7 Min. Lesezeit

Am 31. März 2026 landete der vollständige Quellcode von Claude Code im offenen Netz. Nicht durch einen Hack, sondern durch eine vergessene Konfigurationszeile in einem NPM-Paket. Die 512.000 Zeilen TypeScript, die Sicherheitsforscher Chaofan Shou in der Source-Map-Datei fand, zeichnen ein Bild, das weit über einen KI-Chatbot hinausgeht: Claude Code ist eine vollwertige Agenten-Runtime mit Tool-System, Berechtigungsmodell und Multi-Agent-Koordination. Die Analyse des Codes offenbart nicht nur, wie Anthropic sein prominentestes Entwicklertool aufgebaut hat, sondern wie die nächste Generation von KI-Agenten-Architekturen grundsätzlich funktioniert.

Das Wichtigste in Kürze

• NPM-Paket @anthropic-ai/claude-code v2.1.88 enthielt eine 59,8 MB große Source-Map-Datei mit dem vollständigen TypeScript-Quellcode.
• Die Architektur basiert auf Bun, TypeScript und React/Ink mit rund 40 integrierten Werkzeugen und einem vierstufigen Berechtigungssystem.
• 44 Feature-Flags deuten auf unveröffentlichte Funktionen hin: autonomer Daemon-Modus (KAIROS), Multi-Agent-Koordination, Sprachsteuerung.
• Anthropic bestätigt: „Verpackungsfehler durch menschliches Versagen.“ Keine Kundendaten oder API-Keys betroffen.
• 8.100+ GitHub-Mirrors per DMCA entfernt, doch der Code kursiert auf dezentralen Plattformen weiter.

Was passiert ist

Am Morgen des 31. März veröffentlichte Chaofan Shou seinen Fund auf X. Shou ist Doktorand an der UC Berkeley, Mitgründer des Blockchain-Security-Startups Fuzzland und Bug-Bounty-Forscher mit 1,9 Millionen US-Dollar an gemeldeten Schwachstellen. Sein Befund: Version 2.1.88 des offiziellen NPM-Pakets @anthropic-ai/claude-code enthielt die Datei cli.js.map. Diese 59,8 MB große Source-Map-Datei enthielt im sourcesContent-Feld den vollständigen TypeScript-Quellcode von Claude Code – rund 1.900 Dateien mit 512.000 Zeilen Produktionscode.

Die Source Map verwies zusätzlich auf ein ZIP-Archiv auf Anthropics öffentlich zugänglichem Cloudflare-R2-Bucket. Innerhalb von Stunden wurde der Code auf GitHub gespiegelt. Das prominenteste Repository erreichte über 41.500 Forks, bevor Anthropics DMCA-Notices griffen und GitHub insgesamt 8.100 Repositories deaktivierte.

Der Code ist auf dezentralen Plattformen weiterhin verfügbar. Derivative Projekte – darunter eine Python-Portierung und ein Rust-Rewrite – überlebten die DMCA-Maßnahmen, da sie keine Direktkopien sind. Die wahrscheinliche Ursache: Anthropic nutzt Bun als Runtime. Ein offener Bun-Bug (gemeldet am 11. März 2026) dokumentiert, dass Buns Bundler Source Maps standardmäßig generiert – auch im Produktionsmodus. Weder .npmignore noch das files-Feld in package.json waren konfiguriert, um .map-Dateien auszuschließen.

Die Community reagierte schnell – und mit einem Sinn für Ironie: Innerhalb von 24 Stunden entstanden ein Python-Port (claw-code, 30.000 GitHub-Stars in Rekordzeit) und ein Rust-Rewrite. Auf Hacker News dominierte ein Kommentar die Diskussion: „Anthropic vermarktet Claude als Code-Schreibwerkzeug – und der eigene Code leakt wegen eines fehlenden .npmignore-Eintrags.“

Bemerkenswert: Es war der zweite Datenschutzvorfall bei Anthropic innerhalb einer Woche. Wenige Tage zuvor waren rund 3.000 interne Dateien in einem öffentlich zugänglichen Cache aufgetaucht – darunter Details zu einem unveröffentlichten KI-Modell mit dem internen Codenamen „Mythos“. Für ein Unternehmen, das mit einer Bewertung von geschätzt 380 Milliarden US-Dollar einen IPO anstrebt, kommt der Zeitpunkt denkbar ungünstig.

Keine Chat-Oberfläche – eine Agenten-Runtime

Die technische Analyse des Quellcodes bestätigt, was viele Cloud-Entwickler vermutet haben: Claude Code ist kein Chatbot mit Terminal-Interface. Es ist eine modulare Agenten-Runtime, die ein großes Sprachmodell mit einem umfangreichen Werkzeugkasten umgibt.

Die Kernarchitektur: Bun statt Node.js als Runtime (Anthropic erwarb die Muttergesellschaft des Bun-Projekts). React mit Ink für das Terminal-Rendering. Zod v4 für Schema-Validierung aller Tool-Ein- und -Ausgaben. OpenTelemetry und gRPC werden erst bei Bedarf geladen, um die Startzeit zu minimieren – ein klassisches Lazy-Loading-Pattern, das auf einen Fokus auf Developer Experience hindeutet.

Das Tool-System umfasst rund 40 diskrete, berechtigungsgesteuerte Werkzeuge: Dateisystemzugriff, Bash-Ausführung, Web-Abruf, Glob-Suche, LSP-Integration und die Einbindung externer MCP-Server (Model Context Protocol). Die Query Engine allein – zuständig für API-Aufrufe, Streaming, Caching, Orchestrierung und Token-Zählung – umfasst 46.000 Zeilen Code.

Das Berechtigungsmodell arbeitet auf vier Ebenen: Plan (nur Lesen), Standard (mit Bestätigungsdialogen), Auto (Wildcard-Genehmigungen) und Bypass (vollständiger Zugriff). Ein Klassifikator entscheidet, welche Aktionen welche Berechtigungsstufe erfordern. Eine Bash-Validierungsschicht prüft Befehle vor der Ausführung auf Risikoindikatoren. Das gesamte System unterstützt OS-Level-Sandboxing für Dateisystem und Netzwerk.

„Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach.“
– Anthropic, offizielle Stellungnahme, 31.03.2026

Das Speichersystem ist dreistufig aufgebaut: Eine kompakte MEMORY.md-Datei mit kurzen Referenzen bildet die erste Ebene. Separate Projektnotizen werden kontextabhängig geladen. Die dritte Ebene durchsucht vergangene Sessions selektiv, statt den gesamten Verlauf zu laden. Dieses Design adressiert ein Kernproblem von LLM-Anwendungen: Kontextfenster sind begrenzt, aber Projektkontext wächst unbegrenzt.

Die IDE-Integration läuft über eine bidirektionale JWT-authentifizierte Brücke zu VS Code und JetBrains. Claude Code fungiert dabei gleichzeitig als MCP-Client und MCP-Server – es kann externe Werkzeuge einbinden und selbst als Werkzeug für andere Systeme dienen. Diese Architekturentscheidung positioniert Claude Code nicht als eigenständiges Produkt, sondern als Integrationsschicht für Entwicklungsinfrastruktur.

44 Feature-Flags enthüllen die Roadmap

Besonders aufschlussreich sind die 44 Compile-Time-Feature-Flags für unveröffentlichte Funktionen. Sie zeigen, in welche Richtung Anthropic Claude Code entwickelt:

KAIROS ist ein autonomer Daemon-Modus, der Claude Code als permanent laufenden Hintergrundagenten betreibt. 15 Sekunden Blocking-Budget pro Aktion, append-only Tages-Logs. Ein Subsystem namens autoDream konsolidiert Beobachtungen im Leerlauf und wandelt vage Notizen in konkrete Fakten um. Über 150 Erwähnungen im Quellcode deuten auf fortgeschrittene Entwicklung hin – nicht auf ein Experiment.

COORDINATOR_MODE implementiert Multi-Agent-Orchestrierung: Ein Claude-Agent steuert mehrere Worker-Agenten parallel. Die System-Prompt-Anweisung für den Koordinator lautet: „Do not rubber-stamp weak work.“ Das ist Multi-Agent nicht als Forschungsprojekt, sondern als Produktionsarchitektur.

ULTRAPLAN ist ein Deep-Planning-Modus mit bis zu 30 Minuten serverseitiger Ausführung – eine Größenordnung über dem, was aktuelle LLM-Interaktionen typischerweise dauern.

Daneben existieren VOICE_MODE (Push-to-Talk-Sprachsteuerung im Terminal), BRIDGE_MODE (Fernsteuerung einer Claude-Code-Instanz durch einen externen Prozess) und BUDDY – ein Tamagotchi-ähnliches Terminal-Haustier mit 18 Spezies, Seltenheitsstufen und fünf Attributen (Debugging, Patience, Chaos, Wisdom, Snark). Das Haustier wird aus einem Hash der User-ID generiert und war offenbar als Aprilscherz-Easter-Egg geplant.

Zwei technische Details verdienen besondere Aufmerksamkeit: Ein Anti-Distillation-Mechanismus (Flag: ANTI_DISTILLATION_CC) injiziert gefälschte Tool-Definitionen in API-Anfragen. Ziel: Trainingsdaten von Konkurrenten zu vergiften, die API-Traffic aufzeichnen, um eigene Modelle zu trainieren. Und ein Undercover Mode entfernt sämtliche Anthropic-Referenzen, wenn Claude Code in öffentlichen Repositories arbeitet. Die interne Anweisung: „You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Do not blow your cover.“

Was das für Cloud-Architekturen bedeutet

Der Leak bestätigt einen Trend, den Cloud-Architekten aufmerksam verfolgen sollten: KI-gestützte Entwicklungswerkzeuge sind keine dünnen API-Wrapper. Sie sind vollwertige Runtime-Systeme mit eigener Infrastruktur, Speicherverwaltung und Orchestrierungslogik.

Drei Erkenntnisse für Teams, die KI-Tools in ihre Entwicklungsprozesse integrieren:

Die Komplexität unter der Oberfläche ist erheblich. 512.000 Zeilen Code für ein CLI-Tool verdeutlichen den Engineering-Aufwand, der nötig ist, um ein LLM produktiv in Entwicklungsworkflows einzubinden. Das Tool-System, das Berechtigungsmodell, das Speichersystem – jede Schicht ist eine eigenständige Softwarekomponente. Wer ähnliche Integrationen intern plant, sollte den Scope realistisch einschätzen.

Multi-Agent ist Produktionsarchitektur. Die Coordinator-Mode-Implementierung zeigt ein konkretes Pattern: Ein orchestrierender Agent delegiert Aufgaben an parallele Worker, überwacht deren Qualität und konsolidiert Ergebnisse. Dieses Muster ist für Cloud-native Microservice-Architekturen übertragbar – und es kommt aus einem Produktionssystem, nicht aus einem Paper.

Source Maps in NPM-Paketen bleiben ein unterschätztes Risiko. Buns Standard-Build-Konfiguration generiert Source Maps automatisch. Jedes Team, das Bun in CI/CD-Pipelines einsetzt, sollte prüfen, ob .map-Dateien in veröffentlichten Artefakten landen. Ein npm pack –dry-run vor jedem Publish ist die einfachste Gegenmaßnahme. Dass dieses Problem bei Anthropic dreimal aufgetreten ist (v0.2.8, v0.2.28 und jetzt v2.1.88), zeigt: Manuelle Kontrolle reicht nicht. Ein automatisiertes CI-Gate, das den Build bei .map-Dateien im Artefakt abbricht, ist die richtige Lösung.

Darüber hinaus wirft der Leak eine strategische Frage auf: Wenn KI-Agenten als Runtime-Systeme ernst genommen werden sollen, müssen ihre Berechtigungs- und Sandboxing-Modelle denselben Sicherheitsstandards genügen wie jede andere Produktionsinfrastruktur. Sechs dokumentierte CVEs in Claude Code vor dem Leak – darunter API-Key-Leakage und Sandbox-Bypasses – deuten darauf hin, dass die Branche diesen Reifegrad noch nicht durchgängig erreicht hat.

Häufige Fragen

Wurden Kundendaten oder API-Keys exponiert?

Nein. Anthropic und unabhängige Sicherheitsanalysen bestätigen: Weder Kundendaten noch Zugangsdaten waren im Quellcode enthalten. Exponiert wurde der Anwendungscode der Claude-Code-CLI, nicht die KI-Modelle, Trainingsdaten oder operative Geheimnisse.

Was ist eine Source Map und warum ist sie ein Risiko?

Source Maps sind JSON-Dateien, die kompilierten JavaScript-Code auf den Originalquellcode zurückmappen. Sie enthalten ein sourcesContent-Feld mit dem vollständigen lesbaren Quelltext. In Produktionspaketen offenbaren sie Architektur, interne Logik und Endpunkte. Tools wie reverse-sourcemap rekonstruieren aus einer einzigen .map-Datei die komplette Verzeichnisstruktur.

Warum nutzt Anthropic Bun statt Node.js?

Anthropic erwarb Buns Muttergesellschaft. Bun bietet schnellere Startzeiten und eine integrierte Bundler-Toolchain, die für CLI-Tools entscheidend sind. Allerdings generiert Buns Bundler Source Maps standardmäßig – ein dokumentierter Bug (gemeldet 11. März 2026), der zum Leak beitrug.

Ist der Quellcode noch zugänglich?

Auf GitHub wurden 8.100+ Repositories per DMCA deaktiviert. Der Code ist auf dezentralen Plattformen wie Gitlawb weiterhin verfügbar. Unabhängige Projekte haben die Architektur in Python und Rust nachgebaut – als eigenständige Implementierungen fallen sie nicht unter das DMCA.

Was bedeuten die Feature-Flags für Claude-Code-Nutzer?

Die 44 Flags zeigen Funktionen in aktiver Entwicklung. KAIROS (autonomer Daemon), COORDINATOR_MODE (Multi-Agent) und VOICE_MODE (Spracheingabe) deuten auf eine erhebliche Erweiterung hin. Wann und ob diese Features für alle Nutzer freigeschaltet werden, ist nach dem Leak unklar – Anthropic könnte interne Roadmaps anpassen.

Quelle Titelbild: Pexels / Markus Spiske (px:6190327)