- Das npm-Paket für Claude Code 2.1.88 lieferte versehentlich eine riesige Source Map aus, die rund 512,000 Zeilen internen TypeScript-Codes offenlegte.
- Das Datenleck wurde durch menschliches Versagen im Verpackungsprozess verursacht, nicht durch einen direkten Cyberangriff, gab aber dennoch Einblick in die Architektur, die Sicherheitslogik und noch nicht veröffentlichte Funktionen.
- Die Forscher spiegelten den Code rasch wider und entdeckten dabei Module wie KAIROS, BUDDY, verdeckte Modi, Multiagenten-Orchestrierung und ein dreischichtiges Speichersystem.
- Der Vorfall birgt ernsthafte Risiken für die Lieferkette, Jailbreaking und Klonen und setzt Anthropic und andere KI-Anbieter unter Druck, ihre Veröffentlichungsprozesse abzusichern.
Der Zufall Offenlegung des internen Quellcodes von Claude Code über npm hat eine routinemäßige Veröffentlichung in einen der meistdiskutierten KI-Sicherheitsvorfälle der letzten Jahre verwandelt. Was als Fehler bei der Paketierung einer JavaScript-Quellzuordnung begann, endete mit Hunderttausende Zeilen Anthropics TypeScript einfügen in die Hände von Forschern, Konkurrenten und opportunistischen Angreifern auf der ganzen Welt.
Anstatt eines klassischen Sicherheitsvorfalls mit Perimeterverteidigung oder gestohlenen Zugangsdaten zeigt dieser Fall, wie Einfach menschliches Versagen bei der Softwareveröffentlichung Die Veröffentlichung kann hochsensibles geistiges Eigentum preisgeben. Zwar enthält das Datenleck keine Modellgewichte oder Kundendaten, es legt aber die Funktionsweise eines der fortschrittlichsten Systeme offen. agentenbasierte Codierungsassistenten auf dem Markt, von Speichersystemen und Sicherheitsfiltern bis hin zu experimentellen Funktionen, die noch nie für die Öffentlichkeit bestimmt waren.
Zeitlicher Ablauf: von der npm-Veröffentlichung bis zur globalen Replikation
Im Mittelpunkt des Vorfalls steht das npm-Paket. @anthropic-ai/claude-code, insbesondere Version 2.1.88Während einer ansonsten regulären Veröffentlichung veröffentlichte Anthropic eine JavaScript-Quellzuordnungsdatei von ca. 60 MB (allgemein bezeichnet als cli.js.map) zusammen mit dem minimierten CLI-Bundle. Anstatt aus dem Produktionsartefakt entfernt zu werden, behielt diese Zuordnung eine sourcesContent Feld, das den ursprünglichen TypeScript-Code effektiv einbettete.
Aufgrund dieses Versäumnisses konnte jeder, der das Paket an sich nahm, Rekonstruktion von etwa 1,900 Dateien und mehr als 500,000 Zeilen TypeScript-Code.Dadurch wurden die Befehlsweiterleitung, die Werkzeugsteuerung, die Telemetrielogik, die Sicherheitsprüfungen und die internen Eingabeaufforderungen der CLI offengelegt. Die Karte verwies außerdem auf ein öffentlich zugängliches ZIP-Archiv in Anthropics eigener Cloudflare R2-Speicher-BucketDas bedeutete, dass kein Eingriff erforderlich war: Die Datei war einfach da und für das Internet zugänglich.
Das Problem wurde erstmals hervorgehoben von Sicherheitsforscher Chaofan Shou (@Fried_rice)Ein Mitarbeiter des Blockchain-Sicherheitsunternehmens Fuzzland veröffentlichte einen direkten Link zum ungeschützten Bucket auf X. Innerhalb weniger Stunden Spiegel-Repositories erschienen auf GitHubEinige erreichten innerhalb kürzester Zeit Zehntausende von Sternen, da Entwickler sich beeilten, den Code zu klonen und zu untersuchen, bevor er verschwand.
Anthropische Reaktionen von Die betroffene npm-Version herunterladen und löste eine Welle von DMCA-Löschungsanträgen gegen GitHub und andere Hosting-Plattformen aus. Als die Löschkampagne jedoch begann, waren bereits unzählige Kopien archiviert, geforkt und weiterverbreitet worden, was eine vollständige Entfernung des Materials praktisch unmöglich machte.
Wie ein Verpackungsfehler einen Vorzeige-KI-Agenten lahmlegte
Auf Papier, Veröffentlichung einer neuen Claude-Code-Version auf npm sollte eine Routineaufgabe sein: ein minimiertes JavaScript-Bundle hochladen, nur das unbedingt Notwendige einbinden und sich auf Konfigurationsdateien verlassen (wie z. B. .npmignore oder unter der files Feld in package.json) um zu verhindern, dass Debug-Artefakte in das endgültige Paket gelangen.
In diesem Fall führten mehrere kleine Entscheidungen zu einer völlig falschen Kombination. Die Build-Pipeline verwendete die Brötchenbündeler, Die Standardmäßig werden Quellzuordnungen generiert.Kein nachfolgender Schritt im Kompilierungs- oder Verpackungsablauf entfernte diese Zuordnung, und ein falsch konfigurierte Ignorierliste Das bedeutete, dass die Karte direkt an das öffentliche Register gesendet wurde. Von da an erledigte die offene, global gespiegelte Natur von npm den Rest.
Anthropic hat betont, dass keine sensiblen Kundendaten, Zugangsdaten oder Modellgewichte waren Teil des Lecks. Es handelte sich vielmehr um ein reines Paketierungsproblem: Debug-Metadaten, die für die interne Fehlerbehebung bestimmt waren, wurden versehentlich in eine Produktionsversion eingebunden. Diese Darstellung ist aus rein sicherheitstechnischer Sicht korrekt, unterschätzt aber, wie viele strategische Informationen im Quellcode eines modernen KI-Agenten enthalten sind.
Erschwerend kam hinzu, dass dies nicht das erste Mal Etwas Ähnliches war bereits vorgekommen. Ein sehr vergleichbarer Source-Map-Leak betraf Berichten zufolge eine frühere Version von Claude Code. Februar 2025Zwei nahezu identische Vorfälle innerhalb von etwa 13 Monaten werfen unweigerlich Fragen darüber auf, wie konsequent Anthropic die Leitplanken in seinen Veröffentlichungsprozessen durchsetzt.
Was der geleakte Claude-Code tatsächlich enthüllt
Als Forscher und Entwickler begannen, die wiederhergestellten Dateien zu durchforsten, wurde deutlich, dass es sich nicht um einen oberflächlichen Blick auf einige Hilfsskripte handelte, sondern um ein Vollständiger architektonischer Querschnitt der CLI von Claude Code.Der TypeScript-Baum umfasst etwa eine halbe Million Zeilen und beinhaltet Folgendes:
- Werkzeugausführung und Orchestrierung: Wie Claude Code Tools, Shells und externe Dienste plant, sequenziert und aufruft.
- Berechtigungsschemata und Sandboxing-Regeln: die genaue Logik, die festlegt, welche Befehle mit welchen Parametern und in welchen Umgebungen ausgeführt werden können.
- Speichersysteme und Kontextmanagement: Strategien für die Durchführung lang andauernder Sitzungen, ohne den Zusammenhang zu verlieren.
- Telemetrie und Analytik: Was gemessen, zusammengefasst und an Anthropic zurückgesendet wird.
- Systemaufforderungen und Funktionsflags: Die verborgenen Anweisungen, die das Verhalten des Agenten prägen und experimentelle Funktionen aktivieren/deaktivieren.
Gemeinschaftsanalysen hoben hervor, dass dreischichtiges Speicherdesign im Mittelpunkt steht eine Datei, die oft als beschrieben wird MEMORY.mdAnstatt die Rohdaten der Interaktionshistorie unbegrenzt zu protokollieren, pflegt Claude Code Folgendes: eine indizierte, themenbasierte ReferenzstrukturDer Agent konsultiert diesen Index, wenn er auf frühere Arbeiten zurückgreifen muss, wobei er nur die für die aktuelle Aufgabe relevanten Fragmente abruft und strenge Schreibregeln befolgt, um Kontextdrift und Selbstkorruption zu vermeiden.
Dieser Ansatz des „Erinnerns mit gesunder Skepsis“ trägt dazu bei, die Entropie lang andauernder Gespräche, wo eine naive Kontextakkumulation andernfalls dazu führen würde, dass der Agent inkonsistent wird oder Halluzinationen erzeugt. Für andere Teams, die agentenbasierte Tools entwickeln, ist das Leck effektiv ein kostenloser Meisterkurs in produktionsreifer Speicherorchestrierung.
Der Quellcode legt außerdem verschiedene interne Telemetrie-Schnittstellen offen. Darunter befindet sich Logik, die Flaggen Frustrationssignale – beispielsweise das Scannen von Eingabeaufforderungen nach Obszönitäten – ohne dabei vollständige Benutzerkonversationen oder Quellcodes zu speichern. Ein weiteres bemerkenswertes Element ist ein „Undercover“- oder Tarnmodus Entwickelt, um interne Projekt-Codenamen und andere sensible Kennungen aus Git-Commits und Pull-Requests zu entfernen, damit KI-generierte Beiträge nicht versehentlich firmeneigene Details preisgeben.
Über die bereits im Produkt sichtbaren Systeme hinaus verweist die Codebasis auf … nicht veröffentlichte oder versteckte Funktionen gesteuert durch Feature-Flags: Modi für den Hintergrundbetrieb, die Koordination zwischen mehreren Agenten und sogar spielerische UI-Elemente wie Terminal-Begleiter.
Nicht veröffentlichte Module: KAIROS, BUDDY und Multiagentenschwärme
Einige der aufsehenerregendsten Entdeckungen betreffen Funktionen, die Anthropic noch nicht öffentlich angekündigt hatte und die nun in detaillierten technischen Beschreibungen offengelegt werden. Eines der herausragenden Module ist KAIROS, in den Kommentaren und der Konfiguration als ein ständig laufender Hintergrunddienst das Dateiänderungen überwacht, Ereignisse protokolliert und sogenannte Aktionen ausführt Traum oder „oniric“ Konsolidierung erfolgt, wenn der Benutzer inaktiv ist.
In der Praxis scheint KAIROS Claude Code etwas Ähnliches zu bieten wie „Immer-an“-AutonomieAnstatt passiv auf Eingabeaufforderungen zu warten, kann der Agent regelmäßig aktiv werden, sein Verständnis des Quellcodes neu indizieren, seine Speicherstrukturen bereinigen und bessere Pläne für kommende Arbeitssitzungen erstellen. Für Teams, die mit vollständig autonomen Agenten experimentieren, offenbart dies im Wesentlichen Anthropics Konzept für langlebige Hintergrundprozesse.
Ein weiteres Merkmal, das die Fantasie des Internets schnell beflügelte, ist KUMPEL, im Code dargestellt als eine Art von Maskottchen am TerminalDie Umsetzung umfasst 18 verschiedene „Arten“ – darunter ein Wasserschwein – sowie spielerische Statistiken wie zum Beispiel DEBUGGING, PATIENCE , CHAOSBUDDY mag auf den ersten Blick verspielt wirken, doch es deutet darauf hin, dass Anthropic mit ausdrucksstärkeren, emotional sensibleren Entwicklererlebnissen experimentiert.
Am anderen Ende des Spektrums befindet sich eine Architektur für die Zusammenarbeit mehrerer Agenten. Intern wird sie durch Konstrukte wie beispielsweise … beschrieben. Koordinator-Modus , ULTRAPLAN-SitzungenDieses System ermöglicht es einem primären Agenten Flotten von Arbeiteragenten erzeugen und überwachen Parallel dazu. Dokumentationsfragmente verweisen auf Fernplanungsbesprechungen zwischen Agenten, die 10 bis 30 Minuten dauern, was auf ein Modell hindeutet, bei dem Claude Code eine große Aufgabe aufteilen, Teilaufgaben an Helfer delegieren und anschließend die Ergebnisse zusammenführen kann.
Es gibt auch Hinweise auf Module und Modellvarianten, die sich noch in der Entwicklung befinden, einschließlich Verweisen auf interne Bezeichnungen wie z. B. Capybara, dargestellt als Weiterentwicklungen der Claude 4.x-Familie. Im Code eingebettete Metriken erwähnen Die Falsch-Positiv-Rate liegt bei etwa 29–30 %. bei einigen Sicherheits- oder Detektionssystemen, verglichen mit rund 16.7 % in früheren Runden – offene Zahlen, die normalerweise nur in den Entwickler-Dashboards zu finden wären.
Zusammengenommen verwandeln diese Funde den durchgesickerten Baum in eine Roadmap-ähnliche Momentaufnahme der Agentenstrategie von Anthropic: wo das Unternehmen die Grenzen sinnvoller Autonomie sieht, wie es die Zusammenarbeit der Agenten gestalten möchte und mit welchen Abwägungen es derzeit zu kämpfen hat.
Gefängnisausbrüche, Klone und die Folgen für die Lieferkette
Selbst wenn keine Passwörter oder Token offengelegt wurden, sind Sicherheitsexperten alles andere als beruhigt. Mit der vollständigen CLI-Logik in der Hand wird es deutlich einfacher, Claude Codes Leitplanken rückwärts entwickeln und erkunden die umliegenden Pfade. Was früher eine Blackbox war, ist jetzt eine Schritt-für-Schritt-Anleitung, wie das Tool Befehle analysiert, Filter anwendet und entscheidet, ob etwas sicher im Terminal eines Benutzers ausgeführt werden kann.
Diese Transparenz kann ein zweischneidiges Schwert sein. Auf der einen Seite können defensive Forscher nun Überprüfen Sie das Sicherheitsmodell in beispielloser Tiefe und Härtungsstrategien vorschlagen. Andererseits können Angreifer gezielte Aufforderungen und Kontextmanipulationen entwickeln, um Schädliche Anweisungen an Bash-Validatoren vorbeischmuggeln, subtile Unterschiede zwischen Berechtigungsebenen ausnutzen oder den Agenten zu Aktionen verleiten, die er nie ausführen sollte.
Eine eng damit verbundene Sorge ist der Anstieg von bösartige oder gefälschte KloneMit einer produktionsreifen Codebasis ist es für einen motivierten Angreifer ein Leichtes, Branding und Telemetriedaten zu entfernen, Hintertüren oder Logik zur Datenexfiltration einzufügen und ein nahezu identisches Paket unter einem leicht veränderten Namen zu veröffentlichen. Für Entwickler, die Tools automatisch über npm installieren, ist das Risiko, einen manipulierten „Claude-ähnlichen“ Agenten einzuschleusen, nun deutlich höher.
Der Zeitpunkt des Datenlecks verstärkte diese Bedenken. Ungefähr zur gleichen Zeit stand npm vor einem Problem. unabhängiger Lieferkettenangriff auf das beliebte axios PaketSchadsoftware war zwischen etwa 00:21 und 03:29 UTC aktiv. Dieser parallele Vorfall verdeutlichte, wie fragil das JavaScript-Ökosystem in Bezug auf das Vertrauen in Abhängigkeiten sein kann.
Die Sicherheitshinweise für Teams, die Claude Code in diesem Zeitraum über npm installiert oder aktualisiert haben, waren unmissverständlich: Überprüfen Sie Ihren Abhängigkeitsbauminsbesondere für Pakete wie axios , plain-crypto-js; die Anmeldeinformationen, die möglicherweise auf betroffenen Systemen vorhanden waren, sollten aktualisiert werden; und ungewöhnliches Verhalten sollte genau beobachtet werden. Anthropic hat seinerseits ausdrücklich Folgendes vorgeschlagen: bevorzugt dessen nativen Installer gegenüber npm. mit dem Ziel, die Angriffsfläche zu verkleinern.
Offizielle Stellungnahme von Anthropic und DMCA-Anfrage
Als die Nachricht vom Datenleck bekannt wurde, reagierte Anthropologie schnell, um die öffentliche Meinung zu beeinflussen. In Stellungnahmen gegenüber Medien wie TecMundo und VentureBeat betonte das Unternehmen, dass Dies war ein Problem bei der Veröffentlichung und Paketierung, das durch menschliches Versagen verursacht wurde.Es handelt sich weder um einen Verstoß gegen die interne Infrastruktur noch um einen externen Hackerangriff.
Die Kernbotschaft blieb unverändert: keine Kundengeheimnisse, keine Zugangsdaten, keine Modellgewichte war durchgesickert; lediglich die interne Anwendungslogik wurde offengelegt. In der Erklärung wurde außerdem betont, dass Anthropic bereits Einführung von Sicherheitsvorkehrungen zur Verhinderung ähnlicher Zwischenfälle in zukünftigen Versionen, obwohl detaillierte Nachuntersuchungen nicht veröffentlicht wurden.
Auf rechtlicher Ebene ging das Unternehmen energisch vor. DMCA-LöschungskampagneGitHub und andere Hosting-Anbieter erhielten Anfragen zur Entfernung von Repositories, die den Quellcode von Claude Code spiegelten. Einige der prominentesten Spiegel verschwanden, nachdem sie erhebliche Aufmerksamkeit und Diskussionen erregt hatten.
Trotz dieser Maßnahmen sieht die praktische Realität so aus, dass, sobald eine Codebasis dieser Größe in die freie Wildbahn gelangt, Es wieder vollständig unter Kontrolle zu bringen, ist nahezu unmöglichArchivierte Kopien kursieren privat, verschlüsselte Pakete befinden sich auf allgemeinen File-Sharing-Seiten und Teile des Codes wurden bereits von Enthusiasten, die Urheberrechtsbeschränkungen umgehen wollen, in andere Sprachen wie Python und Rust portiert oder neu implementiert.
Der Vorfall ereignete sich zudem nur wenige Tage nach einem anderen Konfigurationsfehler. etwa 3,000 interne Dateien wurden offengelegt Die Verbindung zu einem unveröffentlichten Modell namens „Claude Mythos“ ist auf ein falsch konfiguriertes Content-Management-System zurückzuführen. Zwei voneinander unabhängige Veröffentlichungsausfälle innerhalb von weniger als einer Woche haben Beobachter natürlich zu Fragen veranlasst. Anthropics operative Hygiene in Bezug auf Inhalts- und Code-Releases.
Weiterreichende Auswirkungen auf das KI-Ökosystem und die Wettbewerber
Aus geschäftlicher Sicht trifft das Leck ein Produkt, das bereits als einer der wichtigsten Umsatztreiber von AnthropicBranchenschätzungen zufolge erzielt Claude Code jährlich wiederkehrende Umsätze im niedrigen Milliardenbereich, wobei der Großteil der Nutzung von Unternehmenskunden stammt. Das macht die CLI nicht nur zu einem Spielzeug für Entwickler, sondern zu einem... strategische Säule der kommerziellen Roadmap des Unternehmens.
Indem so viel von der Architektur öffentlich gemacht wurde, liefert der Vorfall rivalisierenden Teams effektiv die Möglichkeit dazu. ein äußerst detailliertes Ingenieurhandbuch Andernfalls wären jahrelange Experimente und erhebliche Investitionen nötig, um diese Ergebnisse zu erzielen. Konkurrierende Tools, darunter neuere agentenbasierte IDEs und Coding-Copiloten, können ihre eigenen Ansätze nun anhand der realen Designentscheidungen von Anthropic bewerten, anstatt sich auf Vermutungen und Marketingversprechen zu stützen.
Gleichzeitig senkt das Leck die Eintrittsbarriere für potenzielle Claude-Code-KonkurrentenEs ist nun wesentlich einfacher, einen Agenten mit ähnlichen Speichermustern, Hintergrundprozessen und Koordinationsfähigkeiten zu erstellen, indem man auf bereits für den Produktiveinsatz optimierte Implementierungen zurückgreift. In diesem Sinne ist ein Teil des intellektuellen Vorsprungs von Anthropic plötzlich zu gemeinsamem Wissen für die gesamte Branche geworden.
Die Geschichte lehrt uns, dass solche Ereignisse paradoxe Auswirkungen haben können. Einerseits... Innovationen im gesamten Bereich beschleunigenDa immer mehr Teams von qualitativ hochwertigen Beispielen lernen, schrumpft gleichzeitig der Vorsprung der Pioniere, wodurch etablierte Unternehmen gezwungen sind, schneller zu agieren und stärker in differenzierende Merkmale, Sicherheit und Zuverlässigkeit zu investieren.
Für Startups und Unternehmenskunden, die KI-Tools evaluieren, könnte dieser Vorfall die Erwartungen subtil verändern. Potenzielle Kunden werden die Anbieter voraussichtlich stärker unter Druck setzen. Release-Disziplin, CI/CD-Sicherheitsvorkehrungen und Prozesse zur Reaktion auf Sicherheitsvorfälleund betrachtet sichere Veröffentlichungsprozesse als unverzichtbaren Bestandteil jeder ernstzunehmenden KI-Plattform.
Sicherheitslektionen: von Konfigurationsdateien zu MCP-Servern
Sicherheitsverantwortliche und -experten haben das Leck als Ausgangspunkt genutzt, um Vorschläge zu unterbreiten. Beton-Abwehrstufen für Organisationen, die bereits mit agentenbasierten Codierungswerkzeugen experimentieren. Eine häufig empfohlene Maßnahme ist, Prüfkonfigurationsdateien, die mit dem Claude-Code verknüpft sind, sowie CLAUDE.md , .claude/config.json, die als Vektoren mit hohen Berechtigungen für das Einschleusen versteckter Anweisungen oder das Lockern von Sicherheitseinstellungen fungieren können.
Ein weiterer Schwerpunkt ist Behandlung externer Tool-Server und Model Context Protocol (MCP)-Endpunkte als nicht vertrauenswürdige AbhängigkeitenDa die Vertragsschnittstellen nun detailliert dargestellt sind, könnten Angreifer versuchen, sich als legitime Server auszugeben oder das Verhalten an diesen Schnittstellen subtil zu verändern. Das Festlegen von Versionen, die Überwachung von Änderungen und die Verschärfung der Zugriffskontrollen können dieses Risiko verringern.
Angesichts der Geschwindigkeit, mit der ein KI-Assistent Code verschieben kann, werden Teams außerdem dringend aufgefordert, Sperre Shell-Berechtigungen und scanne systematisch nach Geheimnissen. Bevor sie überhaupt in einem Repository landen. Dieselben Fähigkeiten, die Agenten produktiv machen – das schnelle Bearbeiten von Konfigurationen, das Einbinden von CI und das Bedienen mehrerer Dienste – können genauso leicht einen einzigen Fehltritt zu einem schwerwiegenden Datenleck ausweiten.
Schließlich wächst der Druck auf Organisationen, Die Herkunft von KI-gestützten Commits nachverfolgenDa immer mehr Code weltweit von Agenten geschrieben oder modifiziert wird, können Regulierungsbehörden und Prüfer zu Recht klare Offenlegungsrichtlinien, eine robuste Protokollierung und Möglichkeiten zur Überprüfung des Ursprungs kritischer Logik erwarten, insbesondere in sensiblen oder regulierten Bereichen.
Zusammengenommen spiegeln diese Vorschläge einen Wandel wider: von der Betrachtung von KI-Agenten als bloßes Entwicklerwerkzeug hin zur Anerkennung ihrer Rolle als Kerninfrastruktur mit eigenen dedizierten Bedrohungsmodellen, Schwachstellen in der Lieferkette und Governance-Anforderungen.
Alles in allem ist der Leak des Claude-Codes über npm weniger eine Geschichte über eine einzelne fehlerhafte Version, sondern vielmehr darüber, wie Kleine, vertraute Fehler in modernen Software-Pipelines können die Wettbewerbs- und Sicherheitslandschaft grundlegend verändern. Im Bereich der KI. Da die internen Handlungsanweisungen des Agenten nun praktisch öffentlich sind, stehen Anthropic und seine Mitbewerber unter zunehmendem Druck, ihre Veröffentlichungsprozesse zu verbessern, zu überdenken, wie viel Logik sie am Rand offenlegen, und Kulturen zu schaffen, in denen Konfigurationsdetails genauso genau geprüft werden wie jede hochmoderne Modellarchitektur.
