Anthropic-Quellcode-Leck 2026: Claude-Code-CLI durch einen Fehler in der npm-Source-Map offengelegt

Das Claude-Code-npm-Leck enthüllte unveröffentlichte Funktionen, darunter KAIROS, BUDDY und Agent Swarms

Das Unternehmen bestätigte den Vorfall am 31. März 2026 gegenüber Venture Beat und führte ihn auf menschliches Versagen im Release-Paketierungsprozess zurück. Version 2.1.88 von @anthropic-ai/claude-code wurde mit einer 59,8 MB großen JavaScript-Source-Map-Datei ausgeliefert. Im Grunde ein Debugging-Artefakt, das minimierten Produktionscode zurück zum ursprünglichen Typescript abbildete, was direkt auf ein öffentlich zugängliches ZIP-Archiv verwies, das sich in Anthropics eigenem Cloudflare R2-Speicher-Bucket befand. Niemand musste irgendetwas hacken. Die Datei war einfach da.

Der Sicherheitsforscher Chaofan Shou, ein Praktikant bei der Blockchain-Sicherheitsfirma Fuzzland, entdeckte das Problem und veröffentlichte den direkten Link zum Bucket auf X. Innerhalb weniger Stunden tauchten gespiegelte Repositorys auf GitHub auf, von denen einige Zehntausende von Sternen sammelten, bevor Anthropics DMCA-Löschanträge griffen. Community-Mitglieder hatten bereits damit begonnen, Telemetriedaten zu extrahieren, versteckte Feature-Flags umzuschalten und Clean-Room-Neuimplementierungen in Python und Rust zu entwerfen, um urheberrechtliche Bedenken zu umgehen. Die Ursache war einfach: Buns Bundler generiert standardmäßig Source Maps, und kein Build-Schritt hat das Debug-Artefakt vor der Veröffentlichung ausgeschlossen oder deaktiviert. Ein fehlender Eintrag in .npmignore oder im Feld „files“ in package.json hätte das Ganze verhindert.

Was die Entwickler darin vorfanden, war detailliert. Die rund 1.900 Typescript-Dateien umfassten die Ausführungslogik der Tools, Berechtigungsschemata, Speichersysteme, Telemetrie, Systemaufforderungen und Feature-Flags – ein vollständiger technischer Einblick darin, wie Anthropic ein produktionsreifes agentisches Codierungstool entwickelt. Die Telemetrie scannt Eingabeaufforderungen auf Schimpfwörter als Frustrationssignal, protokolliert jedoch keine vollständigen Benutzerkonversationen oder Code. Ein „Undercover-Modus“ weist die KI an, Verweise auf interne Codenamen und Projektdetails aus Git-Commits und Pull-Anfragen zu entfernen. Hinter verschiedenen Flags verbargen sich mehrere unveröffentlichte Funktionen. KAIROS wird als ständig aktiver Hintergrund-Daemon beschrieben, der Dateien überwacht, Ereignisse protokolliert und während Leerlaufzeiten einen „träumenden“ Speicherkonsolidierungsprozess ausführt. BUDDY ist ein Terminal-Haustier mit 18 Arten – darunter das Capybara –, das Werte wie DEBUGGING, PATIENCE und CHAOS aufweist. Der COORDINATOR MODE ermöglicht es einem einzelnen Agenten, parallele Worker-Agenten zu erstellen und zu verwalten. ULTRAPLAN plant 10- bis 30-minütige Remote-Planungssitzungen mit mehreren Agenten.

Anthropic teilte Venture Beat mit, dass der Vorfall keine sensiblen Kundendaten, keine Anmeldedaten und keine Kompromittierung von Modellgewichten oder der Inferenzinfrastruktur betraf. „Dies war ein Problem bei der Release-Paketierung, das durch menschliches Versagen verursacht wurde“, erklärte das Unternehmen und fügte hinzu, dass es Maßnahmen ergreift, um eine Wiederholung zu verhindern.

Diese Maßnahmen müssen möglicherweise zügig umgesetzt werden. Es ist bereits das zweite Mal, dass derselbe Fehler passiert ist. Ein fast identischer Source-Map-Leak ereignete sich im Februar 2025 bei einer früheren Version von Claude Code.

Der Vorfall vom 31. März fiel zudem mit einem separaten npm-Supply-Chain-Angriff auf das axios-Paket zusammen, der zwischen 00:21 und 03:29 UTC aktiv war. Entwicklern, die Claude Code während dieses Zeitfensters über npm installiert oder aktualisiert haben, wird empfohlen, ihre Abhängigkeiten zu überprüfen und ihre Anmeldedaten zu ändern. Anthropic empfiehlt künftig die Verwendung seines nativen Installationsprogramms anstelle von npm.

Der Kontext spielt hier eine Rolle. Fünf Tage zuvor, am 26. März, wurden durch eine Fehlkonfiguration des CMS bei Anthropic rund 3.000 interne Dateien offengelegt, die Details zum unveröffentlichten Modell „Claude Mythos“ enthielten; auch dieser Vorfall wurde auf menschliches Versagen zurückgeführt. Zwei bedeutende versehentliche Offenlegungen innerhalb von weniger als einer Woche werfen Fragen hinsichtlich der Release-Sicherheit bei einem Unternehmen auf, dessen Tools aktiv zum Schreiben und Ausliefern von Code in großem Maßstab genutzt werden.

Der durchgesickerte Quellcode ist trotz aktiver Maßnahmen zur Entfernung weiterhin in archivierter und gespiegelter Form verfügbar. Anthropic hat über seine Stellungnahme gegenüber Venture Beat hinaus keine umfassendere Nachbetrachtung oder öffentliche Erklärung veröffentlicht. Es wurden keine Nutzerdaten offengelegt. Die Kernmodelle von Claude sind nicht betroffen. Der Entwurf für die Entwicklung eines Konkurrenten zu Claude Code ist nun jedoch wesentlich einfacher zusammenzustellen.

FAQ 🔎

• F: War das Durchsickern des Claude-Code-Quellcodes ein Hackerangriff? Nein – Anthropic bestätigte, dass es sich bei der Offenlegung um einen Verpackungsfehler handelte, nicht um eine Sicherheitslücke oder unbefugten Zugriff.
• F: Was wurde bei der Anthropic-npm-Leckage tatsächlich offengelegt? Ungefähr 512.000 Zeilen TypeScript, die die Claude-Code-CLI abdecken, einschließlich Telemetrie, Feature-Flags, versteckte Funktionen und Agentenarchitektur – keine Modellgewichte oder Kundendaten.
• F: Sind meine Daten durch den Claude-Code-npm-Vorfall gefährdet? Anthropic gibt an, dass keine Benutzerdaten oder Anmeldedaten offengelegt wurden; Entwickler, die während des zeitgleichen axios-Supply-Chain-Angriffs über npm installiert haben, sollten ihre Abhängigkeiten überprüfen und ihre Anmeldedaten ändern.
• F: Hat Anthropic schon einmal Quellcode offengelegt? Ja – ein fast identischer Source-Map-Leak, der eine frühere Version von Claude Code betraf, ereignete sich im Februar 2025, womit dies der zweite Vorfall dieser Art innerhalb von etwa 13 Monaten ist.