Claude Code Leak: Wie ein vergessenes Build-Artefakt die KI-Branche aufweckte – und was IT-Dienstleister daraus lernen müssen

512.000 Zeilen Code offen im Netz. Was der Claude-Code-Leak über KI-Sicherheit wirklich verrät.
April 8, 2026

Ein npm-Paket, das zu viel preisgab

Am 31. März 2026 entdeckte der Security-Forscher Chaofan Shou etwas, das Anthropic mit Sicherheit lieber unter Verschluss gehalten hätte: Im npm-Paket der Version 2.1.88 von Claude Code steckte eine sogenannte Source-Map-Datei – ein Debug-Artefakt, das normalerweise nicht in die Veröffentlichung gehört. Diese Datei enthielt den vollständigen, unverschleierten TypeScript-Quellcode des KI-Coding-Assistenten.

Shou veröffentlichte seinen Fund auf X. Innerhalb weniger Stunden wurde der gesamte Code auf GitHub gespiegelt, analysiert und tausendfach geforkt. Das Archiv umfasste rund 1.900 Dateien mit über 512.000 Zeilen Code. Anthropic zog die betroffene Version zwar schnell zurück – aber das Internet hatte längst zugeschlagen.

Der entscheidende Punkt: Das war kein Hack. Kein Einbruch. Kein Sicherheitsvorfall im klassischen Sinne. Anthropic selbst bestätigte gegenüber mehreren Medien, dass es sich um „human error“ handelte – ein Verpackungsfehler im Build-Prozess. Ein einziges falsch konfiguriertes Feld in der Paketdefinition reichte aus, um alles offenzulegen.

Infografik mit KI generiert

Was genau wurde sichtbar?

Claude Code ist weit mehr als ein Chatbot mit Shell-Zugang. Das wurde durch den Leak schlagartig deutlich. Was in der Öffentlichkeit wie ein schlankes CLI-Tool wirkt, entpuppte sich unter der Haube als ein komplexes, modulares Agenten-System.

Sichtbar wurden unter anderem:

  • Rund 40 einzelne Tools in einer Plugin-artigen Architektur – jede Fähigkeit (Datei lesen, Bash ausführen, Web-Suche, IDE-Integration) läuft als eigenständiges, berechtigungsgesteuertes Modul.
  • Eine Query Engine mit 46.000 Zeilen Code – das Herzstück für alle LLM-API-Aufrufe, Streaming, Caching und Orchestrierung.
  • Multi-Agent-Orchestrierung – Claude Code kann sogenannte Sub-Agenten („Swarms“) starten, die parallele Aufgaben in isolierten Kontexten bearbeiten.
  • Ein IDE-Bridge-System – eine bidirektionale Kommunikationsschicht zwischen VS Code, JetBrains und dem CLI.
  • Ein Gedächtnis-Konsolidierungssystem namens „Dream“ – ein Hintergrundprozess, der im Leerlauf Beobachtungen zusammenführt, Widersprüche bereinigt und den Kontext für die nächste Sitzung vorbereitet.

Das ist keine To-Do-App mit KI-Anbindung. Das ist ein durchkonzipiertes Betriebssystem für autonomes Software-Engineering.

Die versteckten Features: KAIROS, Buddy und Undercover Mode

Besonders viel Aufmerksamkeit erhielten die sogenannten Feature-Flags – insgesamt 44 Schalter für Funktionen, die vollständig implementiert, aber noch nicht freigeschaltet waren.

KAIROS ist der Name eines autonomen Daemon-Modus. Damit kann Claude Code im Hintergrund weiterlaufen, auch wenn der Nutzer nichts eingibt. Es beobachtet, protokolliert und handelt proaktiv – eine Art permanenter digitaler Assistent, der nicht auf Befehle wartet, sondern eigenständig arbeitet.

Buddy ist ein Tamagotchi-artiges Begleiter-Feature. Eine kleine Figur neben dem Eingabefeld, die auf Aktionen reagiert, kommentiert und sogar einen eigenen Charakter hat. Klingt verspielt – zeigt aber, wie weit Anthropic in Richtung emotionaler Nutzerbindung denkt.

Undercover Mode ist strategisch am brisantesten: Ein Modus, der verhindert, dass Claude Code in öffentlichen Repositories verrät, dass der Code von einer KI stammt. Interne Modellnamen wie „Tengu“ oder „Capybara“ werden gefiltert, Commit-Messages bereinigt. Anthropic nutzt das vermutlich intern für Beiträge zu Open-Source-Projekten – aber die Implikation ist klar: Jede Organisation könnte so KI-gestützten Code als menschlich produziert ausgeben.

„Für mich ist nicht der Leak selbst das Interessante, sondern was er über die strategische Tiefe der Tooling-Ebene verrät. Claude Code ist kein Wrapper um ein Sprachmodell. Es ist ein durchgeplantes Agenten-Betriebssystem – und genau dort liegt heute der eigentliche Wettbewerb.“, so Ingo Lücker, Gründer der KI LEAGUE.

Ein Frustrations-Detektor im Code – und was das über Datensammlung verrät

Scientific American berichtete über ein weiteres Detail, das im Leak sichtbar wurde: Claude Code enthält einen Regex-basierten Mechanismus, der Nutzereingaben auf Anzeichen von Frustration scannt. Schimpfwörter, Beleidigungen und Phrasen wie „so frustrating“ werden erkannt und offenbar protokolliert.

Technisch ist das simpel – keine KI, nur altbewährtes Pattern-Matching. Aber es wirft eine wichtige Frage auf: Welche Verhaltensdaten sammeln KI-Tools im Hintergrund, ohne dass Nutzer davon wissen? Und wie werden diese Signale verwendet?

Für IT-Dienstleister, die KI-Tools bei ihren Kunden einführen, ist das ein Punkt, den man nicht ignorieren kann. Wer KI-Lösungen empfiehlt, trägt Mitverantwortung dafür, welche Daten erhoben und wie sie verarbeitet werden.

Die Kettenreaktion: Supply-Chain-Angriff und überschießende DMCA-Takedowns

Was den Claude-Code-Leak noch brisanter machte: Er fiel zeitlich mit einem separaten Supply-Chain-Angriff auf die npm-Bibliothek axios zusammen. Wer Claude Code am 31. März zwischen 00:21 und 03:29 UTC über npm installierte oder aktualisierte, könnte eine trojanisierte Version des HTTP-Clients mitgezogen haben.

Die Empfehlung der Sicherheitsforscher war unmissverständlich: Lockfiles prüfen, bei Befall die Maschine als kompromittiert betrachten, alle Secrets rotieren. Anthropic selbst empfiehlt mittlerweile den nativen Installer statt der npm-Installation.

Hinzu kam ein Kommunikationsproblem bei der Schadensbegrenzung: Anthropics DMCA-Takedown-Notice traf laut TechCrunch rund 8.100 GitHub-Repositories – darunter zahlreiche legitime Forks von Anthropics eigenem öffentlichen Claude-Code-Repository. Boris Cherny, Leiter von Claude Code bei Anthropic, räumte ein, dass der Takedown versehentlich zu weit griff, und schränkte ihn auf ein Repository und 96 Forks ein.

Bloomberg bezeichnete den Vorfall als problematisch für ein Unternehmen, das einen Börsengang im vierten Quartal 2026 anstrebt. Und es war nicht der einzige Vorfall dieser Art: Nur wenige Tage zuvor waren durch eine fehlkonfigurierte CMS-Instanz rund 3.000 interne Dokumente öffentlich zugänglich gewesen – darunter offenbar Details zu einem noch nicht veröffentlichten KI-Modell namens „Mythos“.

Was das für IT-Dienstleister bedeutet

Anthropic ist kein Nischenanbieter. Claude Code allein generiert laut mehreren Quellen rund 2,5 Milliarden US-Dollar annualisierten Umsatz. 80 Prozent davon stammen aus dem Enterprise-Geschäft. Acht der zehn umsatzstärksten Fortune-Unternehmen nutzen Claude. Wenn bei einem Anbieter dieser Größenordnung ein Build-Artefakt versehentlich die gesamte Produktarchitektur offenlegt, dann ist das kein Randthema.

Für IT-Dienstleister und Systemhäuser ergeben sich daraus drei konkrete Handlungsfelder:

  • Supply-Chain-Sicherheit bei KI-Tools prüfen. Wie werden die Tools aktualisiert? Gibt es eine Überprüfung der Integrität? Nutzt der Anbieter eine sichere Auslieferungskette? Der Claude-Code-Vorfall zeigt: Ein einziger fehlkonfigurierter Build-Prozess kann das gesamte Produkt exponieren.
  • Datenschutz und Verhaltensanalyse hinterfragen. Welche Daten sammelt ein KI-Tool im Hintergrund? Gibt es Transparenz darüber, was protokolliert wird? Der Frustrations-Detektor in Claude Code wurde erst durch den Leak bekannt – nicht durch Anthropics Dokumentation.
  • Vendor Lock-in und strategische Abhängigkeit bewerten. Wenn die Steuerungslogik eines KI-Tools bekannt wird, ändert sich die Wettbewerbslage. Konkurrenten können Architekturentscheidungen kopieren, Open-Source-Alternativen entstehen schneller. IT-Dienstleister sollten wissen, wie austauschbar ihre KI-Toolchain tatsächlich ist.
„Dieser Leak ist ein Weckruf – nicht nur für Anthropic, sondern für die gesamte Branche. Die Frage ist nicht mehr, wie gut ein KI-Modell ist, sondern wie sauber das gesamte System drumherum gebaut wurde. Und genau das sollten IT-Dienstleister bei jeder Empfehlung an ihre Kunden mitdenken.“, so Ingo Lücker.

Einordnung: Was jetzt sinnvoll ist – und was nicht

Sinnvoll:

  • Die eigene KI-Toolchain auf Auslieferungswege und Abhängigkeiten prüfen
  • Bei Enterprise-KI-Tools aktiv nach Datenschutzpraktiken und Telemetrie fragen
  • Supply-Chain-Risiken als festen Bestandteil der Sicherheitsberatung etablieren
  • Den Vorfall als konkretes Fallbeispiel in Kundengesprächen nutzen

Nicht sinnvoll:

  • In Panik verfallen und alle KI-Tools sofort abschalten
  • Anthropic pauschal die Kompetenz absprechen – der offengelegte Code zeigt ein beeindruckend durchdachtes System
  • Davon ausgehen, dass andere Anbieter besser aufgestellt sind – der Fehler war menschlich und kann überall passieren

Einladung zum nächsten KI LEAGUE Live Talk

Der Live Talk richtet sich bewusst an IT-Dienstleister und Systemhäuser, die KI einordnen wollen. Die Teilnahme ist kostenlos – der Austausch ausdrücklich erwünscht.

Einladung zur KI LEAGUE

Die KI LEAGUE ist der Ort für IT-Dienstleister, die KI nicht hypen, sondern verstehen wollen. Als Plattform für Einordnung, Austausch und kritische Diskussion – jenseits von Buzzwords und Produktversprechen.

Jetzt informieren und dabei sein

Quellen

1. The Hacker News – Claude Code Source Leaked via npm Packaging Error
2. VentureBeat – Claude Code’s source code appears to have leaked
3. CNBC – Anthropic leaks part of Claude Code’s internal source code
4. TechCrunch – Anthropic took down thousands of GitHub repos
5. Scientific American – Anthropic leak reveals Claude Code tracking user frustration
6. Axios – Anthropic leaked its own Claude source code
7. Ars Technica – Entire Claude Code CLI source code leaks

Weitere Blogartikel anzeigen

alle anzeigen
Canva Magic Layers: Wenn KI flache Bilder in editierbare Designs verwandelt
Canva verwandelt flache KI-Bilder in editierbare Designs. Was Magic Layers kann und wem es hilft.
ElevenLabs im März 2026: Vier Launches, die zeigen, wohin sich KI-Kreativplattformen entwickeln
Flows, Music Marketplace, Finetunes und Teams – was die vier ElevenLabs-Launches bedeuten.
Lovable: Wenn Kunden plötzlich selbst Apps bauen – was IT-Dienstleister jetzt wissen müssen
Vibe Coding macht Software-Entwicklung für Nicht-Techniker zugänglich. Lovable ist das am schnellsten wachsende Tool.
Made with love by ITleague.