要一份清晰、精准的入职手册。CLAUDE.md，就是那份手册。

开始用起来吧。你的时间，不应该浪费在反复教AI那些它本该知道的事情上。

📌 快速查阅

你想找的内容	章节
文件优先级与加载机制	第2章
实战模板：React + 后端Python	第3.2节、第3.3节
竞品对比表格	第4.1节
安全漏洞清单与修复方案	第5章
Token成本优化技巧	第6章
一键安装命令	第7.1节
Monorepo配置示例	第9章