Ein einzelner Fehler bei der Paketierung führte zu einem sehr öffentlichen Blick hinter die Kulissen eines der beliebtesten KI-Coding-Tools. Am 31. März veröffentlichte Anthropic Version 2.1.88 seines npm-Pakets @anthropic-ai/claude-code mit etwas, das es definitiv nicht einfügen wollte: einer 59,8 MB großen Source-Map-Datei, die den gesamten Quellcode der Kommandozeilenschnittstelle (CLI) des Tools enthielt.
Wie 512.000 Zeilen auf GitHub landeten
Der Sicherheitsforscher Chaofan Shou war der Erste, der die exponierte Datei entdeckte und auf X darüber postete, zusammen mit einem Link zu den (mittlerweile entfernten) Inhalten. Von dort aus verbreitete sich der Code schnell. Der vollständige Code landete in einem öffentlichen GitHub-Repository und wurde innerhalb von Stunden zehntausende Male geforkt. Zu diesem Zeitpunkt war die Sache offensichtlich.
Das geleakte Paket enthält fast 2.000 TypeScript-Dateien und mehr als 512.000 Codezeilen. Das ist kein kleiner Fehler. Das ist der gesamte CLI-Quellcode, offen einsehbar für jeden, der neugierig genug ist, ihn zu analysieren.
Gefahr
Der geleakte Code betrifft nur die CLI von Claude Code, nicht die zugrunde liegenden KI-Modelle selbst. Anthropic bestätigte, dass keine sensiblen Kundendaten oder Anmeldeinformationen bei diesem Vorfall offengelegt wurden.
Anthropic reagierte schnell mit einer offiziellen Erklärung, die an mehrere Publikationen ging: "Heute hat eine Claude Code-Veröffentlichung einige interne Quellcodes enthalten. Es waren keine sensiblen Kundendaten oder Anmeldeinformationen beteiligt oder offengelegt. Dies war ein Fehler bei der Paketierung der Veröffentlichung, verursacht durch menschliches Versagen, kein Sicherheitsbruch. Wir implementieren Maßnahmen, um dies in Zukunft zu verhindern."
Was Forscher darin fanden
Die Sache ist die: Sobald Code wie dieser öffentlich ist, lesen ihn die Leute. Schnell. Innerhalb von Stunden nach dem Leak analysierten Entwickler bereits den Quellcode und posteten ihre Erkenntnisse. Eine weit verbreitete Beobachtung beschrieb ein "wahnsinnig gut gestaltetes" dreischichtiges Speichersystem, das der Code anscheinend als "selbstheilenden Speicher" bezeichnet. Das ist genau die Art von architektonischem Detail, das Anthropic lieber intern behalten hätte.
Das breitere Sicherheitspanorama ist es wert, beachtet zu werden. Laut einer detaillierten Analyse von VentureBeat haben Sicherheitsanalysten bereits mehrere Angriffspfade identifiziert, die der offengelegte Code ermöglicht, darunter Risiken in der Lieferkette und Gelegenheiten für Typosquatting, bei denen böswillige Akteure bösartige Pakete veröffentlichen könnten, die das Original nachahmen.
Claude Code CLI in Aktion
Das Timing macht es schwieriger, das abzutun
Dies ist die zweite gemeldete Datenoffenlegung von Anthropic innerhalb einer einzigen Woche. Nur wenige Tage zuvor enthüllte ein separater Leak die Existenz eines unveröffentlichten Modells mit dem Codenamen Mythos, das als bedeutender Schritt nach vorne in den Fähigkeiten beschrieben wurde. Zwei Vorfälle hintereinander in einem Markt, der jeden Monat wettbewerbsintensiver wird, sind kein gutes Bild, unabhängig davon, wie Anthropic sie darstellt.
Um fair zu sein, die Unterscheidung ist wichtig: CLI-Quellcode ist keine Modellgewichte, Trainingsdaten oder Benutzerinformationen. Entwickler, die auf Claude Code aufbauen, sind hier nicht direkt gefährdet. Aber wie The Hacker News berichtete, ist der Aspekt der Lieferkette real. Wenn der Quellcode eines weit verbreiteten Entwicklerwerkzeugs frei verfügbar ist und bereits in großem Umfang geforkt wurde, vergrößert sich das Fenster erheblich, in dem jemand ein überzeugendes Nachahmungspaket erstellen kann.
Was das für Entwickler bedeutet, die Claude Code verwenden
Für alle, die Claude Code aktiv in ihrem Workflow nutzen, ist das unmittelbare praktische Risiko gering. Keine API-Schlüssel, keine Benutzerdaten, keine Modellinterna. Was Sie tun sollten, ist, aufmerksam auf inoffizielle oder Drittanbieter-npm-Pakete zu achten, die behaupten, Claude Code oder verwandte Tools zu sein, da der geleakte Quellcode das Erstellen überzeugender Fälschungen erleichtert.
Der Schlüssel hier ist, dass Anthropic bestätigt hat, dass es Änderungen am Paketierungsprozess vornimmt, um eine Wiederholung zu verhindern. Ob diese Maßnahmen rückwirkend auf die bereits geforkten Repositories angewendet werden, ist eine ganz andere Frage. Für die neuesten Informationen zu KI-Entwicklertools und wie sich Vorfälle wie dieser auf das breitere Entwickler-Ökosystem auswirken, stellen Sie sicher, dass Sie mehr erfahren:
