Was wäre, wenn eines der meistgenutzten KI-Entwicklungstools der Welt plötzlich Open Source wird – allerdings vollkommen unbeabsichtigt? Genau das ist Anthropic am 31. März 2026 mit Claude Code passiert. Eine mitveröffentlichte Source-Map-Datei im npm-Paket des CLI-Tools legte den gesamten Quellcode offen. Innerhalb weniger Stunden war der Code auf GitHub gespiegelt und wurde von tausenden Entwicklern analysiert.
Claude Code: Was ist passiert?
Der Sicherheitsforscher Chaofan Shou entdeckte das Problem am Morgen des 31. März und machte seinen Fund auf der Plattform X öffentlich. In Version 2.1.88 des npm-Pakets @anthropic-ai/claude-code war eine 59,8 MB große JavaScript-Source-Map-Datei enthalten. Diese Datei, die eigentlich nur für internes Debugging gedacht ist, enthielt Referenzen zum vollständigen, unminifizierten TypeScript-Quellcode – und ermöglichte so den Zugriff auf die gesamte Codebasis.
Laut mehreren Analysen umfasst der geleakte Code rund 1.900 Dateien mit über 512.000 Zeilen. Der Code wurde umgehend in öffentlichen GitHub-Repositories gespiegelt, wo er innerhalb kürzester Zeit über 41.500 Mal geforkt wurde. Anthropic reagierte zwar schnell und entfernte die betroffene Version aus der npm-Registry, doch zu diesem Zeitpunkt war der Quellcode bereits weitreichend verbreitet.
Source Maps als Sicherheitsrisiko
Source Maps sind ein gängiges Werkzeug in der Webentwicklung. Sie dienen dazu, komprimierten oder gebündelten Produktionscode auf den ursprünglichen Quellcode zurückzuführen – etwa für das Debugging von Fehlern. Werden solche Dateien allerdings versehentlich in ein öffentliches npm-Paket eingebunden, können sie den gesamten Originalcode offenlegen.
Die wahrscheinliche Ursache ist so banal wie folgenschwer: Beim Build-Prozess mit der JavaScript-Runtime Bun, die Anthropic für Claude Code verwendet, werden Source Maps standardmäßig generiert. Offenbar wurde vergessen, die .map-Dateien per .npmignore oder über die Bundler-Konfiguration von der Veröffentlichung auszuschließen. Es ist übrigens nicht das erste Mal, dass Anthropic ein solches Problem hatte – bereits Anfang 2025 soll eine ähnliche Source-Map-Panne behoben worden sein.
Was der Quellcode über Claude Code verrät
Ein Blick in den geleakten Code zeigt eine modular aufgebaute und überraschend umfangreiche Architektur. Claude Code ist weit mehr als ein simpler Wrapper um Anthropics KI-Modelle. Das Tool nutzt die JavaScript-Runtime Bun und setzt für die Terminaloberfläche auf React in Kombination mit der Ink-Bibliothek.
Zu den interessantesten Entdeckungen gehören:
- Über 40 verschiedene Tools in einem Plugin-artigen System mit eigenen Berechtigungsstufen
- Eine Query Engine mit rund 46.000 Zeilen Code, die alle LLM-API-Aufrufe, Streaming und Caching verwaltet
- Ein Multi-Agenten-Orchestrierungssystem für komplexe Aufgaben
- 44 Feature-Flags für Funktionen, die zwar fertig implementiert, aber noch nicht öffentlich verfügbar sind
- Interne Modell-Codenamen wie „Capybara“ (Claude 4.6), „Fennec“ (Opus 4.6) und das noch unveröffentlichte „Numbat“
- Ein „Undercover Mode“, der verhindern soll, dass interne Informationen bei Open-Source-Beiträgen durchsickern
Besonders pikant: Der Code enthält auch ein dreischichtiges Memory-System, das erklärt, warum Claude Code bei langen Programmiersitzungen so zuverlässig arbeitet. Darüber hinaus finden sich Hinweise auf zahlreiche geplante Features wie einen „Buddy“-Begleitmodus, Agent-Schwärme und automatisierte Workflows.
Anthropics Reaktion
Anthropic bestätigte den Vorfall gegenüber dem IT-Nachrichtenportal The Register. Ein Unternehmenssprecher erklärte, es habe sich um einen Verpackungsfehler bei der Veröffentlichung gehandelt, der durch menschliches Versagen verursacht wurde – kein Sicherheitsvorfall im klassischen Sinne. Kundendaten oder Zugangsdaten seien nicht betroffen gewesen. Anthropic arbeite an Maßnahmen, um ein erneutes Auftreten zu verhindern.
Die betroffene Paketversion wurde umgehend aus dem npm-Registry entfernt und durch eine bereinigte Version ohne Source Maps ersetzt. Nutzern wird empfohlen, auf die offizielle native Installation per Installer-Skript umzusteigen, da diese nicht auf die npm-Abhängigkeitskette angewiesen ist.
Was Entwickler jetzt beachten sollten
Der Vorfall ist nicht nur eine Lehrstunde für Anthropic, sondern für alle Entwicklerteams, die Pakete über npm veröffentlichen. Wer sichergehen will, dass keine sensiblen Dateien mitveröffentlicht werden, sollte vor jedem Release npm pack --dry-run ausführen und die enthaltenen Dateien prüfen. Source Maps sind im Grunde gleichbedeutend mit dem Quellcode selbst und sollten niemals in Produktionspaketen landen, sofern dies nicht ausdrücklich beabsichtigt ist.
Für bestehende Claude-Code-Nutzer empfiehlt es sich, die installierte Version zu überprüfen und gegebenenfalls auf eine gepatchte Version (2.1.89 oder höher) zu aktualisieren. Wer das Tool über npm installiert hatte, sollte zudem seine Anthropic-API-Schlüssel sicherheitshalber rotieren.
Fazit
Der versehentliche Quellcode-Leak von Claude Code zeigt eindrucksvoll, wie eine einzelne fehlkonfigurierte Build-Pipeline ein milliardenschweres Produkt bloßstellen kann. Für die Open-Source-Community und Wettbewerber bietet der geleakte Code faszinierende Einblicke in den Stand der Technik bei KI-Coding-Tools. Für Anthropic dürfte der Vorfall vor allem eines sein: ein teurer Weckruf in Sachen Release-Management. Die Ironie, dass ausgerechnet ein Tool, das Entwicklern beim Schreiben besserer Software helfen soll, durch einen simplen Konfigurationsfehler zu Fall gebracht wurde, dürfte der Branche noch eine Weile in Erinnerung bleiben.
