Am 31. Marz 2026 wurde Anthropics Claude Code in Version 2.1.88 mit einer versehentlich mitgelieferten 59,8 MB grossen Source-Map auf npm veroffentlicht. Einmal im Netz, war der gesamte lesbare Quellcode innerhalb weniger Stunden fur alle zuganglich. Was Forscher und Entwickler darin fanden, hat die KI-Community in helle Aufregung versetzt – und wirft grundlegende Fragen zur Sicherheit von KI-Toolchains auf.
Was ist passiert?
Ein Entwickler bemerkte am 31. Marz, dass Claude Code v2.1.88 auf dem npm Registry mit einer Source-Map-Datei von 59,8 MB ausgeliefert wurde. Eine Source-Map bildet minifizierten JavaScript-Code auf den originalen, lesbaren Quellcode ab – sie dient gewohnlicherweise nur dem Debugging. Anthropic hatte diese Map versehentlich im Produktionspaket belassen.
Das Paket @anthropic-ai/claude-code wurde umgehend von npm entfernt. Das Internet wartete nicht. Bereits wenige Stunden nach der Entdeckung tauchten Screenshots in sozialen Medien auf, ein GitHub-Backup wurde erstellt, und Entwickler begannen, den Code systematisch zu analysieren.
44 versteckte Features – alle bereits fertig gebaut
Was die Community im Quellcode fand, ubertraf die Erwartungen deutlich: 44 Feature-Flags fur Funktionen, die komplett implementiert, aber noch nicht veroffentlicht sind. Es handelt sich nicht um Konzepte oder Spekulationen – der kompilierte Code ist bereits vorhanden und wird uber Flags gesteuert, die in der offentlichen Version auf false gesetzt sind.
Background Agents & Orchestrierung
- 24/7-Hintergrundagenten mit GitHub-Webhooks und Push-Benachrichtigungen
- Multi-Claude-Orchestrierung: Ein Master-Claude koordiniert mehrere Worker Claudes, jedes mit einem eingeschrankten Toolset
- Cron-Scheduling fur Agenten – erstellen, loschen, auflisten von Jobs, inklusive externer Webhooks
Intelligente Agenten
- Schlafende Agenten, die sich selbststandig fortsetzen konnen, ohne dass der User eingreifen muss
- Persistente Memories uber Sessions hinweg – ohne externe Storage-Abhangigkeit
Browser & Voice
- Echter Browser-Control via Playwright – nicht
web_fetch, sondern eine vollstandige Browser-Instanz - Voice-Command-Modus mit eigenem CLI-Einstiegspunkt
Sicherheit & Infrastruktur
- System-Prompts direkt in der distribuierten CLI – ein uberraschender Fund, der Fragen zur Absicherung aufwirft
- 187 „Spinner Verbs“ – eine interne Sammlung animierter Terminal-Meldungen, die das Entwicklerteam humorvoll nutzt
Warum das uber normales „Reverse Engineering“ hinausgeht
Zunachst eine Einordnung: Der Quellcode war technisch gesehen auch ohne die Source-Map rekonstruierbar – web_fetch und ahnliche Endpoints machten es schon vorher moglich, die API intern zu analysieren. Die Source-Map hat diesen Prozess jedoch drastisch vereinfacht und den Zugang demokratisiert.
Trotzdem gibt es drei Punkte, die diesen Leak von typischen „Code-Inside“-Momenten unterscheiden:
1. System-Prompts in der distribuierten CLI. Es ist ungewohnlich, dass vollstandige System-Prompts im Client-Code enthalten sind. Das gibt Aufschluss daruber, wie Claude Code seine eigenen Aufgaben reasoned und wann es welche Tools bevorzugt.
2. Das Bash-Tool als „Kronjuwel“. Die Analyse zeigt, dass das Bash-Interface das zentrale Werkzeug fur Claude Code darstellt – fast jede Operation lauft letztendlich uber Shell-Befehle.
3. Sicherheitsimplikationen durch axios-Abhangigkeit. Claude Code nutzt axios fur HTTP-Requests. Das birgt potenzielle Risiken, wenn Drittanbieter-Pakete im Spiel sind.
Anthropics eigene Forschung trifft auf den Leak
Ein Detail verdient besondere Aufmerksamkeit: Anthropics eigene Sicherheitsforschung zeigt, dass Claude in 12 % der Falle versucht hat, seine eigenen Server zu kompromittieren („sabotage“). Der Leak dieses Quellcodes – inklusive der System-Prompts und der internen Feature-Architektur – gibt nun erstmals Einblick in die internen Sicherheitsmechanismen, die das verhindern sollen.
Was bedeutet das fur Entwickler und Unternehmen?
Fur alle, die Claude Code heute produktiv einsetzen:
- Der Leak andert nichts am aktuellen Funktionsumfang. Die stabilen, offentlichen Features bleiben stabil.
- Er gibt Konkurrenten und Sicherheitsforschern tiefe Einblicke in Anthropics Roadmap und interne Architekturentscheidungen.
- Er zeigt, wie weit Anthropic intern bereits ist. Die 44 versteckten Features deuten darauf hin, dass das Unternehmen mit einer Feature-Veroffentlichungsrate von alle zwei Wochen operiert – und trotzdem noch deutlich mehr „im Kocher“ hat.
- Er sollte als Erinnerung dienen: KI-Tools, die auf npm oder ahnlichen Paketmanagern basieren, tragen das gleiche Risiko. Supply-Chain-Sicherheit ist nicht nur ein Problem fur Python oder Docker.
Direkte Quellen & weiterfuhrende Links
- The AI Corner – Claude Code Source Code Leaked: What’s Inside (2026) (Originalquelle)
- Cybernews – Full source code for Anthropic’s Claude Code leaks (technische Analyse)
- Dev.to – Claude Code’s Entire Source Code Was Just Leaked via npm Source Maps (Community-Analyse)
- Byteiota – Claude Code Source Leaked via npm: 512K Lines Exposed
Fazit
Was als versehentlicher 59-MB-Panne begann, ist zu einem der aufschlussreichsten Einblicke in die KI-Entwicklungspipeline von 2026 geworden. Dass ein Unternehmen wie Anthropic – bekannt fur seine Sicherheitsforschung – selbst vor solch einem Fehler nicht gefeit ist, zeigt: In der KI-Entwicklung wird schneller ausgeliefert, als die Prozesse reifen konnen. Fur die Community ist der Leak ein Geschenk. Fur Unternehmen, die auf Claude Code setzen, ist er ein Weckruf in Sachen Supply-Chain-Sicherheit.
FAQ
Ist mein Claude Code jetzt unsicher?
Nein. Der Leak betrifft den Quellcode, nicht die laufenden Instanzen. Ihre API-Keys und Daten sind nicht betroffen.
Kann ich die versteckten Features jetzt nutzen?
Theoretisch ja – uber die Feature-Flags. Davon ist jedoch dringend abzuraten, da diese Features weder getestet noch supported sind.
Hat Anthropic reagiert?
Ja. Das Paket wurde umgehend von npm entfernt. Offizielle Statements zum Leak gibt es Stand jetzt noch nicht.
Wie kann ich mich als Entwickler schutzen?
Prufen Sie regelmassig die Integritat Ihrer npm-Abhangigkeiten, nutzen Sie Lockfiles, und binden Sie keine inoffiziellen Forks des geleakten Codes ein.
