Claude Code npm Leak enthüllt unveröffentlichte Funktionen, darunter KAIROS, BUDDY und Agent Swarms
Das Unternehmen bestätigt Der Vorfall am 31. März 2026 führte er im Gespräch mit Venture Beat auf menschliches Versagen im Freigabeverpackungsprozess zurück. Version 2.1.88 von @anthropic-ai/claude-code wird mit einer 59,8 MB großen Javascript-Quellkartendatei ausgeliefert. Im Grunde ein Debugging-Artefakt, das minimierten Produktionscode wieder dem ursprünglichen Typescript zuordnete, das direkt auf ein darauf befindliches öffentlich zugängliches Zip-Archiv verwies AnthropischDer eigene Cloudflare R2-Speicher-Bucket.
Niemand musste etwas hacken. Die Datei war einfach da.
Sicherheitsforscher Chaofan Shou, Praktikant bei Blockchain Die Sicherheitsfirma Fuzzland hat das Problem entdeckt und hat den direkten Bucket gepostet Link auf Community-Mitglieder hatten bereits damit begonnen, Telemetrie zu entfernen, versteckte Feature-Flags umzudrehen und saubere Neuimplementierungen in Python und Rust zu entwerfen, um Urheberrechtsbedenken auszuräumen.
Die Grundursache war einfach: Buns Bundler generiert standardmäßig Quellkarten und kein Build-Schritt hat das Debug-Artefakt vor der Veröffentlichung ausgeschlossen oder deaktiviert. Ein fehlender Eintrag in .npmignore oder dem Files-Feld in package.json hätte das Ganze verhindert.
Was die Entwickler darin fanden, wurde detailliert beschrieben. Die ca. 1.900 Typescript-Dateien umfassten Tool-Ausführungslogik, Berechtigungsschemata, Speichersysteme, Telemetrie, Systemeingabeaufforderungen und Feature-Flags – eine vollständige technische Übersicht darüber, wie Anthropic ein Agenten-Codierungstool in Produktionsqualität erstellt. Telemetrie scannt Eingabeaufforderungen auf Obszönitäten als Frustrationssignal, protokolliert jedoch keine vollständigen Benutzergespräche oder Code. Ein „Undercover-Modus“ weist die KI an, Verweise auf interne Codenamen und Projektdetails aus Git-Commits und Pull-Requests zu entfernen.
Mehrere unveröffentlichte Funktionen befanden sich hinter Flaggen. KAIROS wird als ständig aktiver Hintergrund-Daemon beschrieben, der Dateien überwacht, Ereignisse protokolliert und während der Leerlaufzeit einen „träumenden“ Speicherkonsolidierungsprozess ausführt. BUDDY ist ein unheilbares Haustier mit 18 Arten – darunter Wasserschweine –, das Werte wie DEBUGGING, PATIENCE und CHAOS trägt. Im KOORDINATOR-MODUS kann ein einzelner Agent parallele Worker-Agenten erzeugen und verwalten. ULTRAPLAN plant 10- bis 30-minütige Remote-Planungssitzungen mit mehreren Agenten.
Anthropisch teilte Venture Beat mit, dass der Vorfall keine sensiblen Kundendaten, keine Anmeldeinformationen und keine Beeinträchtigung der Modellgewichte oder der Inferenzinfrastruktur beinhaltete. „Dies war ein durch menschliches Versagen verursachtes Release-Verpackungsproblem“, sagte das Unternehmen und fügte hinzu, dass es Maßnahmen einführt, um eine Wiederholung zu verhindern.
Diese Maßnahmen müssen möglicherweise schnell umgesetzt werden. Dies ist das zweite Mal, dass derselbe Fehler passiert. Ein nahezu identisches Quellkartenleck trat bei einer früheren Version von Claude Code im Februar 2025 auf.
Der Vorfall vom 31. März ereignete sich auch parallel zu einem anderen NPM Angriff auf die Lieferkette auf dem Axios-Paket, aktiv zwischen 00:21 und 03:29 UTC. Entwicklern, die in diesem Fenster Claude Code über npm installiert oder aktualisiert haben, wird empfohlen, ihre Abhängigkeiten zu überprüfen und die Anmeldeinformationen zu wechseln. Anthropic empfiehlt künftig den nativen Installer anstelle von npm.
Hier kommt es auf den Kontext an. Fünf Tage zuvor, am 26. März, wurden durch eine CMS-Fehlkonfiguration bei Anthropic rund 3.000 interne Dateien offengelegt, die Details zum unveröffentlichten „Claude Mythos“-Modell enthielten, die ebenfalls auf menschliches Versagen zurückgeführt wurden. Zwei bedeutende versehentliche Offenlegungen in weniger als einer Woche werfen Fragen zur Release-Hygiene in einem Unternehmen auf, dessen Tools aktiv zum Schreiben und Versenden von Code in großem Maßstab eingesetzt werden.
Der durchgesickerte Quellcode bleibt trotz aktiver Deaktivierungsdurchsetzung in archivierter und gespiegelter Form verfügbar. Anthropic hat über seinen Kommentar gegenüber Venture Beat hinaus keine umfassendere Obduktion oder öffentliche Stellungnahme veröffentlicht.
Es wurden keine Benutzerdaten offengelegt. Der Kern Claude Modelle sind davon nicht betroffen. Der Entwurf für den Bau eines Konkurrenten zu Claude Code lässt sich nun jedoch erheblich einfacher zusammenstellen.
FAQ 🔎
- F: War der Quellcode-Leak von Claude Code ein Hackerangriff? Nein – Anthropic bestätigte, dass es sich bei der Offenlegung um einen Verpackungsfehler und nicht um eine Sicherheitsverletzung oder einen unbefugten Zugriff handelte.
- F: Was wurde im Anthropic NPM-Leak tatsächlich enthüllt? Ungefähr 512.000 Zeilen TypeScript, die die Claude Code-CLI abdecken, einschließlich Telemetrie, Feature-Flags, versteckten Features und Agentenarchitektur – keine Modellgewichtungen oder Kundendaten.
- F: Sind meine Daten durch den NPM-Vorfall mit Claude Code gefährdet? Anthropic sagt, dass keine Benutzerdaten oder Anmeldeinformationen offengelegt wurden; Entwickler, die während des gleichzeitigen Axios-Supply-Chain-Angriffsfensters über NPM installiert haben, sollten Abhängigkeiten prüfen und Anmeldeinformationen rotieren.
- F: Hat Anthropic schon einmal Quellcode durchgesickert? Ja – im Februar 2025 kam es zu einem nahezu identischen Quellkartenleck einer früheren Claude-Code-Version, was den zweiten Vorfall dieser Art in etwa 13 Monaten darstellt.
