Start/Stimmung/Markt/Claude Code Source Leak: 512.000 Zeilen Quellcode auf npm
1. April 2026

Mit Version 2.1.88 von Claude Code hat Anthropic eine Source-Map-Datei auf npm veröffentlicht, die den gesamten TypeScript-Quellcode offenlegte -- fast 2.000 Dateien, über 512.000 Zeilen. Es war nicht das erste Mal: Laut Fortune war dasselbe bereits im Vormonat passiert.

Was passiert ist

Security-Researcher Chaofan Shou machte den Fund auf X öffentlich. Innerhalb kurzer Zeit landete der Quellcode auf GitHub und wurde zehntausendfach geforkt. Anthropic reagierte mit DMCA-Takedowns gegen die Verbreitung. Ein Sprecher erklärte, es seien keine sensitiven Kundendaten oder Credentials betroffen -- man stufe den Vorfall als Packaging-Fehler durch menschliches Versagen ein, nicht als Sicherheitsvorfall.

Der Leak fiel in dieselbe Woche wie der Mythos-Blogpost-Leak. TechCrunch titelte treffend: "Anthropic is having a month."

Verbreitung und DMCA-Chaos

Trotz sofortiger DMCA-Takedowns wurde der geleakte Code ueber 8.000 Mal auf GitHub geklont. Der Fork erreichte an einem einzigen Tag ueber 110.000 GitHub Stars. Anthropics Versuch, die Verbreitung einzudaemmen, ging nach hinten los: Die DMCA-Takedowns trafen auch Repositories, die gar keinen geleakten Code enthielten. Theo berichtete ueber einen DMCA gegen einen Fork ohne Quellcode. Anthropic raeumte den Fehler ein und zog die meisten ueberzogenen Takedowns zurueck.

Was die Community fand

Die Analyse des Quellcodes lieferte einen detaillierten Einblick in die Architektur von Claude Code:

Latent.Space AINews lieferte eine der detailliertesten Analysen. Der Code offenbart eine 40+ Tool-Architektur und einen 4-Layer Context Compression Stack bestehend aus HISTORY_SNIP, Microcompact, CONTEXT_COLLAPSE und Autocompact. Hinzu kommen Feature Flags und versteckte Features wie Task Budget Management, ein AFK-Modus und "Penguin" Fast Mode.

KAIROS: Der Always-On Agent im Detail

Das mit Abstand aufsehenerregendste Feature im Leak ist KAIROS -- benannt nach dem altgriechischen Konzept des "richtigen Moments". Der Name ist Programm: KAIROS ist ein persistenter Daemon, der im Hintergrund weiterlaeuft, nachdem das Terminal geschlossen wurde. Er ist ueber 150 Mal im Quellcode referenziert und hinter den Feature-Gates feature('KAIROS') und feature('PROACTIVE') gesperrt.

Tick-Loop (Proaktive Engine): KAIROS injiziert <tick>-Nachrichten wenn die Warteschlange leer ist. Der Mechanismus nutzt setTimeout() um dem Event-Loop zu yielden, sodass Nutzereingaben autonome Aktionen jederzeit unterbrechen koennen. Bei jedem Tick entscheidet das Modell eigenstaendig ob es handeln oder schlafen soll.

15-Sekunden Blocking Budget: Die Konstante ASSISTANT_BLOCKING_BUDGET_MS = 15_000 erzwingt Responsiveness. Shell-Kommandos die laenger als 15 Sekunden dauern werden automatisch in den Hintergrund verschoben (startBackgrounding(...)). So blockiert der Agent nie den Entwickler-Workflow.

SleepTool: Verhindert API-Kosten waehrend Leerlaufzeiten. Das Prompt instruiert explizit: "Each wake-up costs an API call, but the prompt cache expires after 5 minutes of inactivity -- balance accordingly." Das Modell lernt Kosten gegen Reaktionsfaehigkeit abzuwaegen.

Append-Only Tageslogbuch: Sessions schreiben in logs/YYYY/MM/YYYY-MM-DD.md statt MEMORY.md zu ueberschreiben. Ein separater naechtlicher /dream-Prozess destilliert die Logs in strukturierte Topic-Files und aktualisiert den Index.

autoDream (Memory-Konsolidierung): Im Verzeichnis services/autoDream/ liegt ein Memory-Konsolidierungssystem das als geforkter Subagent laeuft -- ein separater Prozess, der unabhaengig vom Hauptassistenten operiert, damit die Bereinigungsarbeit den primaeren Kontext nicht korrumpieren kann. Waehrend der Nutzer idle ist, konsolidiert autoDream Beobachtungen, entfernt logische Widersprueche und wandelt vage Einsichten in strukturierte Fakten um.

SendUserMessage (BriefTool): Alle nutzer-sichtbaren Ausgaben laufen ueber ein dediziertes Tool. Das Prompt warnt: "Text outside it is visible if the user expands the detail view, but most won't -- assume unread." Ein dreistufiges Filtersystem erzwingt diesen Vertrag auf UI-Ebene.

Verwandte Features: Neben KAIROS enthuellt der Leak weitere gesperrte Module: ULTRAPLAN lagert tiefe Planungssessions an eine Remote-Opus-4.6-Instanz fuer bis zu 30 Minuten aus. COORDINATOR_MODE orchestriert Multi-Agent-Schwaerme mit strukturierten Research-Synthese-Implementierungs-Phasen ueber System-Prompts statt Code -- inklusive der Anweisung "Do not rubber-stamp weak work". DREAM ist das naechtliche Selbstwartungssystem fuer Memory-Reorganisation.

Insgesamt dokumentiert der Leak 108 gesperrte Module die nicht im oeffentlichen Paket erscheinen. Fuer Entwickler, die mit Claude Code arbeiten, sind diese Details aufschlussreich -- sie zeigen eine ausgereifte Orchestrierungsschicht, die weit ueber einen einfachen Chat-Wrapper hinausgeht. Und sie zeigen wohin die Reise geht: vom reaktiven Werkzeug zum proaktiven Agenten, der Kontext ueber die Zeit aufbaut und eigenstaendig handelt.

Sicherheitsrisiken

Unmittelbar nach dem Leak registrierten Angreifer verdächtige npm-Pakete wie color-diff-napi und modifiers-napi, die auf Nutzer abzielten, die den geleakten Code selbst kompilieren wollten -- ein klassischer Supply-Chain-Angriff.

Joseph Steinberg warnte, Source Maps seien grundsätzlich ein Sicherheitsrisiko. Dan Schiappa (Arctic Wolf) betonte, dass zwar keine Modellgewichte betroffen seien, aber Orchestrierungslogik, Prompts und Workflows nun offenlägen. Tanya Janca ordnete ein: ein "unglaublich häufiger Entwicklerfehler", der hier wegen des hohen IP-Werts besonders schwer wiege.

Open-Source-Reaktion

Der Leak hat die Open-Source-Community mobilisiert. Projekte wie Nous Hermes Agent positionieren sich als offene Alternativen zu Claude Code und nutzen die jetzt oeffentlich bekannte Architektur als Referenz. Die Ironie: Was Anthropic als proprietaere IP schuetzen wollte, wird zum Bauplan fuer Konkurrenzprodukte.

DMCA-Nachwirkungen

Ars Technica berichtet ueber das Ausmass der DMCA-Kollateralschaeden: Anthropics Takedown-Anfragen trafen versehentlich 8.100 legitime GitHub-Forks des offiziellen Claude Code Repositories -- nicht des geleakten Codes. Zahlreiche Entwickler beschwerten sich oeffentlich ueber die Entfernung ihrer voellig unbedenklichen Forks. GitHub machte die uebereifrige Entfernung inzwischen rueckgaengig.

Die Eindaemmung des Leaks bleibt fuer Anthropic eine "extreme uphill battle": Auf Codeberg existiert bereits eine als "DMCA-resistent" beworbene Kopie des Quellcodes. Jeder weitere Takedown-Versuch erzeugt Aufmerksamkeit und motiviert zusaetzliche Spiegelungen -- ein klassischer Streisand-Effekt.

Einordnung

Der Vorfall ist peinlich, aber kein Sicherheits-GAU. Kein Modellwissen, keine Kundendaten, keine Credentials waren betroffen. Was offenlag, ist Produktarchitektur -- wertvoll fuer Wettbewerber und Sicherheitsforscher, aber kein unmittelbares Risiko fuer Endnutzer. Dass derselbe Fehler innerhalb eines Monats zweimal passierte, wirft allerdings Fragen zur Build-Pipeline und Release-Qualitaetssicherung bei Anthropic auf.

Heise kommentierte pointiert: "Milliarden fuer KI-Sicherheit, null fuer Softwarehygiene." Kein Hack, kein Exploit -- nur ein vergessener Schalter in der Build-Konfiguration. Ein Prozessversagen bei einem Unternehmen, das sich explizit ueber Sicherheit definiert.

Heise berichtete parallel auch ueber ein separates Problem: Claude-Guardrails, die sich umgehen liessen, um Zero-Day-Exploits zu generieren. Zusammengenommen kein guter Monat fuer Anthropics Sicherheitsimage.

Quellen

Nach oben