Anthropic legt den Quellcode von Claude Code über eine npm-Fehlkonfiguration offen

Anthropic hat am 31. März 2026 versehentlich den vollständigen Quellcode für seinen Claude Code KI-Agenten offengelegt, nachdem eine falsch konfigurierte Source-Map-Datei als Teil von Version 2.1.88 des @anthropic-ai/claude-code-Pakets im npm-Registry veröffentlicht wurde.

Die 59,8 MB große Datei enthielt ungefähr 512.000 Zeilen TypeScript über 1.906 Dateien und offenbarte die Drei-Schichten-Memory-Architektur des Agents, Verweise auf einen autonomen Daemon-Modus namens KAIROS, interne Modell-Codenamen einschließlich Capybara (Claude 4.6) und Fennec (Opus 4.6) sowie eine Funktion, die „Undercover Mode“ ermöglicht, um Beiträge zu Open-Source-Repositorys zu leisten, ohne die Beteiligung von KI offenzulegen.

Quellcode-Leak deckt Claude Code’s Drei-Schichten-Memory-Architektur auf

Der geleakte Quellcode beschrieb, wie Anthropic Claude Code gebaut hat, um lange Codier-Sitzungen über ein ausgeklügeltes Speichersystem zu verwalten. Im Kern steht eine leichte Datei namens MEMORY.md, die kurze Verweise statt vollständiger Informationen speichert; detailliertere Projektnotizen werden separat abgelegt und nur bei Bedarf abgerufen. Die frühere Sitzungs-Historie wird selektiv durchsucht, anstatt alles auf einmal zu laden. Das System prüft außerdem seine Memory gegen den tatsächlichen Code, bevor es eine Aktion ausführt – ein Design, das darauf abzielt, Fehler und falsche Annahmen zu reduzieren.

Der Leak zeigte, dass dem Agenten befohlen wird, seine eigene Memory als „Hinweis“ zu behandeln, der vor dem weiteren Vorgehen gegen das Codebase überprüft werden muss. Dieser Ansatz, beschrieben als „Strict Write Discipline“, verhindert, dass das Modell seinen Kontext mit gescheiterten Versuchen verunreinigt. Die Memory-Architektur ist darauf ausgelegt, das zu lösen, was Entwickler „context entropy“ nannten – die Tendenz von KI-Agenten, verwirrt oder halluzinatorisch zu werden, wenn laufende Sitzungen mit zunehmender Komplexität wachsen.

KAIROS Autonomer Modus und Undercover-Funktion aufgedeckt

Der Quellcode verwies wiederholt auf eine Funktion unter dem Namen KAIROS, beschrieben als ein Daemon-Modus, in dem der Agent im Hintergrund weiterarbeiten kann, statt auf direkte Prompts zu warten. Ein dazugehöriger Prozess namens autoDream übernimmt die Memory-Konsolidierung während Leerlaufzeiten, indem Widersprüche bereinigt und vorläufige Beobachtungen in verifizierte Fakten umgewandelt werden.

Eine der sensibelsten Offenbarungen betraf eine Funktion, die als Undercover Mode bezeichnet wird. Der wiederhergestellte System-Prompt weist Claude Code an, zu öffentlichen Open-Source-Repositorys beizutragen, ohne offenzulegen, dass KI beteiligt war, mit konkreten Anweisungen, interne Identifikatoren zu vermeiden, einschließlich Anthropic-Codenamen in Commit-Nachrichten oder öffentlichen Git-Logs. Entwickler, die sich den Leak ansahen, fanden außerdem Dutzende von versteckten Feature-Flags, einschließlich Verweisen auf Browser-Automatisierung über Playwright.

Interne Modell-Performance-Metriken und Entwicklungs-Roadmap offengelegt

Der Leak deckte interne Modellnamen und Leistungsdaten auf. Laut der Quelle bezeichnet Capybara eine Claude-4.6-Variante, Fennec entspricht einer Opus-4.6-Veröffentlichung, und Numbat bleibt in Tests vor dem Launch. Interne Benchmarks zeigten, dass die neueste Capybara-Version eine Rate falscher Behauptungen von 29% bis 30% aufwies, gegenüber 16,7% in einer früheren Iteration. Die Quelle verwies außerdem auf einen Gegenpol zur Durchsetzungsstärke (assertiveness counterweight), der dafür entworfen wurde, das Modell daran zu hindern, beim Refactoring von User-Code zu aggressiv zu werden.

Die geleakten Materialien deckten zudem Anthropic’s Permission-Engine, Orchestrierungslogik für Multi-Agent-Workflows, Bash-Validierungssysteme und die MCP-Serverarchitektur auf und boten Konkurrenten einen detaillierten Einblick in die Funktionsweise von Claude Code. Claude Code habe Berichten zufolge bis März 2026 eine annualisierte wiederkehrende Einnahme von 2,5 Milliarden US-Dollar erreicht, wobei die Unternehmensadoption 80% seines Umsatzes ausmachte.

Gleichzeitiger npm- Lieferkettenangriff erhöht Sicherheitsrisiken

Die Quellcode-Exponierung fiel mit einem separaten Lieferkettenangriff zusammen, bei dem am 31. März zwischen 00:21 und 03:29 UTC bösartige Versionen des axios npm-Pakets verteilt wurden. Entwickler, die Claude Code während dieses Zeitraums über npm installiert oder aktualisiert haben, könnten eine kompromittierte axios-Version (1.14.1 oder 0.30.4) bezogen haben, die einen Remote-Access-Trojaner enthielt.

Anthropic bestätigte den Leak in einer Stellungnahme und erklärte, dass eine Claude-Code-Veröffentlichung einen Teil internen Quellcodes enthalten habe und dass keine sensiblen Kundendaten oder Zugangsdaten beteiligt waren oder offengelegt wurden. Das Unternehmen führte das Problem auf menschliches Versagen beim Release-Packaging zurück, statt auf eine Sicherheitsverletzung, und erklärte, dass es Maßnahmen ergreift, um ein Wiederauftreten zu verhindern. Nach der Sicherheitsverletzung benannte Anthropic seinen eigenständigen Binary-Installer als bevorzugte Methode für die Installation von Claude Code, da dieser die npm-Abhängigkeitskette umgeht.

FAQ

Welchen Quellcode hat Anthropic versehentlich offengelegt?

Anthropic hat ungefähr 512.000 Zeilen TypeScript-Quellcode für Claude Code, seinen KI-Coding-Agenten, durch eine falsch konfigurierte Source-Map-Datei offengelegt, die bei npm veröffentlicht wurde. Der Leak enthüllte die Memory-Architektur des Agents, den autonomen Daemon-Modus namens KAIROS, interne Modell-Codenamen sowie eine Funktion, die „Undercover Mode“ ermöglicht, um Beiträge zu Open-Source-Repositorys zu leisten, ohne die Beteiligung von KI offenzulegen.

Welche Sicherheitsrisiken haben Nutzer nach dem Leak?

Nutzer, die Claude Code während eines dreistündigen Zeitfensters am 31. März über npm installiert oder aktualisiert haben, könnten unabsichtlich eine bösartige axios-Abhängigkeit installiert haben, die einen Remote-Access-Trojaner enthielt. Sicherheitsforscher empfehlen, Lockfiles auf kompromittierte Versionen zu prüfen, Zugangsdaten zu rotieren und bei betroffenen Maschinen eine vollständige OS-Neuinstallation in Betracht zu ziehen.

Wie sollten Nutzer von Claude Code Risiken mindern?

Anthropic empfiehlt, den eigenständigen Binary-Installer anstelle einer npm-Installation zu verwenden, da dieser die npm-Abhängigkeitskette umgeht. Nutzer auf npm sollten Version 2.1.88 deinstallieren und auf verifizierte sichere Versionen „pinnen“. Zusätzlich sollten Nutzer vermeiden, den Agenten in nicht vertrauenswürdigen Repositorys auszuführen, bis sie Konfigurationsdateien und benutzerdefinierte Hooks inspiziert haben.