Anthropic hat versehentlich den kompletten Quellcode von Claude Code veroeffentlicht. 512.000 Zeilen TypeScript, 44 versteckte Features, Anti-Distillation Poison Pills und ein 11-Schritt Prompt-Sandwich. Was das fuer die KI-Branche bedeutet.
Hier ist der vollstaendige Artikeltext von borncity.com:
---
Anthropic versucht Claude Code "einzufangen"; Leak mit vielen Insights; erster Fork
Das Anthropic Claude Code-Leck
Anthropic ist ein Fehler unterlaufen: Der Quellcode des CLI-Tools Claude Code wurde irrtuemlich veroeffentlicht. Das Unternehmen versuchte daraufhin, tausende GitHub-Seiten sperren zu lassen. Das Leak ermoeglicht Fachleuten Einblicke in den Code, und es gibt bereits einen ersten Klon.
Was ist Claude Code?
Claude Code ist ein Kommandozeilenwerkzeug, mit dem Entwickler ueber natuerliche Sprache auf Anthropics KI-Modelle zugreifen und typische Aufgaben wie das Bearbeiten von Dateien oder das Ausfuehren von Befehlen erledigen koennen.
Warum wurde Claude Code geleakt?
Der Grund war ein menschlicher Fehler bei Anthropics Build-Prozessen. Das Unternehmen transferierte Code in die npm-Registry. Dabei wurde irrtuemlich eine Source-Map-Datei des Claude Code-Projekts veroeffentlicht und oeffentlich registriert.
Eine Source Map liegt im JSON-Dateiformat vor und dient dazu, minimierten oder transformierten Code mit seiner urspruenglichen Form zu verknuepfen. Dies ermoeglicht es, beim Debuggen den urspruenglichen Code zu rekonstruieren.
Der Geist ist aus der Flasche
Die veroeffentlichte Source-Map ermoeglichte es Dritten, den Quellcode zu extrahieren. Der gespiegelte Code umfasst laut Repository rund 1900 Dateien mit ueber 512.000 Zeilen Quellcode. Schnell verbreiteten sich Code-Schnipsel auf GitHub. Inzwischen gibt es bereits einen Rust-Port namens Claw Code auf GitHub.
Anthropic fegt per DMCA Tausende GitHub-Seiten aus dem Netz
Stunden nach dem Leak versuchte Anthropic, die Verbreitung einzudaemmen. Das Unternehmen verschickte tausende DMCA-Meldungen an GitHub. Eine DMCA-Meldung verpflichtet US-Unternehmen, Inhalte wegen behaupteter Urheberrechtsverletzungen offline zu nehmen -- ohne vorherige Pruefung.
Boris Cherny, Leiter von Claude Code, aeusserte sich persoenlich: "Das war nicht beabsichtigt. Sollte jetzt besser sein." Das Unternehmen schraenkte spaeter seine Beschwerde auf nur 96 Kopien ein.
Die Implikationen des Vorfalls
Der Reputationsschaden ist gewaltig. Ein Entwickler schrieb den Code flugs noch vor Sonnenaufgang komplett in Python neu -- gegen einen DMCA-Antrag koennen Neuimplementierungen in Clean-Rooms nichts ausrichten.
Im Februar 2025 war Anthropic exakt der gleiche Fehler unterlaufen. Eine Woche vor diesem Leak entdeckten Sicherheitsforscher eine Fehlkonfiguration von Anthropics CMS, die rund 3.000 interne Dateien offenlegte.
In geleakten Blogpost-Entwuerfen beschrieb Anthropic ein geheimes Modell als "beispiellose Risiken fuer die Cybersicherheit" und dass es "anderen KI-Modellen in Bezug auf Cyberfaehigkeiten weit voraus" ist. Anthropic hat ein Modell entwickelt, das es selbst als die gefaehrlichste KI fuer die Cybersicherheit bezeichnet, verliert aber gleichzeitig die Kontrolle ueber die Bekanntgabe.
Zusaetzliche Erkennt
Hier ist der vollstaendige Artikeltext:
---
# Claude Code komplett geleakt: Was 512.000 Zeilen Quellcode ueber KI-Agenten-Architekturen verraten
## Das Wichtigste in Kuerze
- NPM-Paket @anthropic-ai/claude-code v2.1.88 enthielt eine 59,8 MB grosse Source-Map-Datei mit dem vollstaendigen TypeScript-Quellcode
- Die Architektur basiert auf Bun, TypeScript und React/Ink mit rund 40 integrierten Werkzeugen und einem vierstufigen Berechtigungssystem
- 44 Feature-Flags deuten auf unveroeffentlichte Funktionen hin: autonomer Daemon-Modus (KAIROS), Multi-Agent-Koordination, Sprachsteuerung
- Anthropic bestaetigt: "Verpackungsfehler durch menschliches Versagen." Keine Kundendaten oder API-Keys betroffen
- 8.100+ GitHub-Mirrors per DMCA entfernt, doch der Code kursiert auf dezentralen Plattformen weiter
## Was passiert ist
Am Morgen des 31. Maerz veroeffentlichte Chaofan Shou seinen Fund auf X. Shou ist Doktorand an der UC Berkeley, Mitgruender des Blockchain-Security-Startups Fuzzland und Bug-Bounty-Forscher mit 1,9 Millionen US-Dollar an gemeldeten Schwachstellen. Seine Entdeckung: Version 2.1.88 des offiziellen NPM-Pakets @anthropic-ai/claude-code enthielt die Datei cli.js.map. Diese 59,8 MB grosse Source-Map-Datei enthielt im sourcesContent-Feld den vollstaendigen TypeScript-Quellcode von Claude Code -- rund 1.900 Dateien mit 512.000 Zeilen Produktionscode.
Die Source Map verwies zusaetzlich auf ein ZIP-Archiv auf Anthropics oeffentlich zugaenglichem Cloudflare-R2-Bucket. Innerhalb von Stunden wurde der Code auf GitHub gespiegelt. Das prominenteste Repository erreichte ueber 41.500 Forks, bevor Anthropics DMCA-Notices griffen und GitHub insgesamt 8.100 Repositories deaktivierte.
Der Code ist auf dezentralen Plattformen weiterhin verfuegbar. Derivative Projekte -- darunter eine Python-Portierung und ein Rust-Rewrite -- ueberlebten die DMCA-Massnahmen, da sie keine Direktkopien sind. Die wahrscheinliche Ursache: Anthropic nutzt Bun als Runtime. Ein offener Bun-Bug (gemeldet am 11. Maerz 2026) dokumentiert, dass Buns Bundler Source Maps standardmaessig generiert -- auch im Produktionsmodus. Weder .npmignore noch das files-Feld in package.json waren konfiguriert, um .map-Dateien auszuschliessen.
Die Community reagierte schnell -- und mit einem Sinn fuer Ironie: Innerhalb von 24 Stunden entstanden ein Python-Port (claw-code, 30.000 GitHub-Stars in Rekordzeit) und ein Rust-Rewrite. Auf Hacker News dominierte ein Kommentar die Diskussion: Anthropic vermarktet Claude als Code-Schreibwerkzeug -- und der eigene Code leakt wegen eines fehlenden .npmignore-Eintrags.
Bemerkenswert: Es war der zweite Datenschutzvorfall bei Anthropic innerhalb einer Woche. Wenige Tage zuvor waren rund 3.000 interne Dateien in einem oeffentlich zugaenglichen Cache aufgetaucht -- darunter Details zu einem unveroeffentlichten KI-Modell mit dem internen Codenamen "Mythos". Fuer ein Unternehmen, das mit einer Bewertung von geschaetzt 380 Milliarden US-Dollar einen IPO anstrebt, kommt der Zeitpunkt denkbar unguenstig.
## Keine Chat-Oberflaeche -- eine Agenten-Runtime
Die technische Analyse des Quellcodes bestaetigt, was viele Cloud-Entwickler vermutet haben: Claude Code ist kein Chatbot mit Terminal-Interface. Es ist eine modulare Agenten-Runtime, die ein grosses Sprachmodell mit einem umfangreichen Werkzeugkasten umgibt.
Die Kernarchitektur: Bun statt Node.js als Runtime (Anthropic erwarb die Muttergesellschaft des Bun-Projekts). React mit Ink fuer das Terminal-Rendering. Zod v4 fuer Schema-Validierung aller Tool-Ein- und -Ausgaben. OpenTelemetry und gRPC werden erst bei Bedarf geladen, um die Startzeit zu minimieren -- ein klassisches Lazy-Loading-Pattern, das auf einen Fokus auf Developer Experience hindeutet.
Das Tool-System umfasst rund 40 diskrete, berechtigungsgesteuerte Werkzeuge: Dateisystemzugriff, Bash-Ausfuehrung, Web-Abruf, Glob-Suche, LSP-Integration und die Einbindung externer MCP-Server (Model Context Protocol). Die Query Engine allein -- zustaendig fuer API-Aufrufe, Streaming, Caching, Orchestrierung und Token-Zaehlung -- umfasst 46.000 Zeilen Code.
Das Berechtigungsmodell arbeitet auf vier Ebenen: Plan (nur Lesen), Standard (mit Bestaetigungsdialogen), Auto (Wildcard-Genehmigungen) und Bypass (vollstaendiger Zugriff). Ein Klassifikator entscheidet, welche Aktionen welche Berechtigungsstufe erfordern. Eine Bash-Validierungsschicht prueft Befehle vor der Ausfuehrung auf Risikoindikatoren. Das gesamte System unterstuetzt OS-Level-Sandboxing fuer Dateisystem und Netzwerk.
Anthropic gab folgende Stellungnahme ab: "Earlier today, a Claude Code release included some internal source code. No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach."
Das Speichersystem ist dreistufig aufgebaut: Eine kompakte MEMORY.md-Datei mit kurzen Referenzen bildet die erste Ebene. Separate Projektnotizen werden kontextabhaengig geladen. Die dritte Ebene durchsucht vergangene Sessions selektiv, statt den gesamten Verlauf zu laden. Dieses Design adressiert ein Kernproblem von LLM-Anwendungen: Kontextfenster sind begrenzt, aber Projektkontext waechst unbegrenzt.
Die IDE-Integration laeuft ueber eine bidirektionale JWT-authentifizierte Bruecke zu VS Code und JetBrains. Claude Code fungiert dabei gleichzeitig als MCP-Client und MCP-Server -- es kann externe Werkzeuge einbinden und selbst als Werkzeug fuer andere Systeme dienen. Diese Architekturentscheidung positioniert Claude Code nicht als eigenstaendiges Produkt, sondern als Integrationsschicht fuer Entwicklungsinfrastruktur.
## 44 Feature-Flags enthuellen die Roadmap
Besonders aufschlussreich sind die 44 Compile-Time-Feature-Flags fuer unveroeffentlichte Funktionen. Sie zeigen, in welche Richtung Anthropic Claude Code entwickelt:
KAIROS ist ein autonomer Daemon-Modus, der Claude Code als permanent laufenden Hintergrundagenten betreibt. 15 Sekunden Blocking-Budget pro Aktion,
Hier ist der vollstaendige Artikeltext von W&V:
---
"Menschlicher Fehler" bei Anthropic: Was der Leak von "Claude Code" fuer Entwickler und Agenturen bedeutet
Ein Update-Fehler legte den Quellcode von Anthropics KI-Tool "Claude Code" offen. Neben Sicherheitsbedenken fuer das Milliarden-Startup liefert der Vorfall tiefe Einblicke in die Funktionsweise und das Prompting der KI -- wertvolles Wissen fuer die Praxis.
Text: Max Anzile
6. April 2026
Anthropic, das hochgehandelte KI-Startup und Entwickler des populaeren Chatbots Claude, hat versehentlich tiefe Einblicke in seinen Maschinenraum gewaehrt. Durch einen "menschlichen Fehler" bei einem Software-Update wurden fast 2.000 interne Dateien mit rund 500.000 Codezeilen des KI-Programmierassistenten "Claude Code" veroeffentlicht. Die Dateien landeten umgehend auf GitHub und brachen dort Download-Rekorde, bevor Anthropic mit massenhaften Copyright-Takedowns reagierte.
Wie ein Unternehmenssprecher betonte, handelte es sich nicht um einen Hackerangriff. Sensible Kundendaten oder die Gewichte des zugrunde liegenden KI-Modells waren nicht betroffen. Dennoch: Fuer ein Unternehmen, das sich das Thema "KI-Sicherheit" gross auf die Fahnen geschrieben hat, ist es nach einem kuerzlichen Datenleck rund um interne Blogposts bereits der zweite Vorfall dieser Art in kurzer Zeit. Brisant ist dies insbesondere, da die US-Regierung Anthropic erst kuerzlich als potenzielles Lieferkettenrisiko eingestuft hatte.
Fuer Wettbewerber wie OpenAI und Google ist der Leak ein gefundenes Fressen, um die Systemarchitektur und das Tool-Management der Konkurrenz zu analysieren. Doch auch fuer Agenturen, Entwickler und Prompt-Engineers birgt der Vorfall einen unverhofften Schatz: Er offenbart den vollstaendigen "System Prompt" und die Logik hinter der KI.
Das KI-Unternehmen MindStudio hat den Quellcode analysiert und acht "Hidden Features" identifiziert, die die taegliche Arbeit mit Claude Code massgeblich veraendern koennen:
1. Parallele Ausfuehrung richtig triggern
Der Code zeigt, dass Claude darauf programmiert ist, Aufgaben parallel zu erledigen -- allerdings nur, wenn der Nutzer klar formuliert, dass die Prozesse unabhaengig voneinander sind (z. B. "Lies Datei A und Datei B _gleichzeitig_"). Ist der Prompt unklar, arbeitet die KI die Aufgaben zur Sicherheit sequenziell und somit deutlich langsamer ab.
2. Das Langzeitgedaechtnis (CLAUDE.md)
Es ist nicht nur eine Konvention, sondern fest in der Architektur verankert: Claude sucht im Projektverzeichnis aktiv nach einer CLAUDE.md-Datei. Hier koennen Entwickler-Teams Projektregeln, Tonalitaeten, zu vermeidende Code-Bibliotheken oder Deployment-Schritte definieren. Diese Datei fungiert als persistentes Langzeitgedaechtnis ueber alle Sessions hinweg -- ein enormer Vorteil fuer Agenturen, die ueber mehrere Teams hinweg an denselben Repositories arbeiten.
3. Keine Entschuldigungen, keine Floskeln
Im System-Prompt wird der KI explizit verboten, unaufgefordert in hoefliche Floskeln (wie "Gute Frage!" oder "Entschuldigung") zu verfallen. Die KI spiegelt dabei das Verhalten des Nutzers: Wer direkte, kurze und klare Befehle schreibt, erhaelt praezise und knappe Antworten. Konversations-Prompts fuehren hingegen oft zu unnoetig ausschweifenden Antworten.
4. Bash als maechtigstes Werkzeug
Fuer komplexe, mehrstufige Dateioperationen bevorzugt Claude das Kommandozeilen-Tool bash. Anstatt die KI zu bitten, Verzeichnisse einzeln zu durchsuchen, sollten Nutzer sie direkt anweisen, Befehle wie grep oder git diff zu verwenden, was die Effizienz drastisch steigert.
5. Text ersetzen statt neu schreiben
Der Leak zeigt, dass Claude bei Dateibearbeitungen auf eine Diff-basierte "String Replacement"-Strategie setzt. Die KI sucht nach exakten Textbausteinen und tauscht diese aus. Schlaegt eine Bearbeitung fehl, liegt das oft an veraenderten Leerzeichen. Der Best-Practice-Ansatz: Die KI immer erst die Datei komplett auslesen lassen, bevor eine Aenderung beauftragt wird.
6. Klare Abbruchbedingungen fuer den Agenten definieren
Damit sich die KI nicht in endlosen Feedback-Schleifen verfaengt (z. B. "Such in den Logs nach dem Fehler"), benoetigt sie klare Stop-Signale. Besser formuliert ist: "Pruefe die letzten 100 Zeilen im Log; wenn du keinen Fehler findest, sag mir Bescheid, dass alles fehlerfrei ist."
7. Eingebauter Git-Schutz
Der System-Prompt weist Claude an, keine destruktiven Git-Operationen durchzufuehren. Die KI bevorzugt es, neue Branches anzulegen, statt direkt in den Main-Branch zu committen. Wer in einer sicheren Sandbox-Umgebung arbeitet und aggressivere Aenderungen moechte, muss der KI dafuer explizit die Erlaubnis erteilen ("Du hast volle Git-Rechte, frage nicht nach Bestaetigung").
8. "Extended Thinking" durch richtiges Framing
Claude kann fuer komplexe Aufgaben tieferes, analytisches Denken aktivieren. Dies ist jedoch kein Schalter in den Einstellungen, sondern haengt vom Framing des Prompts ab. Formulieru
Das ist der vollstaendige Artikel. Es handelt sich um eine "Short News"-Meldung bei The Decoder, die nur aus drei Absaetzen besteht. Hier der komplette Text:
---
Kategorie: Short News
Titel: Nach Claude-Code-Leak: Anthropics Quellcode wurde bereits mehr als 8000 Mal kopiert
Autor: Matthias Bastian
Datum: 1. April 2026
Anthropics "Claude Code"-Code ist offenbar schon mehr als 8000 Mal auf Github aufgetaucht. Das Unternehmen hat nach dem versehentlichen Leak des Quellcodes seines beliebten KI-Coding-Tools mehr als 8000 Kopien und Adaptionen per Urheberrechtsantrag von GitHub entfernen lassen, berichtet das Wall Street Journal.
Ein Programmierer hat den Code bereits mit anderen KI-Tools in andere Programmiersprachen umgeschrieben, um ihn trotz der Loeschantraege verfuegbar zu halten. Im KI-Zeitalter scheint ein Code-Leak daher besonders verheerend. Bei der Masse an Replikationen ist ohnehin klar: Der Geist ist aus der Flasche.
Fuer Anthropic ist die schnelle Verbreitung ein konkretes Problem: Der Code enthaelt wertvolle Techniken, mit denen das Unternehmen seine KI-Modelle als Coding-Agenten steuert, etwa eine "Dreaming"-Funktion zur Aufgabenkonsolidierung und viele weitere. Konkurrenten haben nun eine detaillierte Vorlage, um Claude Codes Funktionen schneller nachzubauen. Das schwaecht Anthropics Wettbewerbsvorteil in einem ohnehin hart umkaempften Markt. Investoren duerfte es veraergern, denn das Unternehmen plant mit einer Bewertung von 380 Milliarden Dollar einen Boersengang.
Quelle: WSJ
---
Das ist der komplette Artikeltext. Die Meldung ist als "Short News" klassifiziert und umfasst nur diese drei Absaetze plus Quellenangabe. Weiteren Inhalt gibt es nicht -- der Rest der Seite besteht aus Werbung, Abo-Hinweisen und Kommentarfunktion.
Hinweis zum Datum: Der Artikel wurde am 1. April 2026 veroeffentlicht. Angesichts des Datums und der sehr runden Zahl (8000+) sowie Details wie "380 Milliarden Dollar Boersengang" sollte man beruecks
Cloudmagazin: https://www.cloudmagazin.com/2026/04/01/claude-code-quellcode-leak-ki-agenten-architektur/
W&V: https://www.wuv.de/Themen/KI-Tech/Was-der-Leak-von-Claude-Code-fuer-Entwickler-und-Agenturen-bedeutet
The Decoder: https://the-decoder.de/nach-claude-code-leak-anthropics-quellcode-wurde-bereits-mehr-als-8000-mal-kopiert/
borncity: https://borncity.com/blog/2026/04/03/anthropic-versucht-claude-code-einzufangen-leak-mit-vielen-insights-erster-fork/
heise: https://www.heise.de/en/opinion/Claude-Code-leaked-Billions-for-AI-security-zero-for-software-hygiene-11244470.html
AI Automation Engineers: https://ai-automation-engineers.de/news/2026-04-02-claude-code-quellcode-leak-512-000-zeilen-intern-was-bedeutet-das-fuer-ai-automation-workflows/