Lækage af Anthropics kildekode i 2026: Claude-koden blev afsløret via en fejl i npm-kildekortet

Claude Code npm-lækage afslører ikke-udgivne funktioner, herunder KAIROS, BUDDY og Agent Swarms

Virksomheden bekræftede hændelsen den 31. marts 2026 i et interview med Venture Beat og tilskrev den en menneskelig fejl i udgivelses- og pakkeprocessen. Version 2.1.88 af @anthropic-ai/claude-code blev udsendt med en 59,8 MB stor Javascript-kildekortfil. Dybest set et debugging-artefakt, der kortlagde minificeret produktionskode tilbage til det originale Typescript, hvilket pegede direkte på et offentligt tilgængeligt zip-arkiv, der lå i Anthropics egen Cloudflare R2-lagringsbucket.

Ingen behøvede at hacke noget. Filen lå bare der.

Sikkerhedsforskeren Chaofan Shou, der er praktikant hos blockchain-sikkerhedsfirmaet Fuzzland, opdagede problemet og delte det direkte link til bucket'en på X. Inden for få timer dukkede spejlede repositorier op på Github, hvoraf nogle nåede op på titusindvis af stjerner, før Anthropics DMCA-nedtagningsanmodninger ramte. Medlemmer af fællesskabet var allerede begyndt at udtrække telemetri, aktivere skjulte feature flags og udarbejde clean-room-reimplementeringer i Python og Rust for at omgå bekymringer om ophavsret.
Årsagen var enkel: Buns bundler genererer som standard kildekort, og intet build-trin udelukkede eller deaktiverede debug-artefakten før offentliggørelsen. En manglende post i .npmignore eller feltet files i package.json ville have forhindret det hele.

Det, udviklerne fandt indeni, var detaljeret. De ca. 1.900 Typescript-filer dækkede værktøjets udførelseslogik, tilladelsesskemaer, hukommelsessystemer, telemetri, systemprompter og funktionsflag – et fuldstændigt teknisk indblik i, hvordan Anthropic bygger et agentbaseret kodningsværktøj i produktionskvalitet. Telemetrien scanner prompter for bandeord som et signal på frustration, men logger ikke fulde brugersamtaler eller kode. En "undercover-tilstand" instruerer AI'en om at fjerne henvisninger til interne kodenavne og projektdetaljer fra git-commits og pull-requests.

Flere endnu ikke udgivne funktioner lå gemt bag flag. KAIROS beskrives som en altid aktiv baggrundsdaemon, der overvåger filer, logger begivenheder og kører en "drømmende" hukommelseskonsolideringsproces i inaktiv tid. BUDDY er et terminalkæledyr med 18 arter — herunder capybara — der bærer statistikker som DEBUGGING, PATIENCE og CHAOS. COORDINATOR MODE lader en enkelt agent generere og administrere parallelle arbejdsagenter. ULTRAPLAN planlægger 10- til 30-minutters fjernplanlægningssessioner med flere agenter.

Anthropic fortalte Venture Beat, at hændelsen ikke involverede følsomme kundedata, ingen legitimationsoplysninger og ingen kompromittering af modelvægte eller inferensinfrastruktur. "Dette var et problem med release-pakken forårsaget af menneskelig fejl," sagde virksomheden og tilføjede, at den er i gang med at indføre foranstaltninger for at forhindre en gentagelse.

Disse foranstaltninger skal muligvis iværksættes hurtigt. Det er anden gang, den samme fejl er sket. Et næsten identisk læk af kildekortet fandt sted med en tidligere version af Claude Code i februar 2025.

Hændelsen den 31. marts fandt også sted sideløbende med et separat npm-forsyningskædeangreb på axios-pakken, der var aktivt mellem kl. 00:21 og 03:29 UTC. Udviklere, der installerede eller opdaterede Claude Code via npm i dette tidsrum, rådes til at gennemgå deres afhængigheder og skifte adgangskoder. Anthropic anbefaler fremover at bruge sin egen installationsprogram frem for npm.

Konteksten er vigtig her. Fem dage tidligere, den 26. marts, afslørede en forkert konfiguration af CMS hos Anthropic ca. 3.000 interne filer med detaljer om den endnu ikke udgivne "Claude Mythos"-model, hvilket også blev tilskrevet menneskelig fejl. To betydelige utilsigtede afsløringer på mindre end en uge rejser spørgsmål om sikkerheden ved udgivelser hos et firma, hvis værktøjer aktivt bruges til at skrive og levere kode i stor skala.

Den lækkede kildekode er fortsat tilgængelig i arkiveret og spejlet form på trods af aktiv håndhævelse af fjernelse. Anthropic har ikke offentliggjort en bredere efteranalyse eller offentlig erklæring ud over sin kommentar til Venture Beat.

Ingen brugerdata blev afsløret. De centrale Claude-modeller er ikke berørt. Blåtrykket til at opbygge en konkurrent til Claude Code er dog nu betydeligt lettere at samle.

FAQ 🔎

• Spørgsmål: Var lækagen af Claude Code-kildekoden et hack? Nej — Anthropic bekræftede, at eksponeringen var en pakningsfejl, ikke et sikkerhedsbrud eller uautoriseret adgang.
• Spørgsmål: Hvad blev der egentlig eksponeret i Anthropics npm-lækage? Cirka 512.000 linjer TypeScript, der dækker Claude Code CLI, herunder telemetri, feature flags, skjulte funktioner og agentarkitektur — ikke modelvægte eller kundedata.
• Spørgsmål: Er mine data i fare på grund af Claude Code npm-hændelsen? Anthropic siger, at ingen brugerdata eller legitimationsoplysninger blev udsat; udviklere, der installerede via npm under det samtidige axios-forsyningskædeangreb, bør gennemgå afhængigheder og skifte legitimationsoplysninger.
• Spørgsmål: Har Anthropic lækket kildekode før? Ja – et næsten identisk læk af kildekort, der involverede en tidligere version af Claude Code, fandt sted i februar 2025, hvilket gør dette til den anden sådanne hændelse på cirka 13 måneder.