Lek in de broncode van Anthropic in 2026: de CLI-code van Claude kwam aan het licht door een fout in de npm-sourcemap

Claude Code npm-lek onthult nog niet uitgebrachte functies, waaronder KAIROS, BUDDY en Agent Swarms

Het bedrijf bevestigde het incident op 31 maart 2026 in een gesprek met Venture Beat en schreef het toe aan een menselijke fout in het release-verpakkingsproces. Versie 2.1.88 van @anthropic-ai/claude-code werd geleverd met een 59,8 MB groot JavaScript-bronkaartbestand. In feite een debugging-artefact dat geminimaliseerde productiecode terugkoppelde naar de originele Typescript, wat direct wees naar een openbaar toegankelijk zip-archief dat zich bevond in Anthropic's eigen Cloudflare R2-opslagbucket.

Niemand hoefde iets te hacken. Het bestand stond er gewoon.

Beveiligingsonderzoeker Chaofan Shou, stagiair bij blockchain-beveiligingsbedrijf Fuzzland, ontdekte het probleem en plaatste de directe link naar de opslagbucket op X. Binnen enkele uren verschenen er gespiegelde repositories op GitHub, waarvan sommige tienduizenden sterren verzamelden voordat de DMCA-verwijderingsverzoeken van Anthropic binnenkwamen. Leden van de community waren al begonnen met het strippen van telemetrie, het omzetten van verborgen feature flags en het opstellen van clean-room-herimplementaties in Python en Rust om auteursrechtelijke bezwaren te omzeilen.

De hoofdoorzaak was eenvoudig: de bundler van Bun genereert standaard source maps, en geen enkele buildstap sloot het debug-artefact uit of schakelde het uit vóór publicatie. Een ontbrekende vermelding in .npmignore of het fields-veld in package.json zou dit alles hebben voorkomen.

Wat ontwikkelaars binnenin aantroffen, was gedetailleerd. De ~1.900 Typescript-bestanden omvatten uitvoeringslogica van tools, machtigingsschema's, geheugensystemen, telemetrie, systeemprompts en feature flags — een volledig technisch overzicht van hoe Anthropic een agentische codeertool van productiekwaliteit bouwt. Telemetrie scant prompts op grof taalgebruik als een signaal van frustratie, maar registreert geen volledige gebruikersgesprekken of code. Een "undercover-modus" instrueert de AI om verwijzingen naar interne codenamen en projectdetails te verwijderen uit git-commits en pull-verzoeken.

Achter vlaggen gingen verschillende nog niet uitgebrachte functies schuil. KAIROS wordt beschreven als een altijd actieve achtergronddaemon die bestanden in de gaten houdt, gebeurtenissen logt en tijdens inactieve tijd een "dromend" geheugenconsolidatieproces uitvoert. BUDDY is een terminalhuisdier met 18 soorten — waaronder de capibara — met statistieken zoals DEBUGGING, PATIENCE en CHAOS. COORDINATOR MODE laat een enkele agent parallelle werkagenten genereren en beheren. ULTRAPLAN plant 10- tot 30-minuten durende planning-sessies op afstand met meerdere agenten.

Anthropic vertelde Venture Beat dat het incident geen gevoelige klantgegevens, geen inloggegevens en geen compromittering van modelgewichten of inferentie-infrastructuur betrof. "Dit was een probleem met de release-pakketten, veroorzaakt door menselijke fouten", aldus het bedrijf, dat eraan toevoegde dat het maatregelen neemt om herhaling te voorkomen.

Die maatregelen moeten wellicht snel worden doorgevoerd. Dit is de tweede keer dat dezelfde fout is gemaakt. Een vrijwel identiek lek in de source-map deed zich voor bij een eerdere versie van Claude Code in februari 2025.

Het incident van 31 maart vond ook plaats naast een afzonderlijke npm-aanval op de axios-pakketketen, die actief was tussen 00:21 en 03:29 UTC. Ontwikkelaars die Claude Code tijdens dat tijdsbestek via npm hebben geïnstalleerd of bijgewerkt, wordt aangeraden hun afhankelijkheden te controleren en inloggegevens te wijzigen. Anthropic raadt aan om voortaan de eigen installatieprogramma te gebruiken in plaats van npm.

De context is hier van belang. Vijf dagen eerder, op 26 maart, legde een verkeerde configuratie van het CMS bij Anthropic ongeveer 3.000 interne bestanden bloot met details over het nog niet uitgebrachte "Claude Mythos"-model, wat ook werd toegeschreven aan menselijke fouten. Twee belangrijke onbedoelde onthullingen in minder dan een week roepen vragen op over de release-hygiëne bij een bedrijf waarvan de tools actief worden gebruikt om op grote schaal code te schrijven en te verzenden.

De gelekte broncode blijft beschikbaar in gearchiveerde en gespiegelde vorm, ondanks actieve maatregelen om deze te verwijderen. Anthropic heeft geen uitgebreidere analyse of openbare verklaring gepubliceerd, afgezien van zijn reactie aan Venture Beat.

Er zijn geen gebruikersgegevens blootgesteld. De kernmodellen van Claude zijn niet aangetast. Het is nu echter aanzienlijk eenvoudiger om een concurrent voor Claude Code te bouwen.

Veelgestelde vragen 🔎

• V: Was het lek van de Claude Code-broncode een hack? Nee — Anthropic heeft bevestigd dat de blootstelling het gevolg was van een verpakkingsfout, niet van een beveiligingslek of ongeoorloofde toegang.
• V: Wat is er daadwerkelijk blootgesteld in het Anthropic npm-lek? Ongeveer 512.000 regels TypeScript met betrekking tot de Claude Code CLI, inclusief telemetrie, feature flags, verborgen functies en agentarchitectuur — geen modelgewichten of klantgegevens.
• V: Lopen mijn gegevens gevaar door het Claude Code npm-incident? Anthropic zegt dat er geen gebruikersgegevens of inloggegevens zijn blootgesteld; ontwikkelaars die via npm hebben geïnstalleerd tijdens de gelijktijdige axios-aanval op de supply chain, moeten hun afhankelijkheden controleren en hun inloggegevens vernieuwen.
• V: Heeft Anthropic eerder broncode gelekt? Ja — in februari 2025 vond een vrijwel identiek source-map-lek plaats met betrekking tot een eerdere versie van Claude Code, waardoor dit het tweede dergelijke incident in ongeveer 13 maanden is.