Claude-Code-Quellcode-Leck, Anthropic per DMCA entfernen: 8.100 GitHub-Repositorys

Anthropic bestätigte am 31. März, dass die npm-Paketversion v2.1.88 des Claude Code CLI-Tools aufgrund eines Verpackungsfehler bei der Veröffentlichung zu einer Offenlegung von rund 512.000 Zeilen Quellcode führte. Anschließend reichte Anthropic bei GitHub eine DMCA-Urheberrechts-Schutzmitteilung ein; insgesamt wurden 8.100 Repositories zwangsweise vom öffentlichen Zugriff ausgeschlossen.

Ursache der Leckage: Das standardmäßige Verhalten des Bun-Packtools löst die vollständige Offenlegung ohne Code-Exploitation aus

Der Grund für diesen Vorfall ließ die Entwickler-Community fassungslos zurück: Das Bun-Packtool erzeugt standardmäßig Source-Map-Debugging-Dateien, und in der gesamten Veröffentlichungs-Pipeline von Anthropic gab es keinen Schritt, der diese Datei deaktiviert oder ausschließt. Die Source Map dient dazu, komprimierten Produktionscode wieder auf den ursprünglichen TypeScript-Code abzubilden. Diese Datei weist direkt auf einen öffentlich zugänglichen ZIP-komprimierten Download in einem Cloudflare R2-Speicher-Bucket von Anthropic hin—vollkommen ohne den Einsatz irgendeiner Hacking-Technik.

Nachdem der Praktikant Chaofan Shou von dem Blockchain-Sicherheitsunternehmen Fuzzland das Problem entdeckt hatte, veröffentlichte er auf der X-Plattform einen direkten Link zum Speicher-Bucket. Innerhalb weniger Stunden tauchten auf GitHub zahlreiche Mirror-Repositories auf; einige Repositories hatten bereits vor Inkrafttreten der DMCA-Mitteilung mehrere zehntausend Sterne gesammelt.

Technisch lässt sich so ein Vorfall verhindern, indem man in der Datei .npmignore die entsprechenden Einträge ergänzt oder im Feld files in package.json entsprechende Einstellungen vornimmt. Anthropic bestätigte gegenüber VentureBeat, dass es sich um ein „durch menschliches Versagen ausgelöstes Veröffentlichungs- und Verpackungsproblem“ handelt, und erklärte, dass man Maßnahmen ergreift, um eine Wiederholung zu verhindern.

Allerdings ist dieser Fehler bereits zum zweiten Mal mit nahezu identischem Muster aufgetreten. Im Februar 2025 gab es bei einer frühen Version von Claude Code schon einmal einen Source-Map-Leak, der fast vollständig dem jetzigen entsprach; anschließend reichte Anthropic im April 2025 die erste DMCA-Mitteilung ein.

Inhalt der Leckage: 1.900 Dateien decken u. a. KAIROS und mehrere noch nicht veröffentlichte geheime Funktionen auf

Die etwa 1.900 offengelegten TypeScript-Dateien umfassen die Ausführungslogik des Tools, die Berechtigungsarchitektur, das Speichersystem, Telemetrie und Feature-Flags. Community-Mitglieder extrahierten die Telemetriedaten schnell, schalteten die verborgenen Feature-Flags um und schrieben mithilfe von Python und Rust eine „Clean-Room“-Neuimplementierung. Die auffälligsten noch nicht veröffentlichten Funktionen sind wie folgt:

KAIROS: Ein dauerhaft laufender Hintergrund-Wachdienst, überwacht Dateien, zeichnet Ereignisse auf und führt bei Leerlauf den als „Dreaming“ bezeichneten Speicher-Integrationsprozess aus

BUDDY: Endgeräte-„Haustier“-Funktion mit 18 Spezies (einschließlich Wasserschwein), mit Eigenschaften wie DEBUGGING (Debugging), PATIENCE (Geduld) und CHAOS (Chaos)

COORDINATOR MODE: Ermöglicht es, dass ein einzelner Agent mehrere parallele Arbeitsagenten erzeugt und verwaltet

ULTRAPLAN: Plant entfernte Multi-Agent-Planungsbesprechungen im Bereich von 10 bis 30 Minuten

Zwei Leaks pro Woche: Veröffentlichungsvorgaben von Anthropic stehen unter weitreichender Kritik

Dieser Vorfall war kein Einzelfall. Nur 5 Tage zuvor, am 26. März, veröffentlichte Anthropic aufgrund eines CMS-Konfigurationsfehlers etwa 3.000 interne Dokumente, die Details zu einem noch nicht veröffentlichten „Claude Mythos“-Modell enthielten, ebenfalls wurde das auf menschliches Versagen zurückgeführt. Innerhalb von weniger als einer Woche ereigneten sich nacheinander zwei große und unerwartete Lecks, was bei Außenstehenden zu systematischen Zweifeln an den Veröffentlichungsvorgaben gegenüber dem KI-Unternehmen führte, das in großem Umfang bei der Entwicklung und Veröffentlichung von Code hilft.

Anthropic bestätigte, dass dieser Vorfall keine sensiblen Kundendaten, keine Zugangsdaten, keine Modellgewichte und keine Leckage von Inferenz-Basisinfrastruktur betraf; das Kern- Claude-Modell sei nicht betroffen. Allerdings wurde die technische Blaupause, die für den Aufbau eines konkurrenzierenden Produkts zu Claude Code erforderlich ist, inzwischen stark abgesenkt.

Zu beachten ist außerdem: Am selben Tag, von 00:21 bis 03:29 UTC, fand auf npm zugleich auch ein Supply-Chain-Angriff gegen das axios-Paket statt. Anthropic empfiehlt, im genannten Zeitfenster Claude Code Entwicklungsabhängigkeiten zu installieren oder zu aktualisieren, dabei die Abhängigkeiten einer Prüfung zu unterziehen und Zugangsdaten zu rotieren, und empfiehlt außerdem, in Zukunft vorrangig den offiziellen nativen Installationsvorgang statt npm zu verwenden.

Häufige Fragen

Warum lässt sich der Claude-Code-Quellcode ohne Hacking-Technik vollständig beschaffen?

Die vom Bun-Packtool standardmäßig erzeugte Source-Map-Datei zeigt direkt auf den öffentlich zugänglichen ZIP-Compressed-Download in einem Cloudflare-R2-Speicher-Bucket von Anthropic. Jeder muss lediglich auf diesen öffentlichen Link zugreifen, um den vollständigen TypeScript-Quellcode herunterzuladen; der gesamte Prozess beinhaltet keinerlei technischen Eindringversuch.

Sind die Quellcodes nach dem Entfernen von 8.100 Repositories unter DMCA vollständig verschwunden?

Nein. Obwohl GitHub die betreffenden Repositories gemäß der DMCA-Mitteilung entfernt hat, ist der geleakte Quellcode in Form von Archivversionen, Mirrors und umgebauten Versionen auf mehreren Plattformen im Umlauf und vollständig zu bereinigen ist praktisch unmöglich. Die DMCA-Maßnahmen von Anthropic begrenzen die direkte Verbreitung, aber die technische Blaupause wurde weit verbreitet weitergegeben.

Welche konkreten Sicherheitsauswirkungen hat der Vorfall für Nutzer von Claude Code?

Anthropic bestätigte, dass keine Benutzerdaten, Zugangsdaten oder Modelle geleakt wurden. Wenn Entwickler jedoch im Zeitraum vom 31. März, 00:21 bis 03:29 UTC, Claude Code über npm installieren oder aktualisieren, sollten sie die Abhängigkeiten prüfen und Zugangsdaten rotieren, da im selben Zeitfenster auch ein Supply-Chain-Angriff gegen das axios-Paket auf npm stattfand.