Anthropic Claude Code Leak: Ein tiefer Einblick in den Quellcode und seine Auswirkungen

Avatar
Lisa Ernst · 01.04.2026 · Künstliche Intelligenz · 12 Min.

Die digitale Welt operiert oft mit der Illusion von Kontrolle, einer sorgfältig kuratierten Fassade über komplexen Systemen. Am 31. März 2026 zerbrach diese Fassade für Anthropic, eines der führenden KI-Unternehmen, kurzzeitig, als der gesamte Quellcode für sein Befehlszeilen (CLI)-Tool, Claude Code, versehentlich öffentlich wurde. Dies war kein bösartiger Hack, sondern vielmehr ein einfacher Fehler, der durch die natürliche Neugier von Entwicklern und die allgegenwärtige Vernetzung von Online-Plattformen verstärkt wurde.

Schnelle Zusammenfassung: Wichtigste Erkenntnisse aus dem Claude Code Leak

Der versehentliche Leak des Quellcodes von Anthropic Claude Code hat entscheidende Einblicke geliefert und wichtige Fragen aufgeworfen. Hier ist ein kurzer Überblick:

Analyse des Anthropic Claude Code Leaks

Am 31. März 2026 wurde der Quellcode für Anthropic's CLI-Tool, Claude Code, versehentlich öffentlich gemacht, eine Tatsache, die von Publikationen wie The Register ausgiebig berichtet wurde. Der Kern des Problems war eine Source Map-Datei, die versehentlich im npm-Registry veröffentlicht wurde, wie von The Decoder detailliert beschrieben. Die Entdeckung wurde erstmals öffentlich vom Sicherheitsexperten Chaofan Shou auf X (ehemals Twitter) gemeldet.

Porträt von Chaofan Shou

Quelle: usethebitcoin.com

Der Sicherheitsexperte Chaofan Shou meldete ursprünglich die versehentliche öffentliche Freigabe des Quellcodes von Anthropic Claude Code und brachte den Vorfall an die Öffentlichkeit.

Unmittelbar nach dieser Enthüllung tauchte eine vollständige Momentaufnahme der Codebasis in einem öffentlichen GitHub-Repository mit dem Titel instructkr/claude-code auf, eine Tatsache, die von dev.to verifiziert wurde. Dieser gespiegelte Code war beträchtlich und enthielt ungefähr 1.900 Dateien mit insgesamt über 512.000 Zeilen, laut Heise.

Claude Code ist als Befehlszeilen-Tool konzipiert und ermöglicht es Entwicklern, mit den KI-Modellen von Anthropic in natürlicher Sprache zu interagieren, wie von Silicon Republic berichtet. Es hilft bei Aufgaben wie dem Bearbeiten von Dateien oder dem Ausführen von Befehlen. Source Maps, die typischerweise zum Debugging verwendet werden, helfen dabei, komprimierten Code mit seinen ursprünglichen Quelldateien zu verknüpfen, wie dev.to erklärt. Wenn diese Dateien versehentlich in veröffentlichte Pakete aufgenommen werden, können sie den vollständigen, unminifizierten Quellcode preisgeben. Im konkreten Fall wies die 59,8 MB große JavaScript Source Map-Datei (.map) in Version 2.1.88 des Pakets `@anthropic-ai/claude-code` direkt auf seine unminifizierten TypeScript-Quellen, laut dev.to. Ein fehlerhaftes Paketkonfigurationsverfahren während des npm-Veröffentlichungsprozesses wird als Grundursache für diese Offenlegung angesehen.

Anthropic reagierte schnell, entfernte die problematische Paketversion aus dem npm-Registry und ersetzte sie durch eine saubere Version ohne die offengelegten Source Maps. Ein Sprecher des Unternehmens bestätigte den unbeabsichtigten Code-Leak und versicherte der Öffentlichkeit, dass keine sensiblen Kundendaten oder Anmeldedaten kompromittiert wurden. Anthropic bezeichnete den Vorfall als Verpackungsproblem, das durch menschliches Versagen verursacht wurde, nicht als Sicherheitslücke, und erklärte, dass Maßnahmen ergriffen würden, um ähnliche Vorfälle in Zukunft zu verhindern.

Was diesen Leak besonders bemerkenswert macht, ist, dass es das dritte Mal ist, dass Anthropic denselben Fehler mit Source Maps im npm-Registry macht, wie von The Register berichtet. Eine frühere Version von Claude Code war bereits im Februar 2025 einem ähnlichen Leak ausgesetzt; Anthropic behob dies, indem die alte Version und die Source Map entfernt wurden. Das Problem trat jedoch 2026 in Version 2.1.88 erneut auf. Die technische Ursache scheint ein dokumentierter Fehler (oven-sh/bun#28001) im Bun Bundler zu sein, der standardmäßig Source Maps generiert, es sei denn, sie werden explizit deaktiviert, was zu wiederholten Vorfällen führt, wenn nicht richtig konfiguriert.

Auswirkungen und unerwartete Entdeckungen im Anthropic Claude Code

Der umfangreiche geleakte Code, der 1.906 proprietäre TypeScript-Quelldateien umfasste, bot einen beispiellosen Einblick in die interne Architektur von Anthropic. Er legte komplizierte Details über ihr API-Design, ihre Telemetrie-Analyse-Systeme, Verschlüsselungstools und Interprozesskommunikationsprotokolle offen. Während Benutzerdaten und KI-Modellgewichte unentdeckt blieben, bietet diese neu gewonnene Transparenz der internen Abläufe von Anthropic wichtige Einblicke für Wettbewerber und neue Sicherheitsüberlegungen für Benutzer.

Self-Healing Memory und KAIROS Daemon

Eine der bemerkenswertesten Enthüllungen des Leaks ist die hochentwickelte dreistufige Speicherarchitektur von Anthropic, die speziell zur Bewältigung der "Kontexentropie" entwickelt wurde. Im Gegensatz zu herkömmlichen "alles speichern"-Abrufmethoden verwendet Claude Code ein einzigartiges "Self-Healing Memory"-System, wie von dev.to detailliert beschrieben. Dieses System basiert auf `MEMORY.md`, einem leichten Index von Zeigern (ungefähr 150 Zeichen pro Zeile), der konsequent in den Kontext des Modells geladen wird. Entscheidend ist, dass dieser Index Speicherorte und nicht die eigentlichen Daten speichert. Das wahre Projektwissen ist über "Topic-Dateien" verteilt, die nur bei Bedarf abgerufen werden. Roh-Transkripte werden nie vollständig erneut gelesen, sondern stattdessen für spezifische Identifikatoren "gegrep"t. Eine "Strict Write Discipline" stellt sicher, dass der Agent seinen Index nur nach einem erfolgreichen Schreibvorgang aktualisiert, was verhindert, dass der Kontext des Modells durch fehlgeschlagene Versuche verunreinigt wird. Der Code bestätigt auch ausdrücklich, dass die Agenten von Anthropic angewiesen werden, ihren eigenen Speicher nur als "Hinweis" zu behandeln und ihn vor jeder Maßnahme gegen die tatsächliche Codebasis zu verifizieren.

Der Leak brachte auch "KAIROS" ans Licht, einen autonomen Daemon-Modus, der im Quellcode über 150 Mal erwähnt wird, wie von dev.to detailliert beschrieben. KAIROS fungiert als ständig aktiver Hintergrundagent, der Hintergrundsitzungen akribisch verwaltet und einen Prozess namens "autoDream" verwendet. Während der Benutzer inaktiv ist, führt "autoDream" eine "Gedächniskonsolidierung" durch, einen ausgeklügelten Prozess, der unterschiedliche Beobachtungen zusammenführt, logische Widersprüche auflöst und vage Erkenntnisse in konkrete Fakten umwandelt. Diese Hintergrundpflege stellt sicher, dass der Kontext des Agenten sauber und hochrelevant für die Rückkehr des Benutzers bleibt. Ein abgezweigter Sub-Agent kümmert sich um diese Aufgaben und verhindert kritisch, dass diese routinemäßigen Wartungsoperationen den "Gedankengang" des Hauptagenten beschädigen.

Interne Roadmap für Modelle

Der geleakte Code bot auch einen Einblick in die interne Roadmap der Modelle von Anthropic. "Capybara" wurde als interner Codename für eine Claude 4.6-Variante enthüllt, während "Fennec" mit Opus 4.6 verbunden ist. "Numbat" repräsentiert ein sich noch in der Testphase befindliches Modell. Interne Kommentare im Code deuteten darauf hin, dass Anthropic bereits an Capybara v8 arbeitete, das eine signifikante Rate von 29-30 % falscher Behauptungen aufwies – eine Regression gegenüber der Rate von 16,7 % bei v4. Um dem entgegenzuwirken, zielt eine Funktion namens "Assertiveness Counterweight" darauf ab, zu verhindern, dass das Modell während Refactoring-Prozessen übermäßig aggressiv wird, was die Bemühungen von Anthropic hervorhebt, Leistung und Genauigkeit auszubalancieren.

Hier ist ein schneller Überblick über die enthüllten Modell-Codenamen:

Codename Zugehöriges Modell/Status Anmerkungen
Capybara Claude 4.6-Variante Interne Kommentare deuten auf eine Rate von 29-30 % falschen Behauptungen bei v8 hin (Regression von 16,7 % bei v4).
Fennec Opus 4.6
Numbat Modell in Testphase
Tengu Attestierungsfunktionalität

Undercover Mode und Buddy-System

Eine ethisch fragwürdige Funktion, die ans Licht kam, ist der "Undercover Mode", wie von dev.to hervorgehoben. Dieser Modus deutet darauf hin, dass Anthropic Claude Code für "Stealth"-Beiträge zu öffentlichen Open-Source-Repositorys verwendet. Der System-Prompt warnt das Modell ausdrücklich: "Sie agieren verdeckt... Ihre Commit-Nachrichten... DÜRFEN KEINE Anthropic-internen Informationen enthalten. Verraten Sie sich nicht." Diese Logik stellt sicher, dass keine Modellnamen (wie 'Tengu' oder 'Capybara') oder KI-Attributionen in öffentlichen Git-Protokollen erscheinen, wodurch die automatisierte Natur der Beiträge effektiv verschleiert wird. Entscheidend ist, dass es keine Möglichkeit gibt, diese Undercover-Funktion für einen Benutzer zu deaktivieren.

Sie agieren verdeckt... Ihre Commit-Nachrichten... DÜRFEN KEINE Anthropic-internen Informationen enthalten. Verraten Sie sich nicht.
Code-Snippet des Systemprompts für den Undercover Mode

Quelle: red-gate.com

Ein Code-Snippet warnt das Modell ausdrücklich über seinen "Undercover Mode", Anweisung, Anthropic-interne Informationen in öffentlichen Commit-Nachrichten nicht preiszugeben.

Zusätzlich enthüllte der Code das "Buddy"-System, ein Tamagotchi-ähnliches Terminal-Haustier mit Statistiken wie CHAOS und SNARK, das darauf ausgelegt ist, die Benutzerinteraktion zu erhöhen, ebenfalls entdeckt von dev.to. Die Artnamen sind kodiert, um automatisierte Codeüberprüfungen zu umgehen, was der internen Funktionalität eine weitere Ebene der Verschleierung hinzufügt.

Buddy-System Tamagotchi Terminal-Haustier

Quelle: etsy.com

Das Buddy-System ist ein Tamagotchi-ähnliches Terminal-Haustier mit Statistiken wie CHAOS und SNARK, das entwickelt wurde, um die Benutzerinteraktion mit Claude Code zu verbessern.

Sicherheitsrisiken und Empfehlungen für Claude Code Benutzer

Der Quellcode-Leak von Claude Code birgt erhöhte Sicherheitsrisiken sowohl für einzelne Benutzer als auch für Unternehmenskunden. Mit dem detaillierten Bauplan der internen Arbeitsweise des Tools, der nun öffentlich ist, könnten Angreifer bösartige Repositorys erstellen, die darauf abzielen, Claude Code dazu zu bringen, Hintergrundbefehle auszuführen oder sogar Daten zu exfiltrieren. Zusätzlich ereignete sich nur wenige Stunden vor dem Claude Code-Leak ein separater Supply-Chain-Angriff auf das `axios` npm-Paket. Das bedeutet, dass, wenn Claude Code zwischen 00:21 und 03:29 UTC am 31. März 2026 über npm installiert oder aktualisiert wurde, möglicherweise eine bösartige Version von `axios` (entweder 1.14.1 oder 0.30.4) mit einem Remote Access Trojaner (RAT) auf den Systemen der Benutzer installiert wurde.

Betroffene Benutzer sollten umgehend ihre Projekt-Lockfiles (wie `package-lock.json`, `yarn.lock` oder `bun.lockb`) auf das Vorhandensein dieser verdächtigen `axios`-Versionen oder die Abhängigkeit `plain-crypto-js` überprüfen. Wenn etwas gefunden wird, sollte die Host-Maschine als kompromittiert betrachtet werden. Alle Geheimnisse müssen rotiert und eine saubere Neuinstallation des Betriebssystems durchgeführt werden, um eine vollständige Behebung zu gewährleisten.

Empfehlungen zur Installation

Zukünftig ist es dringend ratsam, von npm-basierten Installationen auf den Native Installer für Claude Code umzusteigen, der über `curl -fsSL https://claude.ai/install.sh | bash` zugänglich ist. Der Native Installer verwendet eine eigenständige Binärdatei, was ihn immun gegen die Volatilität der npm-Abhängigkeitskette macht. Er unterstützt auch automatische Hintergrundaktualisierungen, was für den Erhalt von Sicherheitspatches (wahrscheinlich Version 2.1.89 oder neuer) entscheidend ist. Wenn die npm-Installation unvermeidlich ist, sollten Benutzer die nun kompromittierte Version 2.1.88 deinstallieren und ihre Installation explizit auf eine verifizierte sichere Version, wie z. B. 2.1.86, fixieren.

install_claude.sh
curl -fsSL https://claude.ai/install.sh | bash

Darüber hinaus wird eine Zero-Trust-Haltung empfohlen, wenn Claude Code in unbekannten Umgebungen verwendet wird. Vermeiden Sie die Ausführung des Agenten innerhalb frisch geklonter oder nicht vertrauenswürdiger Repositorys, bis die Datei `.claude/config.json` und alle benutzerdefinierten Hooks manuell auf verdächtige Elemente überprüft wurden. Anthropic API-Schlüssel sollten über die Entwicklerkonsole häufig rotiert und Nutzungsmuster kontinuierlich auf Anomalien überwacht werden, um eine zusätzliche Sicherheitsebene zu bieten.

Häufig gestellte Fragen (FAQ)

Was genau wurde geleakt?

Der Leak umfasste den gesamten Quellcode für Anthropic's Befehlszeilen (CLI)-Tool, Claude Code. Dies beinhaltete 1.906 proprietäre TypeScript-Dateien mit insgesamt über 512.000 Codezeilen, die internes API-Design, Telemetriesysteme, Verschlüsselungstools und Interprozesskommunikationsprotokolle abdeckten.

Wurden sensible Benutzerdaten oder KI-Modelle kompromittiert?

Laut Anthropic wurden bei diesem Vorfall keine sensiblen Kundendaten, Anmeldedaten oder Kern-KI-Modellgewichte kompromittiert. Der Leak legte hauptsächlich die Client-seitige Implementierung des Claude Code-Tools offen.

Wie kam es zu dem Leak?

Der Leak ereignete sich aufgrund einer versehentlich veröffentlichten Source Map-Datei innerhalb der Version 2.1.88 des Pakets `@anthropic-ai/claude-code` im npm-Registry. Ein fehlerhafter Paketkonfigurationsprozess während der npm-Veröffentlichung, möglicherweise im Zusammenhang mit einem Fehler im Bun-Bundler, wird als Grundursache angesehen. Dies ist das dritte Mal, dass Anthropic diesen spezifischen Fehler macht.

Was sind die bedeutendsten Erkenntnisse aus dem geleakten Code?

Wichtige Entdeckungen sind eine ausgeklügelte dreistufige "Self-Healing Memory"-Architektur, ein autonomer "KAIROS"-Daemon-Modus zur Hintergrundgedächtniskonsolidierung, interne Modell-Codenamen (z. B. "Capybara" für Claude 4.6) und ein "Undercover Mode" zur Verschleierung der KI-Herkunft von Codebeiträgen an öffentliche Repositorys.

Welche Sicherheitsrisiken gibt es für Benutzer?

Die öffentliche Verfügbarkeit des Quellcodes könnte Angreifer dazu befähigen, bösartige Repositorys zu erstellen, die Claude Code dazu verleiten, Befehle auszuführen oder Daten zu exfiltrieren. Darüber hinaus bedeutet eine gleichzeitige Kompromittierung des `axios` npm-Pakets, dass Benutzer, die Claude Code über npm in einem bestimmten Zeitraum (31. März 2026, 00:21 bis 03:29 UTC) aktualisiert haben, möglicherweise eine bösartige Version von `axios` mit einem Remote Access Trojaner (RAT) installiert haben.

Was sollten Claude Code-Benutzer tun, um sich zu schützen?

Benutzer sollten von npm-basierten Installationen auf den Native Installer umsteigen. Überprüfen Sie sofort Projekt-Lockfiles auf bösartige `axios`-Versionen (1.14.1 oder 0.30.4) oder die Abhängigkeit `plain-crypto-js`. Wenn etwas gefunden wird, betrachten Sie die Maschine als kompromittiert, rotieren Sie alle Geheimnisse und führen Sie eine saubere Neuinstallation des Betriebssystems durch. Verfolgen Sie einen Zero-Trust-Ansatz, überprüfen Sie Konfigurationsdateien und rotieren Sie Anthropic API-Schlüssel häufig.

Schlussfolgerung

Die versehentliche öffentliche Offenlegung des Quellcodes von Anthropic Claude Code unterstreicht eindringlich die anhaltenden Herausforderungen bei der Softwareentwicklung und -bereitstellung, insbesondere im sich schnell entwickelnden Bereich der KI. Während Anthropic darauf besteht, dass keine sensiblen Benutzerdaten oder kritischen KI-Modellgewichte kompromittiert wurden, liefert der Leak Wettbewerbern einen außergewöhnlich detaillierten Bauplan der internen Abläufe von Claude Code, einschließlich seines ausgeklügelten Speichermanagements und komplexen Multi-Agenten-Workflows, wie umfassend von dev.to berichtet. Über wettbewerbsbezogene Einblicke hinaus wirft er auch kritische Sicherheitsbedenken für Endbenutzer auf und hebt die absolute Notwendigkeit von Wachsamkeit und der Einhaltung von Best Practices bei der Verwaltung von Softwareabhängigkeiten hervor. Dieser Vorfall dient als deutliche Erinnerung daran, dass selbst ein einzelner, scheinbar kleiner Fehler in einer Konfigurationsdatei Monate proprietärer Arbeit offenlegen und erhebliche Wellen in der technischen Gemeinschaft auslösen kann.

Teilen Sie doch unseren Beitrag!
Quellen