Anthropic-Quellcode-Leak 2026: Claude Code CLI über einen npm-Source-Map-Fehler offengelegt

Anthropic hat versehentlich den vollständigen Quellcode seines Claude-Code-CLI in einem öffentlichen npm-Paket ausgeliefert und damit ungefähr 512.000 Zeilen Typescript für jeden zugänglich gemacht, der darauf achtet.

Claude-Code-npm-Leck enthüllt unveröffentlichte Features einschließlich KAIROS, BUDDY und Agent-Schwärmen

Das Unternehmen bestätigte den Vorfall am 31. März 2026 und sprach dabei mit Venture Beat. Als Ursache nannte es einen menschlichen Fehler im Veröffentlichungs- und Verpackungsprozess. Version 2.1.88 von @anthropic-ai/claude-code wurde mit einer 59,8 MB großen Javascript-Source-Map-Datei ausgeliefert. Im Grunde ein Debugging-Artefakt, das den minifizierten Produktionscode wieder dem ursprünglichen Typescript zuordnete. Das zeigte direkt auf ein öffentlich zugängliches Zip-Archiv, das auf dem eigenen Cloudflare R2-Storage-Bucket von Anthropic liegt.

Man musste nichts hacken. Die Datei war einfach da.

Der Sicherheitsforscher Chaofan Shou, ein Praktikant bei der Blockchain-Sicherheitsfirma Fuzzland, entdeckte das Problem und postete den direkten Bucket-Link auf X. Innerhalb weniger Stunden tauchten gespiegelt Repositories auf Github auf, einige mit Zehntausenden von Sternen, bevor die DMCA-Löschungen von Anthropic griffen. Community-Mitglieder hatten bereits begonnen, Telemetrie zu entfernen, versteckte Feature-Flags umzuschalten und Clean-Room-Neuimplementierungen in Python und Rust auszuarbeiten, um Urheberrechtsbedenken zu umgehen.

Die Ursache war unkompliziert: Bundlers von Bun erzeugen standardmäßig Source Maps, und kein Build-Schritt schloss das Debug-Artefakt aus oder deaktivierte es, bevor es veröffentlicht wurde. Ein fehlender Eintrag in .npmignore oder das files-Feld in package.json hätte die ganze Sache verhindert.

Was Entwickler darin fanden, war detailliert. Die ~1.900 Typescript-Dateien deckten Logik zur Tool-Ausführung, Berechtigungsschemata, Speichersysteme, Telemetrie, System-Prompts und Feature-Flags ab — ein vollständiger Engineering-Überblick darüber, wie Anthropic ein agentisches Coding-Tool in Produktionsqualität aufbaut. Telemetrie durchsucht Prompts nach Kraftausdrücken als Frustrationssignal, protokolliert aber keine vollständigen Nutzerunterhaltungen oder Code. Ein „Undercover Mode“ weist die KI an, Verweise auf interne Codenamen und Projektdetails aus Git-Commits und Pull Requests zu entfernen.

Mehrere unveröffentlichte Features lagen hinter Flags. KAIROS wird als ein dauerhaft aktiver Hintergrund-Daemon beschrieben, der Dateien beobachtet, Ereignisse protokolliert und während Leerlaufzeiten einen „Dreaming“-Prozess zur Speicher-Konsolidierung ausführt. BUDDY ist ein Terminal-Haustier mit 18 Spezies — einschließlich Springmaus (?) — und trägt Werte wie DEBUGGING, PATIENCE und CHAOS. KOORDINATOR-MODUS ermöglicht es, dass eine einzelne Agenteninstanz parallele Worker-Agenten erzeugt und verwaltet. ULTRAPLAN plant Remote-Multiagenten-Sitzungen im Bereich von 10 bis 30 Minuten.

Anthropic teilte Venture Beat mit, dass der Vorfall keine sensiblen Kundendaten betraf, keine Zugangsdaten und keine Kompromittierung von Modell-Gewichten oder der Inferenz-Infrastruktur. „Das war ein Problem beim Release-Packaging, verursacht durch menschlichen Fehler“, sagte das Unternehmen und fügte hinzu, dass man Maßnahmen ausrollt, um eine Wiederholung zu verhindern.

Diese Maßnahmen müssen möglicherweise schnell umgesetzt werden. Dies ist das zweite Mal, dass derselbe Fehler passiert ist. Ein nahezu identisches Source-Map-Leck trat bereits mit einer früheren Version von Claude Code im Februar 2025 auf.

Der Vorfall vom 31. März fiel zudem zusammen mit einem separaten Angriff auf die npm-Supply-Chain im axios-Paket, der zwischen 00:21 und 03:29 UTC aktiv war. Entwicklern, die in diesem Zeitraum Claude Code über npm installiert oder aktualisiert haben, wird empfohlen, ihre Abhängigkeiten zu prüfen und Zugangsdaten zu rotieren. Anthropic empfiehlt, künftig den nativen Installer statt npm zu verwenden.

Hier ist Kontext wichtig. Fünf Tage zuvor, am 26. März, führte eine Fehlkonfiguration in einem CMS bei Anthropic dazu, dass ungefähr 3.000 interne Dateien offengelegt wurden, die Details zum unveröffentlichten „Claude Mythos“-Modell abdeckten — ebenfalls auf menschlichen Fehler zurückgeführt. Zwei bedeutende unbeabsichtigte Offenlegungen in weniger als einer Woche wirft Fragen zur Release-Hygiene in einem Unternehmen auf, dessen Tools aktiv genutzt werden, um Code in großem Maßstab zu schreiben und auszuliefern.

Der geleakte Quellcode bleibt trotz aktiver Durchsetzung von Löschanfragen in archivierten und gespiegelten Formen verfügbar. Anthropic hat keinen umfassenderen Post-Mortem-Report oder eine öffentliche Stellungnahme veröffentlicht, außer seinem Kommentar an Venture Beat.

Es wurden keine Nutzerdaten offengelegt. Die Kern-Claude-Modelle sind nicht betroffen. Der Bauplan, um einen Konkurrenten zu Claude Code zu erstellen, ist jedoch jetzt deutlich leichter zusammenzustellen.

FAQ 🔎

• F: War der Leak des Claude-Code-Quellcodes ein Hack? Nein — Anthropic bestätigte, dass die Offenlegung ein Verpackungsfehler war, keine Sicherheitslücke oder ein unbefugter Zugriff.
• F: Was wurde im Anthropic-npm-Leak tatsächlich offengelegt? Ungefähr 512.000 Zeilen TypeScript, die die Claude-Code-CLI abdecken, einschließlich Telemetrie, Feature-Flags, versteckter Features und Agentenarchitektur — nicht Modell-Gewichte oder Kundendaten.
• F: Ist meine Daten gefährdet durch den Claude-Code-npm-Vorfall? Anthropic sagt nein: Es wurden keine Nutzerdaten oder Zugangsdaten offengelegt; Entwickler, die während des parallelen axios-Supply-Chain-Angriffsfensters über npm installiert haben, sollten Abhängigkeiten prüfen und Zugangsdaten rotieren.
• F: Hat Anthropic schon einmal Quellcode geleakt? Ja — ein nahezu identisches Source-Map-Leck mit einer früheren Claude-Code-Version trat im Februar 2025 auf, was diesen zum zweiten solchen Vorfall in etwa 13 Monaten macht.