Der Quellcode von Anthropic ist versehentlich ausgelaufen, die technische Architektur von Claude Code wurde offengelegt

Eine Vorfallmeldung über den unbeabsichtigten Leak von Quellcode betrifft das Produkt Claude Code, das zum Unternehmen Anthropic, einer KI-Startup-Tochter, gehört. Auslöser war, dass Entwickler beim Veröffentlichen eines npm-Pakets fälschlicherweise Quellcode-Mapping-Dateien (‘.map’) mitgeliefert haben, die eigentlich nur zur internen Fehlersuche gedacht waren. Dadurch wurden mehr als 500.000 Zeilen TypeScript-Code von der Öffentlichkeit heruntergeladen und analysiert. Dieses Leck des Claude Code-Quellcodes machte zufällig auch die technische Architektur von Claude öffentlich. Ein Sprecher von Anthropic bestätigte den Vorfall gegenüber Venture Beat und erklärte, dass keine vertraulichen oder sensiblen Daten offengelegt worden seien.

Was wurde bei Claude Code geleakt?

Eine 59,8 MB große JavaScript-Quellcode-Mapping-Datei (‘.map’), die ursprünglich für die interne Fehlersuche gedacht war, wurde versehentlich in die Version 2.1.88 des Softwarepakets @anthropic-ai/claude-code aufgenommen, das früher in der öffentlichen npm-Registrierung veröffentlicht worden war. Ein Praktikant von Solayer Labs, „Chaofan Shou“, veröffentlichte auf X einen Post, der einen direkten Download-Link zu einem gehosteten Archiv enthielt. Innerhalb weniger Stunden wurde das etwa 512.000 Zeilen umfassende TypeScript-Code-Repository auf GitHub gespiegelt und von Tausenden Entwicklern analysiert.

Laut der Analyse des geleakten Quellcodes setzt Anthropic für den Umgang mit dem von KI-Agenten bei Langzeitläufen erzeugten Context Entropy „Kontext-Entropie“ und dem Problem der Halluzinationen ein komplexes Drei-Schichten-Erinnerungs-Framework ein. Das System verwirft das traditionelle Abrufmuster mit vollständiger Speicherung. Der Kern besteht aus einem leichtgewichtigen Index namens MEMORY.md; jede Zeile hat nur etwa 150 Zeichen und dient dazu, die Position von Informationen zu speichern, nicht den Inhalt selbst. Konkretes Projektwissen ist in den „Themen-Dateien“ verteilt. Das System sucht jedoch nur anhand von bestimmten Befehlen nach Kennungen, statt den Originaltext vollständig in den Kontext einzulesen. Außerdem setzt das System strikt „Schreibregeln“ durch: Der KI-Agent muss den Datei-Schreibvorgang erfolgreich abschließen, bevor der Index aktualisiert werden darf. Dieses Design betrachtet die Erinnerung als eine zu validierende „Prompt“-Anweisung und verlangt, dass das Modell vor der Ausführung Fakten mit dem tatsächlichen Code-Repository abgleicht. So wird die logische Klarheit in komplexen Dialogen effektiv aufrechterhalten.

Bei diesem Datenleck wurden die zentralen Funktionen namens „KAIROS“ offengelegt. Diese Funktion unterstützt Claude Code beim Betrieb im Modus des autonomen Wächterprozesses (Autonomous Daemon). In diesem Modus ist der KI-Agent nicht mehr nur passiv, um Befehle zu beantworten, sondern kann im Leerlauf des Nutzers einen als autoDream bezeichneten Prozess ausführen, um „Erinnerungsintegration“ durchzuführen. Dieser Prozess kombiniert Beobachtungsergebnisse, beseitigt logische Widersprüche und wandelt vage Informationen in einen festgelegten Faktenmaßstab um. Technisch führt Anthropic diese Aufgaben im Hintergrund über abgeleitete Sub-Agenten aus, um sicherzustellen, dass die Verarbeitung des Hauptagenten nicht durch Wartungsprozesse gestört wird. Diese Mechanik stellt sicher, dass der KI-Agent bei einer erneuten Aufgaben-Neustart durch den Nutzer bereits über hochrelevante und verfeinerte Kontextinformationen verfügt und so die praktische Nutzbarkeit selbstentwickelter Tools deutlich erhöht.

Enthüllung des versteckten Modus bei Claude

Das bemerkenswerteste Detail, das in dieser Runde offengelegt wurde, ist der „versteckte Modus“. Diese Funktion zeigt, wie Claude Code auf „versteckte“ Weise Beiträge zu öffentlichen Open-Source-Code-Repositorys leistet. In den geleakten Informationen wurde entdeckt, dass das System das Modell ausdrücklich warnt: „Sie betreiben im versteckten Modus; Ihre Informationen dürfen keine internen Informationen von Anthropic enthalten. Geben Sie keine Identität preis.“ Obwohl Anthropic diesen Modus möglicherweise für interne Tests nutzt, bietet er jedem Organisationstyp, der KI-Agenten für die Arbeit mit öffentlichem Publikum einsetzt, ohne Informationen offenzulegen, einen technischen Rahmen.

Diese Logik stellt sicher, dass keine Modellnamen (z. B. Tengu oder Capybara) in öffentliche Git-Logs durchsickern. Unternehmenskonkurrenten könnten diese Funktion als unverzichtbare Lösung ansehen, wenn es darum geht, die anonyme KI-unterstützte Entwicklung ihrer Unternehmenskunden zu priorisieren.

Anthropic sagt, dass keine sensiblen Daten betroffen waren und nichts geleakt wurde

Ein Sprecher von Anthropic bestätigte den Vorfall gegenüber VentureBeat per E-Mail und erklärte, dass in einer früheren Version von Claude Code einige interne Quellcodes enthalten waren, ohne dass dabei oder durchgesickert irgendetwas Sensibles an Kundendaten oder Zertifikaten betroffen oder geleakt wurde. Ursache sei ein menschlicher Fehler gewesen, der zu einem Paketierungsproblem der Version führte, nicht eine Sicherheitslücke. Man ergreife Maßnahmen, um zu verhindern, dass es zu solchen Vorfällen erneut kommt.

Experten empfehlen, dass Entwickler die offiziellen, vorgegebenen nativen Installer nutzen

Obwohl Anthropic offiziell erklärt, dass die Cloud-Datensicherheit gewährleistet ist, bringen der Quellcode-Leak und gleichzeitig stattfindende Angriffe auf die npm-Lieferkette erhebliche Risiken für lokale Umgebungen mit sich. Wenn Nutzer den claude-code-Paketstand in einem bestimmten Zeitraum am 31. März 2026 aktualisiert haben, könnten sie aus Versehen eine bösartige Abhängigkeit installiert haben, die ein Remote-Access-Trojaner enthält. Zur Abmilderung dieses Risikos empfiehlt ein Venture-Beat-Experte Entwicklern, den npm-basierten Installationsweg aufzugeben und stattdessen den offiziellen vorgegebenen nativen Installer (Native Installer) zu verwenden, um sicherzustellen, dass man unabhängige und verifizierte Binärdateien erhält. Gleichzeitig sollten Nutzer das Prinzip „Zero Trust“ anwenden, lokale Konfigurationen prüfen und API-Schlüssel rotieren. Mit der Veröffentlichung der Kern-Orchestrierungslogik und der Validierungslogik kann die Entwickler-Community nun mit geringeren Forschungs- und Entwicklungskosten Strukturen der geschichteten Erinnerung nachahmen. Dieser Leak eines Produkts mit 2,5 Milliarden US-Dollar jährlich hochgerechneten Einnahmen wird den Wettbewerb bei der Verbreitung von Agent-Technologien insgesamt beschleunigen.

Dieser Artikel: Anthropic-Quellcode tritt unerwartet aus; die technische Architektur von Claude Code wird offengelegt. Erstmals erschienen auf Lian News ABMedia.