Startseite / Blog / Claude Code Leak: 512.000 Zeilen Quellcode offen im Netz — was wirklich passiert ist
Claude Code Leak: 512.000 Zeilen Quellcode offen im Netz — was wirklich passiert ist
KI & Gesellschaft

Claude Code Leak: 512.000 Zeilen Quellcode offen im Netz — was wirklich passiert ist

KI-Katalog.de KI-Katalog Team · 01. April 2026 · 161 Aufrufe

Transparenz-Hinweis: Wir haben diesen Artikel ursprünglich am 1. April 2026 unter dem Titel "KI-Fake-News erkennen" veröffentlicht und den zugrundeliegenden LinkedIn-Post als Aprilscherz eingestuft. Nach eingehender Recherche über mehrere unabhängige Quellen — darunter Heise, The Register, VentureBeat, BleepingComputer und eine offizielle Bestätigung von Anthropic — haben wir festgestellt: Der Kern der Geschichte ist real. Wir haben diesen Artikel daher vollständig überarbeitet und korrigiert. Transparenz geht vor Eitelkeit.

Was ist passiert?

Am 31. März 2026 entdeckte der Sicherheitsforscher Chaofan Shou, dass Anthropic den kompletten Quellcode seines KI-Coding-Tools Claude Code versehentlich öffentlich zugänglich gemacht hatte. Die Ursache: Eine 59,8 MB große Source-Map-Datei (cli.js.map) wurde mit Version 2.1.88 des npm-Pakets @anthropic-ai/claude-code ausgeliefert — eine Datei, die normalerweise nur für internes Debugging gedacht ist.

Innerhalb von Stunden wurde der Code auf GitHub gespiegelt, analysiert und diskutiert. Das Repository erreichte über 84.000 Stars und 82.000 Forks. Es handelt sich um rund 1.900 Dateien mit über 512.000 Zeilen TypeScript-Code — die komplette Architektur von Claude Code, offen für jeden.

Was steckt im geleakten Code?

Entwickler weltweit haben den Code analysiert und mehrere bemerkenswerte Entdeckungen gemacht:

Technische Architektur

    • Bun als JavaScript-Runtime (nicht Node.js)
    • React + Ink für die Terminal-Oberfläche — eine ungewöhnliche Wahl
    • Modulares Befehlssystem mit IDE-Schnittstellen
    • Detaillierte Mechanismen zur Berechtigungskontrolle
    • 44 Feature-Flags für noch nicht veröffentlichte Funktionen

    Versteckte Features: KAIROS und BUDDY

    Besonders viel Aufmerksamkeit erhielten zwei noch nicht aktivierte Features, die im Code gefunden wurden:

    KAIROS — ein sogenannter "persistenter Agent", der eigenständig handeln kann, ohne dass der Nutzer aktiv einen Befehl gibt. Laut Code-Analyse umfasst das System tägliche Protokollierung, eigenständige Aktionen basierend auf Beobachtungen und einen nächtlichen Konsolidierungsprozess. Das Feature ist ausschließlich über interne Feature-Flags erreichbar und war nie für die öffentliche Version aktiviert.

    BUDDY — ein virtuelles Begleitsystem mit 18 verschiedenen Arten (Ente, Drache, Axolotl, Capybara und mehr), Seltenheitsstufen von "Common" bis "Legendary" und fünf Statistiken pro Begleiter: Debugging, Geduld, Chaos, Weisheit und Snark. Laut interner Planung war der Launch für Mai 2026 vorgesehen.

    Weitere Entdeckungen

    • "Spinner Verbs" — die Phrasen, die Claude während der Arbeit anzeigt
    • Details darüber, wie Tonfall und Wortwahl des Nutzers das Verhalten beeinflussen
    • Interne Frustrations-Regex-Muster zur Erkennung von Nutzer-Emotionen

    Wie konnte das passieren?

    Die Ursache war menschliches Versehen in Kombination mit einem bekannten Bug: Der Bundler Bun generiert standardmäßig Source Maps, wenn man sie nicht explizit deaktiviert. Die .npmignore-Datei von Claude Code schloss die .map-Datei nicht aus. Als Version 2.1.88 auf npm veröffentlicht wurde, war die vollständige Source Map dabei.

    Erschwerend kommt hinzu: Ein Bun-Bug, der genau dieses Verhalten dokumentiert, war bereits 20 Tage vor dem Vorfall als offenes Issue gemeldet.

    Was sagt Anthropic?

    Anthropic bestätigte den Vorfall offiziell. Ein Sprecher erklärte:

    "Es waren keine sensiblen Kundendaten oder Zugangsdaten betroffen. Es handelte sich um ein Problem bei der Veröffentlichung der Software, das durch menschliches Versehen verursacht wurde — nicht um eine Sicherheitslücke."

    Die betroffene Paketversion wurde sofort aus der npm-Registry entfernt. Die DMCA-Takedown-Versuche kamen jedoch zu spät — der Code lebt in hunderten von Mirrors und Forks weiter.

    Zusätzliches Risiko: Axios Supply-Chain-Angriff

    Neben dem Quellcode-Leak wurde ein weiteres, möglicherweise gravierenderes Problem bekannt: Nutzer, die Claude Code am 31. März 2026 zwischen 00:21 und 03:29 UTC über npm installierten oder aktualisierten, könnten eine trojanisierte Version der Axios-Bibliothek erhalten haben — einen plattformübergreifenden Remote-Access-Trojaner. Dies ist ein unabhängiger Supply-Chain-Angriff, der zeitlich mit dem Leak zusammenfiel.

    Warum wir zunächst falsch lagen

    Als wir am 1. April erstmals von dieser Geschichte hörten, schien alles nach einem klassischen Aprilscherz zu klingen: runde Zahlen, dramatische Details, ein viraler LinkedIn-Post. Wir haben den Post analysiert und als Engagement-Bait eingestuft.

    Das war ein Fehler — und eine Lektion in eigener Sache:

    • Das Datum allein ist kein Beweis. Echte Vorfälle können auch am 1. April passieren.
    • Virale Posts können übertreiben und trotzdem einen wahren Kern haben. Der LinkedIn-Post dramatisierte Details (Praktikant statt Sicherheitsforscher, erfundene Uhrzeiten), aber der Leak selbst war real.
    • Schnelle Einordnung ist gut — vorschnelle Entwarnung ist gefährlich. Wir hätten tiefer recherchieren müssen, bevor wir das Urteil "Fake" fällten.

    Was bleibt: Die richtige Checkliste — erweitert

    Unsere ursprüngliche Checkliste zur Erkennung von Fake News bleibt grundsätzlich richtig — aber sie braucht einen wichtigen Zusatz:

    1. Wer berichtet? — Gibt es Links zu seriösen Medien?
    2. Ist es technisch plausibel? — Frag Experten oder recherchiere selbst.
    3. Welches Datum ist heute? — Aber: Auch am 1. April passieren echte Dinge.
    4. Gibt es eine offizielle Stellungnahme? — Anthropic hat den Vorfall bestätigt.
    5. Welches Gefühl soll der Post auslösen? — Emotionale Posts können trotzdem einen wahren Kern haben.
    6. NEU: Warte 24-48 Stunden. — Wenn eine Geschichte echt ist, werden seriöse Medien innerhalb von ein bis zwei Tagen berichten. Wenn nach 48 Stunden nur Social-Media-Posts existieren, ist Skepsis angebracht. Wenn Heise, The Register und VentureBeat berichten, ist es real.

    Fazit

    Der Claude Code Leak ist ein realer Vorfall mit weitreichenden Implikationen — für die Open-Source-Community, für die Diskussion über KI-Transparenz und für die Frage, wie Unternehmen mit unbeabsichtigter Offenlegung umgehen. Dass der Quellcode eines der wichtigsten KI-Coding-Tools offen im Netz liegt, verändert die Spielregeln.

    Und ja: Wir lagen falsch. Aber lieber eine transparente Korrektur als eine stille Löschung. So sollte Journalismus funktionieren — auch im KI-Zeitalter.

    "Die Bereitschaft, eine eigene Einschätzung öffentlich zu korrigieren, ist kein Zeichen von Schwäche — sondern von Integrität."

    Quellen:

🏷️ Tags: Claude Code Anthropic Leak Source Map npm Open Source KAIROS Sicherheit DSGVO

🤖 Passende KI-Tools zum Artikel

Diese KI-Tools sind thematisch relevant zu diesem Beitrag:

Claude

Anthropics KI mit 1M Token Context und überlegener Coding-Qualität

★ 5,0/5 · Freemium

HeyGen

4.8/5 - AI Avatars in 175 Sprachen

★ 5,0/5 · Paid

Fireflies

116 Sprachen! - Besser als Otter

★ 5,0/5 · Freemium

Luma Dream Machine

Cinematische KI-Videogenerierung auf Hollywood-Niveau von Luma AI

★ 5,0/5 · Freemium

Claude Pro

Anthropics leistungsstärkstes KI-Modell mit erweitertem Kontextfenster

★ 5,0/5 · Paid

Ahrefs AI

Premium-SEO-Plattform mit KI-Content-Tools, Backlink-Analyse und AI-Brand-Monitoring

★ 5,0/5 · Paid
Alle KI-Tools im Katalog entdecken →
← Zurück zum Blog