Anthropic-Leak: Blaupause für KI-Agenten öffentlich

Ein schwerer Sicherheitsfehler bei Anthropic hat den Quellcode des KI-Codierungstools Claude Code öffentlich zugänglich gemacht. Der Vorfall bietet einen beispiellosen Einblick in die Architektur einer der weltweit führenden KIs und stellt die Sicherheit von KI-Software-Lieferketten infrage.

Der Fehler ereignete sich am 31. März 2026. Eine Routineaktualisierung der Claude Code Command-Line Interface (CLI) enthielt versehentlich eine umfangreiche Debugging-Datei. Diese sogenannte Source Map ermöglichte es, den originalen, unverschlüsselten TypeScript-Quellcode zu rekonstruieren. Innerhalb weniger Stunden tauchten Kopien des Codebasis auf verschiedenen Plattformen auf. Branchenbeobachter sprechen vom größten Geistiges Eigentum-Leck in der Geschichte der generativen KI.

Der Vorfall bei Anthropic zeigt drastisch, wie schnell wertvolles geistiges Eigentum durch technische Fehler ungeschützt im Netz landen kann. Dieser kostenlose Ratgeber enthüllt die häufigsten Stolperfallen bei Vertraulichkeitsvereinbarungen und zeigt, wie Sie Ihre Betriebsgeheimnisse rechtssicher schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Technisches Versagen: So kam es zur Quellcode-Exposition

Der Vorfall konzentrierte sich auf die Version 2.1.88 von Claude Code im npm-Registry, einem Haupt-Repository für JavaScript- und TypeScript-Software. Das veröffentlichte Paket enthielt eine 59,8 MB große Datei namens cli.js.map. Normalerweise dienen solche Maps Entwicklern beim Testen. In diesem Fall wurde die Datei jedoch fälschlicherweise in einem öffentlichen Produktions-Build ausgeliefert.

Die Exposition was enorm: Sie umfasste etwa 512.000 Codezeilen, verteilt auf fast 1.900 TypeScript-Dateien. Enthalten war nicht nur einfache Logik, sondern das gesamte „Agent Harness“. Diese Schnittstelle ermöglicht es Claude, mit lokalen Dateisystemen zu interagieren, Terminalbefehle auszuführen und komplexe Programmieraufgaben zu managen.

Sicherheitsexperten vermuten, dass der Fehler auf eine Konfigurationslücke in der Bun-Laufzeitumgebung zurückgeht. Anthropic hatte Bun Ende 2025 übernommen. Ein bekannter Bug in den Bündler-Einstellungen könnte die ungewollte Generierung der Source Map verursacht haben. Anthropic bestätigte, dass es sich um einen Verpackungsfehler aufgrund menschlichen Versagens handelte – nicht um einen externen Hackerangriff.

Zwei Vorfälle an einem Tag: Verwirrung um den Zeitplan

In den Tagen nach dem Leck sorgte die zeitliche Nähe zu einem zweiten Vorfall für Verwirrung. Es ist entscheidend, die interne Exposition von einem böswilligen Supply-Chain-Angriff auf das npm-Ökosystem zu unterscheiden.

Am Morgen des 31. März, zwischen 00:21 und 03:29 UTC, kompromittierten unbekannte Angreifer die beliebte Drittanbieter-Bibliothek Axios. Sie schleusten einen Remote Access Trojan (RAT) in bestimmte Versionen ein. Claude Code nutzt Axios zwar als Abhängigkeit, doch die eigene Quellcode-Exposition von Anthropic begann in einem separaten Zeitfenster ab etwa 04:00 UTC.

Der Sicherheitsforscher Chaofan Shou entdeckte die unverschlüsselte Source Map gegen 04:23 UTC. Als Anthropic den Fehler erkannte und das Paket um 07:29 UTC aus dem Registry nahm, war der Code bereits tausendfach gespiegelt. Die beiden unabhängigen Vorfälle schufen einen „perfekten Sturm“ an Sicherheitsbedenken für Entwickler.

Enthüllte Geheimnisse: Von „Kairos“ bis Anti-Distillation

Die geleakten Dateien bieten eine Meisterklasse im Design agentischer KI. Sie enthüllen mehrere bisher unbekannte Features und Architekturmuster. Eine der meistdiskutierten Entdeckungen ist ein Subsystem mit dem Codenamen „Kairos“. Es scheint sich um einen ständig aktiven agentischen Betrieb zu handeln.

Der Code legt nahe, dass Kairos einen Prozess namens „autoDream“ nutzt. Dieser konsolidiert Erinnerungen, während der Nutzer inaktiv ist. Beobachtungen werden so in einen kohärenten Faktenbestand für die KI überführt.

Das Leck legte auch eine ausgeklügelte Drei-Schichten-Gedächtnisarchitektur offen. Sie soll das Problem der „Kontext-Entropie“ lösen, bei dem KI-Modelle mit zunehmender Datenmenge ineffektiver werden. Ein winziger, stets geladener Index verweist auf bedarfsgesteuerte Themen-Dateien. So bleibt der Agent selbst bei riesigen Enterprise-Codebasen schnell und präzise.

Zudem kam ein defensiver Mechanismus namens „Anti-Distillation“ ans Licht. Dieses System schützt das geistige Eigentum von Anthropic, indem es Köder-Tool-Definitionen in API-Anfragen einfügt. Es wird aktiv, wenn die KI vermutet, dass ein Konkurrent versucht, ein Rivallenmodell auf Basis von Claudes Outputs zu trainieren.

Weitere Funde waren ein „Undercover Mode“, der die KI davon abhalten soll, interne Codenamen zu erwähnen, und ein verstecktes virtuelles Haustier-System – vermutlich ein geplanter Aprilscherz.

Schadensbegrenzung und der Kampf um geistiges Eigentum

Die Reaktion von Anthropic war schnell und vielschichtig. Das Unternehmen bestätigte, dass zwar interner Quellcode exponiert wurde, jedoch keine sensiblen Kundendaten, Model-Gewichte oder Zugangsdaten kompromittiert seien. Das Hauptrisiko bestehe darin, dass Kriminelle die Blaupausen für „Lookalike“-Tools nutzen könnten, um Malware zu verbreiten oder Daten zu stehlen.

Neben technischen Pannen müssen Unternehmen heute auch die neuen regulatorischen Anforderungen für KI-Systeme im Blick behalten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act erklärt kompakt die wichtigsten Fristen, Pflichten und Risikoklassen für Ihren Betrieb. Kostenlosen Leitfaden zur KI-Verordnung sichern

Um die Verbreitung des Codes einzudämmen, hat Anthropic tausende DMCA-Takedown-Notices an Plattformen wie GitHub geschickt. Die Entwicklergemeinschaft reagiert jedoch kreativ: Einige Nutzer haben die geleakten TypeScript-Codes angeblich mit Hilfe von KI-Modellen in andere Sprachen wie Python oder Rust portiert. Diese „Portierungen“ könnten außerhalb des einfachen Urheberrechtsverstoßes fallen.

Sicherheitsfirmen raten Organisationen, ihre Entwicklungsumgebungen zu überprüfen, wenn sie am 31. März npm-Updates durchgeführt haben. Empfohlen wird, Claude Code auf eine verifizierte, saubere Version (v2.1.89 oder höher) festzunageln und auf anomale ausgehende Verbindungen von Entwickler-Aritsplätzen zu achten.

Branchenimpact: Ein Wendepunkt für KI-Transparenz

Das Leck des Claude-Code-Quelltexts markiert einen Wendepunkt für die Transparenz der KI-Branche. Zum ersten Mal wurde die „Black Box“ kommerzieller KI-Agenten geöffnet. Sie zeigt: Die Effektivität dieser Tools hängt ebenso sehr von traditioneller Software-Architektur ab – wie robusten Berechtigungsmodellen und Task-Queues – wie vom zugrundeliegenden Sprachmodell.

Marktanalysten deuten an, dass das Leck für Anthropic zwar ein peinlicher Rückschlag ist, aber das gesamte Feld der agentischen KI unbeabsichtigt beschleunigen könnte. Die Blaupause für ein produktionsreifes Agent-Harness könnte zu einer Flut hochwertiger Open-Source-Alternativen führen. Für Anthropic verlagert sich der Fokus nun auf die anstehende Einführung der „Capybara“-Modellfamilie. Interne Dokumente deuten auf deutlich erweiterte Kontextfenster und verbesserte Reasoning-Fähigkeiten hin.

Künftig will das Unternehmen strengere „Release Gates“ und automatisierte Artefakt-Inspektionen implementieren. Da KI-Tools zunehmend in die Kernarbeitsabläufe globaler Unternehmen integriert werden, wird der „Claude-Code-Vorfall 2026“ wohl als warnendes Beispiel für die Bedeutung von DevSecOps im Zeitalter autonomer Agenten dienen. Anthropic arbeitet weiter mit Sicherheitspartnern zusammen, um die Integrität künftiger Releases zu gewährleisten.

de | boerse | 69083423 |