Claude Code: 500.000 Zeilen Quellcode geleakt
512.000 Zeilen Claude-Code-Quellcode landeten via npm versehentlich öffentlich. Leak zeigt Feature-Flags, Daemon-Modus und unveröffentlichte Funktionen.
Anthropic hat am 31. März 2026 versehentlich den kompletten Quellcode von Claude Code veröffentlicht. Rund 512.000 Zeilen TypeScript-Code in etwa 1.900 Dateien landeten über eine vergessene Source-Map-Datei im npm-Paket. Was als simpler Build-Fehler begann, wurde innerhalb von Stunden zum größten unfreiwilligen Code-Leak in der KI-Branche.
Wie es passiert ist
Version 2.1.88 des npm-Pakets @anthropic-ai/claude-code enthielt eine 59,8 MB große Source-Map-Datei. Source Maps werden normalerweise nur intern zum Debugging genutzt, sie übersetzen kompilierten Code zurück in lesbaren Quellcode. In diesem Fall verwies die Datei auf ein ZIP-Archiv in Anthropics Cloudflare-R2-Speicher, das frei herunterladbar war.
Der Sicherheitsforscher Chaofan Shou entdeckte den Fehler gegen 4:23 Uhr ET und veröffentlichte die Entdeckung auf X. Innerhalb weniger Stunden hatten tausende Entwickler den Code heruntergeladen und analysiert.
Anthropic zog das Paket zurück, aber da war es längst zu spät.
Was der Code verrät
Der Quellcode zeigt, dass Claude Code weit mehr ist als ein Chat-Interface für Entwickler. Es ist eine vollständige Agenten-Runtime mit eigenem Tooling-System, Berechtigungsmodell und Multi-Agenten-Koordination. Die Architektur basiert auf Bun, TypeScript und React/Ink mit rund 40 eingebauten Tools und einem vierstufigen Berechtigungssystem.
Besonders interessant sind 44 Feature-Flags für fertig gebaute, aber noch nicht freigeschaltete Funktionen:
- KAIROS (Daemon-Modus): Ein autonomer Hintergrund-Agent, der dauerhaft läuft, Aufgaben selbstständig erkennt und ausführt, mit einem Budget von 15 Sekunden pro Aktion und append-only Logs. Im Code über 150 Mal referenziert.
- Multi-Agenten-Orchestrierung: Ein Claude koordiniert mehrere Worker-Claudes mit eingeschränkten Toolsets.
- Hintergrund-Agenten: 24/7-Betrieb mit GitHub-Webhooks und Push-Benachrichtigungen.
- Cron-Scheduling: Zeitgesteuerte Agenten mit externen Webhooks.
- Voice-Modus: Sprachsteuerung mit eigenem CLI-Einstiegspunkt.
- Browser-Automatisierung: Echte Playwright-Integration statt nur Web-Fetching.
- Agenten-Persistenz: Schlaf- und Aufwach-Mechanismus ohne Benutzer-Prompts.
Die Kettenreaktion
Die Community reagierte schnell. Innerhalb von 24 Stunden entstanden ein Python-Port (claw-code) und ein Rust-Rewrite. Der Python-Fork sammelte laut Berichten 30.000 GitHub-Sterne in Rekordzeit und wurde damit eines der am schnellsten wachsenden Repositories in der Geschichte der Plattform.
Anthropic versuchte, die Verbreitung einzudämmen, und schickte DMCA-Takedown-Notices an GitHub. Dabei ging allerdings einiges schief: Statt gezielt die Repositories mit dem geleakten Code zu treffen, wurde das gesamte Fork-Netzwerk erfasst, insgesamt 8.100 Repositories, darunter auch legitime Forks von Anthropics eigenem öffentlichen Claude-Code-Repository.
Boris Cherny, Head of Claude Code bei Anthropic, bezeichnete den Massen-Takedown als Unfall und zog den Großteil der Notices zurück. Am Ende blieben Takedowns gegen ein Repository und 96 Forks mit dem tatsächlich geleakten Code.
Zweiter Vorfall in einer Woche
Der Leak war nicht der erste Patzer. Wenige Tage zuvor waren durch einen Konfigurationsfehler im Content-Management-System rund 3.000 unveröffentlichte Dokumente öffentlich einsehbar gewesen. Darunter befand sich ein Entwurf eines Blog-Posts, der ein neues Modell mit den internen Codenamen "Mythos" und "Capybara" beschrieb.
Anthropics Reaktion
Anthropic bestätigte den Vorfall und betonte: "No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach." Das Unternehmen spricht von einem Prozessfehler in der Release-Pipeline.
Heise kommentierte treffend: Milliarden für KI-Sicherheit, aber eine vergessene Zeile in der .npmignore reicht, um den gesamten Quellcode freizulegen. Das Problem sei nicht ein raffinierter Angriff, sondern schlichte Build-Pipeline-Hygiene, vergleichbar mit einer vergessenen .env-Datei im Git-Repository.
Was das für Entwickler bedeutet
Sicherheitshinweis: Wer Claude Code via npm am 31. März zwischen 00:21 und 03:29 Uhr UTC installiert oder aktualisiert hat, sollte prüfen, ob eine manipulierte axios-Version (1.14.1 oder 0.30.4) mit einem Remote Access Trojan mitgezogen wurde. Dritte hatten das Zeitfenster des Leaks genutzt, um bösartige Pakete einzuschleusen.
Für das Ökosystem hat der Leak zwei Seiten: Einerseits können Wettbewerber jetzt studieren, wie Anthropic agentenbasierte Workflows orchestriert. Andererseits gibt der offengelegte Code Entwicklern ein tiefes Verständnis der Architektur hinter dem Tool, mit dem viele täglich arbeiten. Die Feature-Flags zeigen außerdem, wohin die Reise bei KI-Coding-Tools geht: weg vom reaktiven Assistenten, hin zu autonomen Hintergrund-Agenten.
Quellen
- CNBC: Anthropic leaks part of Claude Code's internal source code
- VentureBeat: Claude Code's source code appears to have leaked
- Heise: Claude Code leaked - Billions for AI security, zero for software hygiene
- TechCrunch: Anthropic took down thousands of GitHub repos
- Fortune: Anthropic leaks its own AI coding tool's source code
- Slashdot: Anthropic Issues Copyright Takedown Requests