Quellcode von Anthropics Claude Code versehentlich offengelegt und seine Implikationen für die KI-Entwicklung

Die Welt der künstlichen Intelligenz und Softwareentwicklung wurde kürzlich von einem Vorfall erschüttert, der weitreichende Implikationen für die Entwicklungspraktiken und Sicherheitsstandards in der Branche haben könnte. Der vollständige Quellcode von Anthropics Claude Code, einem agentischen CLI-Tool für Softwareentwicklung, wurde am 31. März 2026 versehentlich öffentlich zugänglich gemacht. Dieser Vorfall, entdeckt vom Sicherheitsforscher Chaofan Shou, offenbarte die inneren Mechanismen eines hochentwickelten KI-Assistenten und wirft ein Schlaglicht auf die Bedeutung präziser Deployment-Prozesse.

Die ungewollte Transparenz: Wie es zur Offenlegung kam

Die Ursache für die Offenlegung lag in der Veröffentlichung eines npm-Pakets für Claude Code, Version 2.1.88, das eine sogenannte Source Map-Datei enthielt. Source Maps sind JSON-Dateien, die dazu dienen, minifizierten oder gebündelten Code zur besseren Fehlersuche wieder dem ursprünglichen Quellcode zuzuordnen. Normalerweise werden diese Dateien nicht in produktiven Umgebungen veröffentlicht, da sie detaillierte Einblicke in die Softwarearchitektur ermöglichen. Im vorliegenden Fall führte ein Konfigurationsfehler in der Build-Pipeline dazu, dass die rund 57 MB große Source Map-Datei, die den gesamten ursprünglichen TypeScript-Code enthielt, in das öffentliche npm-Repository gelangte.

Die Source Map ermöglichte die Rekonstruktion von etwa 1.900 Dateien und über 512.000 Zeilen Code. Moritz Förster von Heise Online und Gabriel Anhaia auf DEV.to gehörten zu den ersten, die die Tragweite dieses Leaks analysierten. Die schnelle Archivierung des Codes auf Plattformen wie GitHub unterstreicht die sofortige und weitreichende Verbreitung der Informationen.

Ein Blick hinter die Kulissen: Was der Code enthüllt

Die Analyse des geleakten Quellcodes bietet einzigartige Einblicke in die Architektur und die Entwicklungsphilosophie von Claude Code. Es handelt sich nicht um ein einfaches "Chat-Wrapper", sondern um ein komplexes, produktionsreifes System, das auf Bun als JavaScript-Laufzeitumgebung basiert und React mit Ink für die Terminal-Benutzeroberfläche nutzt.

Architektonische Besonderheiten und technische Entscheidungen

• Tool-System: Claude Code verfügt über ein Plugin-ähnliches Tool-System mit etwa 40 diskreten, berechtigungsgesteuerten Tools für Funktionen wie Dateizugriff, Bash-Ausführung oder Web-Abrufe.
• Query Engine: Mit über 46.000 Zeilen Code ist dies das Herzstück, das LLM-API-Aufrufe, Streaming, Caching und Orchestrierung verwaltet.
• Multi-Agenten-Orchestrierung: Das System kann Sub-Agenten ("Swarms") für komplexe, parallelisierbare Aufgaben erstellen, wobei jeder Agent in seinem eigenen Kontext mit spezifischen Tool-Berechtigungen agiert.
• IDE-Bridge-System: Eine bidirektionale Kommunikationsschicht verbindet IDE-Erweiterungen (z.B. VS Code, JetBrains) über JWT-authentifizierte Kanäle mit dem CLI.
• Persistentes Speichersystem: Claude speichert Kontextinformationen über Benutzer, Projekte und Präferenzen in einem dateibasierten Verzeichnis.
• Bun statt Node: Die Wahl von Bun als Laufzeitumgebung wird mit seiner schnelleren Startzeit und der "Dead Code Elimination" für Feature Flags begründet.
• React für CLI: Der Einsatz von Ink (React für Terminals) ermöglicht eine komponentenbasierte Terminal-Oberfläche mit Zustandsverwaltung.

Unveröffentlichte Funktionen und interne Einblicke

Der geleakte Code offenbarte auch Details zu zukünftigen oder internen Funktionen:

• KAIROS – Persistenter Assistent: Ein "Always-on"-Modus, der sich über Sitzungen hinweg an alles erinnert, tägliche Protokolle führt und "träume" über Nacht, um Notizen zu organisieren.
• BUDDY – KI-Begleittier: Ein Tamagotchi-ähnliches virtuelles Haustier, dessen Art, Seltenheit und Persönlichkeit aus der Benutzer-ID generiert werden und das neben der Terminal-Eingabeaufforderung erscheint.
• ULTRAPLAN – Cloud-Planung: Für komplexe Aufgaben kann Claude eine separate Cloud-Instanz starten, die bis zu 30 Minuten lang plant, bevor der Benutzer den Plan genehmigt.
• "Undercover Mode": Ein Mechanismus, der interne Codnamen, Slack-Kanäle oder die Phrase "Claude Code" aus Commit-Nachrichten und PR-Beschreibungen entfernt, um den Eindruck zu erwecken, dass die Beiträge von Menschen stammen.
• Anti-Distillation-Mechanismen: Code-Abschnitte, die darauf abzielen, die Extraktion von Wissen aus dem Modell durch das Einschleusen von "Fake Tools" oder das Zusammenfassen von Konnektor-Texten zu erschweren.
• Frustrationserkennung: Ein Regex-Muster, das Schimpfwörter und Ausdrücke der Frustration im Benutzer-Prompt erkennt, um die Benutzerzufriedenheit zu messen.

Sicherheitsimplikationen und Lehren für die Industrie

Anthropic bestätigte den Vorfall und stellte klar, dass keine sensiblen Kundendaten oder Anmeldeinformationen betroffen waren. Es handelte sich um ein Verpackungsproblem, verursacht durch menschliches Versagen, und nicht um eine Sicherheitsverletzung im herkömmlichen Sinne. Dennoch sind die Auswirkungen weitreichend, insbesondere für ein Tool, das tief in Entwickler-Workflows integriert ist und auf Vertrauen basiert.

Die Bedeutung von Source Maps im Sicherheitskontext

OWASP stuft die Offenlegung von Source Maps als Informationsleck ein, da sie den Quellcode leichter lesbar machen und Angreifern helfen können, Schwachstellen oder sensible Informationen wie versteckte Routen oder interne Strukturen zu finden. Bei Claude Code, einem agentischen Tool, das Bash-Befehle ausführt, Dateien bearbeitet und mit IDEs interagiert, ist die Analyse der Implementierungsdetails von strategischem Wert. Die Offenlegung senkt die Kosten für die Analyse von Schutzmechanismen, Berechtigungsentscheidungen und Orchestrierungsabläufen.

Historische Schwachstellen als Kontext

Die Relevanz dieses Leaks wird durch frühere CVEs (Common Vulnerabilities and Exposures) im Zusammenhang mit Claude Code verstärkt. Diese historischen Schwachstellen betrafen unter anderem IDE-Integrationen, die Ausführung von Befehlen vor der Vertrauensbestätigung und die Umgehung von Genehmigungsaufforderungen. Diese zeigen, dass die kritischsten Fehler in Claude Code oft an den Schnittstellen zwischen Benutzerabsicht, Prompt-Kontext, Repository-Vertrauen und Ausführungsfreigabe lagen. Lesbarer Quellcode reduziert die Kosten für die Entdeckung solcher Edge Cases erheblich.

Empfehlungen für B2B-Kunden und Entwickler

Für Unternehmen, die agentische KI-Tools wie Claude Code nutzen, ergeben sich aus diesem Vorfall mehrere Handlungsempfehlungen:

• Audit der Veröffentlichungspipelines: Überprüfen Sie Ihre eigenen Build- und Veröffentlichungsprozesse, um sicherzustellen, dass Source Map-Dateien und andere Debug-Artefakte nicht unbeabsichtigt in produktiven Paketen enthalten sind.
• Inventarisierung von Installationen: Erstellen Sie eine genaue Inventur aller Claude Code-Installationen in Ihrer Umgebung, einschließlich Versionen und Installationspfade (insbesondere veraltete npm-Pfade).
• Überprüfung der Vertrauenshaltung: Bewerten Sie, ob und wie Claude Code in Ihrer Organisation mit nicht vertrauenswürdigen Repositories oder Plugin-Bundles interagiert. Nutzen Sie den "plan"-Modus oder den Standardmodus für unbekannte Repositories und aktivieren Sie Sandboxing.
• Berechtigungsmanagement: Nutzen Sie die Berechtigungsmodi von Claude Code aktiv und beschränken Sie Fälle, in denen Benutzer ohne Überprüfung agieren können.
• Credential Hygiene: Achten Sie auf die Hygiene von Anmeldeinformationen in Subprozessen. Die Einstellung CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1 kann hierbei helfen.
• Remote Control-Richtlinien: Deaktivieren Sie "Remote Control", wenn es nicht benötigt wird, oder definieren Sie klare Richtlinien für dessen Nutzung.
• Artefaktinspektion: Führen Sie regelmäßige Inspektionen der tatsächlich verteilten Pakete durch, um sicherzustellen, dass keine unerwünschten Artefakte enthalten sind.

Der Vorfall um Claude Code dient als eindringliche Erinnerung daran, dass die Build-Pipeline, das Paket-Repository, der Objektspeicher und das Genehmigungsmodell Teil eines umfassenden Sicherheitssystems sind. Die Fähigkeit, den Quellcode eines agentischen Entwicklertools zu lesen, ist nie nur eine kosmetische Peinlichkeit, sondern eine Offenlegung, die die Angriffsfläche und die Analyse potenzieller Schwachstellen grundlegend verändert.

Ausblick

Die nächsten maßgeblichen Informationen werden von Anthropic selbst in Form von Release Notes, GitHub-Veröffentlichungen und offiziellen Kommunikationen erwartet. Für Verteidiger und Sicherheitsexperten ist es entscheidend, diese Entwicklungen genau zu verfolgen und die eigenen Systeme entsprechend anzupassen. Der Fall Claude Code unterstreicht die Notwendigkeit einer kontinuierlichen Wachsamkeit und robuster Sicherheitspraktiken in der schnelllebigen Welt der KI-Entwicklung.

Bibliography

• Anhaia, Gabriel. "Claude Code's Entire Source Code Was Just Leaked via npm Source Maps — Here's What's Inside." DEV Community, 31. März 2026.
• Anonhaven. "Claude Code Source Code Exposed via npm Source Map." Anonhaven, 31. März 2026.
• Anthropic. "Claude Code overview." [Diverse Dokumentationen zu Claude Code, Sicherheit, Sandboxing, Berechtigungen, Remote Control, Datennutzung und automatisierten Sicherheitsüberprüfungen].
• Battled.AI. "Claude Code source code just leaked because of a simple mistake - What does it reveal?" Battled.AI, 31. März 2026.
• Cloudflare. "R2 public buckets and r2.dev public development URLs." [Cloudflare Docs].
• Förster, Moritz. "Anthropics Claude Code: Kompletter Quellcode im Netz." heise online, 31. März 2026.
• GitHub. [Diverse GitHub Advisories für Claude Code, einschließlich CVE-2025-52882, CVE-2025-59828, CVE-2025-58764, CVE-2025-64755 und CVE-2026-21852].
• Kim, Alex. "The Claude Code Source Leak: fake tools, frustration regexes, undercover mode, and more." Alex Kim's blog, 31. März 2026.
• MDN Web Docs, OWASP, und Sentry. [Dokumentationen zu Source Maps, Informationslecks und privater Handhabung von Debug-Artefakten].
• Penligent.ai. "Claude Code Source Map Leak, What Was Exposed and What It Means." Penligent.ai, 31. März 2026.
• Roth, Emma. "Claude Code leak exposes a Tamagotchi-style 'pet' and an always-on agent." The Verge, 31. März 2026.
• Shou, Chaofan (@shoucccc). [Erste Veröffentlichungen auf Social Media].