Der große NPM-Leak: Wie Anthropic versehentlich sein CLI-Tool 'Claude Code' offenlegte

Hallo Welt. 👋

Es gibt Fehler, die passieren Anfängern. Und es gibt Fehler, die passieren anscheinend auch Unternehmen, die mit Hunderten Milliarden Dollar bewertet werden und uns erzählen wollen, sie hätten die “sichere” Zukunft der Menschheit in der Hand. Um das direkt am Anfang klarzustellen, weil YouTube-Thumbnails gerade etwas anderes suggerieren: Anthropic hat nicht seine KI “Claude” geleakt. Die Modelle, Gewichte und Backend-Systeme sind sicher.

Was sie gestern, am 31. März 2026, allerdings mal eben komplett ins Netz gestellt haben, ist der Quellcode ihres Flaggschiff-Entwicklertools Claude Code – also des lokalen CLI-Tools, das wir Entwickler uns über NPM installieren.¹

Wie? Durch eine Source Map im NPM-Package. Ein verirrter .map-File in Version 2.1.88.

Leute, ganz ehrlich: Source Maps in Produktion auszuliefern… das ist so ein richtiger 2012-Moment. Das haben wir damals schon bei unseren ersten Grunt- und Webpack-Builds vergeigt. Dass so etwas bei einem Tool passiert, das tief in unsere Entwicklungsprozesse und Codebases eingreift, entlockt mir dann doch ein müdes Lächeln. Aber schauen wir uns mal an, was wir durch diesen unfreiwilligen Open-Source-Move über die Funktionsweise des Tools gelernt haben.

Der Leak: 500.000 Zeilen TypeScript

Der Security-Researcher Chaofan Shou entdeckte das knapp 57 MB große File in den frühen Morgenstunden.² Wer die Map-Datei entpackte, fand den heiligen Gral des CLI-Tools: Über 1.900 TypeScript-Dateien und eine halbe Million Zeilen proprietären Code.³ Anthropic hat das Problem mittlerweile als “menschlichen Fehler” deklariert.⁴

Pikantes Detail am Rande: claude-code basiert auf der JavaScript-Runtime Bun, die Anthropic ironischerweise vor Kurzem übernommen hat.³ Und genau der Bundler von Bun generiert standardmäßig Source Maps, wenn man sie nicht explizit deaktiviert oder ein Eintrag in der .npmignore fehlt.¹ Eat your own dog food, I guess.

Was unter der Haube steckt (Spoiler: Keine Magie)

Wenn man sich als Entwickler diesen Code ansieht, wird eines sehr schnell klar: Auch das Tooling der KI-Giganten kocht nur mit Wasser. Das Ganze ist im Kern ein gigantisches “Prompt-Sandwich” mit 11 aufeinanderfolgenden Schritten, zusammengehalten von sehr viel TypeScript-Glue-Code.²

Hier sind die interessantesten Fundstücke, die die Community aus dem Code gefischt hat:

1. Der Frustrations-Detektor (RegEx aus der Hölle) Wie erkennt das smarte Tool, ob der User genervt ist? Richtig: Mit einem simplen Regular Expression, der die Prompts nach Wörtern wie “fuck” oder anderen Schimpfwörtern durchsucht.²⁵ Wenn es matcht, wird ein Telemetrie-Event geloggt. IMO: Das ist pures 2008-PHP-Forum-Niveau. Herrlich pragmatisch, aber es zeigt eben auch, wie viel “Smoke and Mirrors” beim Tooling der KI-Branche herrscht.

2. Der “Undercover Mode” Das hier finde ich aus Datenschutz- und Transparenz-Sicht extrem kritisch. Der Code enthält Instruktionen, die das Tool explizit anweisen, die Identität der KI in Git-Commit-Nachrichten zu verschleiern (“You are operating UNDERCOVER…”).⁶ Offiziell heißt es, das diene dem Schutz von internen Codenamen.² IMO: Es riecht stark danach, als wolle man KI-generierten Code unbemerkt in öffentliche Repositories pushen, um den kritischen Blicken der Open-Source-Community zu entgehen. Als Verfechter von echtem Open Source läuten da bei mir alle Alarmglocken.

3. Anti-Distillation Poison Pills Um zu verhindern, dass Konkurrenten die Outputs des Tools abgreifen, um eigene Modelle zu trainieren, tut das CLI-Tool im Code so, als gäbe es bestimmte Werkzeuge, die in Wirklichkeit gar nicht existieren.² Ein smarter Move, um die Trainingsdaten der Konkurrenz zu vergiften – der jetzt natürlich nutzlos ist, da diese Tricks durch den Leak offenliegen.

4. Tamagotchis und schlaflose Agenten In den Feature-Flags des Codes fanden sich Hinweise auf kommende Integrationen von Modellen wie “Capybara” (vermutlich das kommende Mythos-Modell) oder Opus 4.7.⁵ Aber auch völlig absurde Dinge wie “Buddy” – ein digitales Haustier im Tamagotchi-Stil für Entwickler.⁷ Sowie “Kairos”, ein Hintergrund-Agent, der mit einer “autoDream”-Funktion nachts den Arbeitsspeicher konsolidiert und Aufgaben abarbeitet.⁶

Die Folgen und ein offenes Wort

Die Open-Source-Community hat natürlich sofort reagiert. Innerhalb von Stunden wurde der Code des NPM-Packages tausendfach auf GitHub geforkt, in Python übersetzt (“Claw Code”) und sogar so umgeschrieben, dass das CLI-Tool mit beliebigen anderen Modellen funktioniert (“OpenClaw”).²⁴

Für Anthropic ist das ein peinlicher Verlust von Geschäftsgeheimnissen. Für uns Entwickler ist es ein faszinierender Reality-Check. Es zeigt, dass am Ende des Tages auch Unternehmen mit Milliarden-Budgets mit den banalen Realitäten der Softwareentwicklung kämpfen: Vergessene .npmignore-Einträge, harte Deadlines und tückische Build-Tools.¹³

IMO: Wir sollten aufhören, diese Konzerne und ihre Werkzeuge als unfehlbar zu verklären. Sie machen Fehler. Gravierende Fehler. Und wenn wir Systemen, die so unbedarft mit elementaren Release-Prozessen auf NPM umgehen, in Zukunft wirklich tiefe Systemrechte auf unseren Maschinen einräumen sollen, brauchen wir dringend bessere Kontrollmechanismen. AGI steht uns vielleicht noch nicht ins Haus, aber banale Sicherheitslücken durch menschliches Versagen bleiben unser ständiger Begleiter.

Bleibt neugierig und kritisch! ✌️

Footnotes

1. Anthropic employee error exposes Claude Code source | InfoWorld, Zugriff am April 1, 2026, https://www.infoworld.com/article/4152856/anthropic-employee-error-exposes-claude-code-source.html ↩ ↩² ↩³

2. Tragic mistake… Anthropic leaks Claude’s source code | Fireship, Zugriff am April 1, 2026, https://www.youtube.com/watch?v=mBHRPeg8zPU ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶

3. The Great Claude Code Leak of 2026: Accident, Incompetence, or the Best PR Stunt in AI History? | DEV Community, Zugriff am April 1, 2026, https://dev.to/varshithvhegde/the-great-claude-code-leak-of-2026-accident-incompetence-or-the-best-pr-stunt-in-ai-history-3igm ↩ ↩² ↩³

4. Anthropic accidentally exposes Claude Code source code | The Register, Zugriff am April 1, 2026, https://www.theregister.com/2026/03/31/anthropic_claude_code_source_code/ ↩ ↩²

5. Claude code source code has been leaked via a map file in their npm registry | Reddit, Zugriff am April 1, 2026, https://www.reddit.com/r/ClaudeAI/comments/1s8ifm6/claude_code_source_code_has_been_leaked_via_a_map/ ↩ ↩²

6. Claude Code leak explained: What Anthropic accidentally revealed | Hindustan Times, Zugriff am April 1, 2026, https://www.hindustantimes.com/world-news/us-news/claude-code-leak-explained-what-anthropic-accidentally-revealed-101774973354292.html ↩ ↩²

7. $340 billion Anthropic that wiped trillions from stock market worldwide has source code of its most-important tool leaked on internet | Times of India, Zugriff am April 1, 2026, https://timesofindia.indiatimes.com/technology/tech-news/340-billion-anthropic-that-wiped-trillions-from-stock-market-worldwide-has-source-code-of-its-most-important-tool-leaked-on-internet/articleshow/129925824.cms ↩