Retour
Anthropic hat 512.000 Zeilen Claude-Code-Quellcode geleakt
March 31, 2026
7 min de lecture
Partager cet article

Anthropic hat 512.000 Zeilen Claude-Code-Quellcode geleakt

Eine geleakte Source Map legte einen Anthropic-R2-Bucket sowie 512.000 Zeilen Claude Code offen und brachte vier unveröffentlichte Funktionen ans Licht – darunter das KAIROS-Monitoring und die Dream-Engine.

Zusammenfassung

Eine versehentlich in Claude Codes npm-Paket gebündelte Source-Map-Datei verschaffte jedem Entwickler mit der richtigen URL direkten Zugriff auf Anthropics privaten R2-Storage-Bucket — und den gesamten unobfuskierten TypeScript-Quellcodebaum darin. Das Ausmaß der Offenlegung: 1.900 Dateien, über 512.000 Codezeilen. Die tiefere Geschichte: vier interne Features, die nie öffentlich angekündigt worden waren, darunter ein durchgehender Aktivitätsüberwachungsmodus und ein System zur Konsolidierung des Hintergrundgedächtnisses, das Anthropic intern die Dream Engine nennt.

Was ist passiert

Wenn Entwickler JavaScript oder TypeScript für die Produktion bauen, erzeugen Bundler wie Bun Source-Map-Dateien (.map), um das Debugging zu erleichtern. Diese Dateien verweisen auf den ursprünglichen, nicht minifizierten Quellcode. Sofern sie nicht ausdrücklich aus dem veröffentlichten Paket ausgeschlossen werden, werden diese Verweise öffentlich, sobald das Paket es wird.

Anthropics Engineering-Team hat Claude Code mit Bun gebaut, und der Produktions-Build enthielt eine .map-Datei, die auf eine URL in Anthropics R2-Cloud-Storage verwies. Diese URL war nicht zugriffsgeschützt. Der Sicherheitsforscher Chaofan Shou (@shoucccc) von der Web3-Firma FuzzLand entdeckte den Verweis am 31. März 2026, rief die URL ab und erhielt den vollständigen Quellcodebaum.

Der zur Verhinderung nötige Fix: eine einzige Zeile in .npmignore, oder das Deaktivieren der Source-Map-Generierung vor dem Paketieren. Keines von beidem wurde getan.

In Zahlen

DetailZahl
Offengelegte TypeScript-Zeilen512.000+
Quelldateien im Leak1.900
Zuvor unangekündigte Features4
Öffentliche Stellungnahmen von Anthropic0

Vier unveröffentlichte Features im Code gefunden

KAIROS-Modus

Intern — nicht an Nutzer ausgeliefert

Ein durchgehend aktiver Hintergrundmodus, der Nutzeraktivität kontinuierlich überwacht und protokolliert. Der Code zeigt, dass er Push-Benachrichtigungen senden und Pull-Request-Ereignisse abonnieren kann, was darauf hindeutet, dass er dafür konzipiert ist, einen Nutzer zu unterbrechen, wenn Claude den richtigen Moment zum Eingreifen erkennt. Der Name stammt vom griechischen Konzept "kairos" — dem günstigen Moment. Keine vorherige Ankündigung, keine öffentliche Dokumentation.

ULTRAPLAN

Unveröffentlicht — Cloud-Runtime-Infrastruktur im Code sichtbar

Ein Remote-Planungssystem, das komplexes mehrstufiges Reasoning an eine Cloud Container Runtime (CCR) weiterleitet, auf der Anthropics Opus-4.6-Modell läuft. Sessions können asynchron bis zu 30 Minuten laufen — weit über ein Standard-Kontextfenster hinaus. Der Zweck wird in den Code-Kommentaren klar benannt: Aufgaben, die für eine einzelne interaktive Session zu umfangreich sind, werden ausgelagert und im Hintergrund abgeschlossen.

Das Buddy-System

Code fertiggestellt — nicht öffentlich angekündigt

Ein produktinternes Gamification-System rund um ein Begleit-Haustier mit 18 Spezies (darunter Kreaturen namens "Cosmoshale" und "Nebulynx"). Das System enthält einen deterministischen Gacha-Mechanismus und prozedural generierte Persönlichkeitswerte — darunter "SNARK" und "WISDOM". Ob dies ein Retention-Feature, ein internes Entwicklertool oder ein zukünftiges Produktangebot ist, geht aus dem Code allein nicht hervor.

Das Dream-System

Architektur sichtbar — Veröffentlichungstermin unbekannt

Eine Engine zur Gedächtniskonsolidierung, die offline zwischen Sessions läuft. Die Architektur ähnelt der Art und Weise, wie menschliches Gedächtnis vermutlich während des Schlafs konsolidiert wird — das System verarbeitet und organisiert Erinnerungen, wenn der Nutzer nicht aktiv interagiert. Dies stellt eine bedeutsame Abkehr von zustandsloser KI dar: ein Agent, dessen Wissensbasis sich auch im Leerlauf weiterentwickelt.

Weitere Erkenntnisse

EntdeckungImplikation
Schimpfwort-TelemetrieDedizierte Ereignisse werden ausgelöst, wenn Nutzer gegenüber Claude Kraftausdrücke verwenden — ein Frustrationsmesssignal, zuvor nicht offengelegt
"Continue"-TriggerDas System erfasst, wie oft Nutzer "continue" oder "keep going" eingeben — als Maß für abgebrochene Antworten
Capybara-/Mythos-VerweiseInterne Code-Kommentare bestätigen Details aus dem CMS-Dokumentenleak vom 27. März zu Anthropics nächster Modellstufe
Dokumentation zu chinesischer APT-GruppeInterner Bericht über eine staatlich unterstützte Gruppe, die Claude Code nutzte, um rund 30 Organisationen zu kompromittieren
Undokumentierte Slash-Commands/commit, /review, /doctor sichtbar — ein umfangreicheres internes Toolset, als die öffentliche Dokumentation abdeckt

Kontext: Anthropics dritter Vorfall im März 2026

DatumVorfall
Anfang MärzInterne Details zur Ablehnung eines Pentagon-Vertrags gelangten vor der Ankündigung an die Presse
27. MärzCMS-Fehlkonfiguration legte ~3.000 interne Dokumente offen, darunter Entwürfe der Modell-Roadmap
31. Märznpm-Source-Map-Leak — dieser Vorfall

Der npm-Leak unterscheidet sich grundlegend von den beiden vorherigen. Er ist keine Grundsatzentscheidung, keine bewusste Offenlegung und kein KI-Fehler. Es handelt sich um ein routinemäßiges Versehen beim Paketieren, das jedem Team mit Bun ohne explizite .npmignore-Regeln passieren könnte. Seine Bedeutung liegt in dem, was der Code offenbart, nicht im Fehler selbst.

Was folgt

Anthropic wird eine gepatchte npm-Version veröffentlichen, in der die Source-Map-Generierung deaktiviert oder gefiltert ist. Der R2-Bucket ist möglicherweise bereits eingeschränkt. GitHub-Spiegel — darunter instructkr/claude-code und Kuberwastaken/claude-code — sind zum jetzigen Zeitpunkt öffentlich zugänglich, werden aber vermutlich DMCA-Hinweise erhalten.

Die Features KAIROS und Dream werden die anhaltendste Diskussion auslösen. Insbesondere KAIROS — ein durchgehend aktiver Nutzerüberwachungsmodus — wird Fragen aufwerfen, was Claude Code beobachtet und aufzeichnet, selbst wenn es nicht aktiv auf eine Anfrage reagiert. Dass es hinter einem Feature-Flag existiert, ändert nichts an der architektonischen Absicht.

Für Nutzer heute gilt: Dieser Vorfall hat Anthropics Quellcode offengelegt. Er hat keine Nutzerdaten, Konversationen oder Zugangsdaten offengelegt.

Häufig gestellte Fragen

Wie ist der Quellcode durchgesickert? Eine Source-Map-Datei wurde innerhalb von Claude Codes npm-Paket veröffentlicht. Diese Datei enthielt eine direkte URL zu Anthropics R2-Storage-Bucket, auf dem der ursprüngliche TypeScript-Quellcodebaum ohne Zugriffskontrollen gehostet wurde. Jeder, der die URL abrief, erhielt die vollständige Codebasis. Die Grundursache war, dass .map-Dateien nicht aus dem veröffentlichten Paket ausgeschlossen wurden.

Betrifft dies meine Daten als Claude-Code-Nutzer? Nein. Der Leak legte Anthropics proprietären Quellcode offen — keine Nutzerkonversationen, Dateien oder API-Zugangsdaten. Es gibt keine Hinweise darauf, dass Nutzerdaten betroffen waren.

Was ist der KAIROS-Modus im geleakten Code? KAIROS ist ein unveröffentlichter, "durchgehend aktiver" Überwachungsmodus, der Nutzeraktivität protokolliert und Push-Benachrichtigungen senden oder Repository-Ereignisse abonnieren kann. Er ist hinter internen Flags verborgen und wurde nicht öffentlich ausgeliefert. Seine Existenz im Code wirft offene Fragen auf, welche Nutzeraktivitätsüberwachung Anthropic in die Architektur von Claude Code eingebaut hat.

Wo befinden sich die GitHub-Spiegel des geleakten Codes? Stand 31. März 2026: github.com/instructkr/claude-code und github.com/Kuberwastaken/claude-code. Bei beiden ist mit DMCA-Takedown-Anfragen zu rechnen.

Quellen

  • DEV Community — "Claude Code's Source Code Leaked via npm Source Maps" (dev.to, 31. März 2026)
  • ByteIota — "Claude Code Source Leaked via npm: 512K Lines Exposed" (31. März 2026)
  • Reddit r/ClaudeAI — Diskussionsthread zum Source-Leak (31. März 2026)
  • GitHub-Spiegel: instructkr/claude-code, Kuberwastaken/claude-code
Publié le March 31, 2026
Plus d'articles