Läckage av källkod från Anthropic 2026: Claude-koden för CLI avslöjad på grund av ett fel i npm:s källkartor

Claude Code npm-läcka avslöjar icke-släppta funktioner, inklusive KAIROS, BUDDY och Agent Swarms

Företaget bekräftade incidenten den 31 mars 2026 i ett samtal med Venture Beat och hänvisade till mänskliga fel i paketeringsprocessen. Version 2.1.88 av @anthropic-ai/claude-code levererades med en 59,8 MB stor Javascript-källkodsfil. I grund och botten en felsökningsartefakt som mappade minifierad produktionskod tillbaka till den ursprungliga Typescript-koden, vilket pekade direkt på ett offentligt tillgängligt zip-arkiv som låg i Anthropics egen Cloudflare R2-lagringsbucket.

Ingen behövde hacka någonting. Filen fanns bara där.

Säkerhetsforskaren Chaofan Shou, praktikant på blockkedjesäkerhetsföretaget Fuzzland, upptäckte problemet och publicerade den direkta länken till lagringsutrymmet på X. Inom några timmar dök speglade repositorier upp på Github, varav vissa samlade tiotusentals stjärnor innan Anthropics DMCA-nedtagningar hann slå till. Medlemmar i communityn hade redan börjat plocka ut telemetri, aktivera dolda funktionsflaggor och utarbeta renrumsimplementeringar i Python och Rust för att kringgå upphovsrättsliga problem.

Den grundläggande orsaken var enkel: Buns bundler genererar källkartor som standard, och inget byggsteg uteslöt eller inaktiverade felsökningsartefakten före publicering. En saknad post i .npmignore eller i fältet files i package.json skulle ha förhindrat hela grejen.

Det som utvecklarna fann inuti var detaljerat. De cirka 1 900 Typescript-filerna täckte verktygets exekveringslogik, behörighetsscheman, minnessystem, telemetri, systemprompter och funktionsflaggor – en fullständig teknisk översikt över hur Anthropic bygger ett agentbaserat kodningsverktyg av produktionsklass. Telemetrin skannar prompter efter svordomar som ett tecken på frustration, men loggar inte hela användarkonversationer eller kod. Ett ”undercover-läge” instruerar AI:n att ta bort referenser till interna kodnamn och projektdetaljer från git-commits och pull-förfrågningar.
Flera icke-släppta funktioner gömde sig bakom flaggor. KAIROS beskrivs som en alltid påslagen bakgrundsdaemon som övervakar filer, loggar händelser och kör en ”drömmande” minneskonsolideringsprocess under vilotid. BUDDY är ett terminalhusdjur med 18 arter – inklusive kapybara – som bär på statistik som DEBUGGING, PATIENCE och CHAOS. COORDINATOR MODE låter en enskild agent skapa och hantera parallella arbetsagenter. ULTRAPLAN schemalägger 10–30 minuter långa fjärrplaneringssessioner med flera agenter.

Anthropic berättade för Venture Beat att incidenten inte involverade känsliga kunddata, inga inloggningsuppgifter och ingen kompromettering av modellvikter eller inferensinfrastruktur. "Detta var ett problem med release-paketeringen orsakat av mänskligt fel", sade företaget och tillade att man inför åtgärder för att förhindra att det upprepas.

Dessa åtgärder kan behöva genomföras snabbt. Detta är andra gången samma misstag har inträffat. En nästan identisk läcka av källkartor inträffade med en tidigare version av Claude Code i februari 2025.

Incidenten den 31 mars inträffade samtidigt med en separat npm-attack mot axios-paketet, som pågick mellan 00:21 och 03:29 UTC. Utvecklare som installerade eller uppdaterade Claude Code via npm under det tidsfönstret uppmanas att granska sina beroenden och byta inloggningsuppgifter. Anthropic rekommenderar att man framöver använder deras egna installationsprogram istället för npm.

Sammanhanget är viktigt här. Fem dagar tidigare, den 26 mars, exponerade en felkonfiguration av CMS hos Anthropic ungefär 3 000 interna filer som innehöll detaljer om den ännu inte släppta modellen ”Claude Mythos”, vilket också tillskrevs mänskligt fel. Två betydande oavsiktliga avslöjanden på mindre än en vecka väcker frågor om säkerheten kring lanseringar hos ett företag vars verktyg aktivt används för att skriva och leverera kod i stor skala.

Den läckta källkoden är fortfarande tillgänglig i arkiverad och speglad form trots aktiva åtgärder för att ta bort den. Anthropic har inte publicerat någon mer omfattande efteranalys eller något offentligt uttalande utöver sin kommentar till Venture Beat.

Inga användardata har exponerats. De centrala Claude-modellerna är opåverkade. Blåkopian för att bygga en konkurrent till Claude Code är dock nu betydligt enklare att sätta ihop.

Vanliga frågor 🔎

• F: Var läckan av källkoden för Claude Code ett hack? Nej — Anthropic bekräftade att exponeringen var ett paketeringsfel, inte ett säkerhetsintrång eller obehörig åtkomst.
• F: Vad var det egentligen som exponerades i Anthropics npm-läcka? Cirka 512 000 rader TypeScript som täcker Claude Code CLI, inklusive telemetri, funktionsflaggor, dolda funktioner och agentarkitektur – inte modellvikter eller kunddata.
• F: Är mina data i fara på grund av npm-incidenten med Claude Code? Anthropic säger att inga användardata eller inloggningsuppgifter har exponerats; utvecklare som installerade via npm under den samtidiga axios-attacken mot leveranskedjan bör granska beroenden och byta ut inloggningsuppgifter.
• F: Har Anthropic läckt källkod tidigare? Ja – en nästan identisk läcka av källkartor som involverade en tidigare version av Claude Code inträffade i februari 2025, vilket gör detta till den andra incidenten av detta slag på ungefär 13 månader.