Der Claude Code Source-Map-Leak
Ein fehlender .npmignore-Eintrag hat 512K Zeilen TypeScript, 44 GrowthBook-Feature-Flags, den KAIROS-Daemon und den Undercover Mode mit jedem npm install ausgeliefert.
Hören Sie auf zu konfigurieren. Fangen Sie an zu bauen.
SaaS-Builder-Vorlagen mit KI-Orchestrierung.
Problem: Am 31. März 2026 wurde Version 2.1.88 des @anthropic-ai/claude-code npm-Pakets mit einer 59,8 MB großen Datei namens cli.js.map ausgeliefert. Bun hatte sie beim Build generiert. Niemand hatte .npmignore gesagt, *.map zu überspringen, also fuhr die Map im Tarball mit. Diese eine Auslassung hat die gesamte Claude Code-Codebasis an jeden ausgeliefert, der npm install ausführte: ungefähr 1.900 TypeScript-Dateien, 512.000+ Zeilen, 44 Feature-Flags hinter GrowthBook, einen Hintergrunddaemon namens KAIROS und einen Stealth-Modus für Anthropic-Mitarbeiter in öffentlichen Repos. Versehentliche Enthüllungen in KI-Tools werden nicht größer als das.
Was es für dich bedeutet: Zwei Zielgruppen interessieren sich dafür. Wenn Claude Code dein täglicher Begleiter ist, ist der Leak eine Vorschau auf das, was Anthropic gebaut, aber noch nicht ausgeliefert hat, und ein Blick ins Innere des Dings, das du bereits nutzt. Wenn du eher allgemein mit KI-Tools baust, ist der Dump ein seltener Blick auf ein Produkt mit 2,5 Mrd. USD ARR: wie es verdrahtet ist, wie es sich selbst schützt, und wie das gleiche Team, das diese Architektur ausliefert, trotzdem eine einzeilige Ignore-Regel vergisst.
Die Entdeckung geht auf Chaofan Shou (@shoucccc auf X) zurück, ein Sicherheitsforscher und Intern bei Solayer Labs. Er bemerkte die 59,8 MB große cli.js.map in Version 2.1.88, lud sie herunter und postete den Download-Link gegen 4:23 Uhr ET. Von da an machte der Post Zahlen. Views landeten irgendwo zwischen 16 und 21 Millionen.
Die Ursache ist banal. Claude Codes Build-Prozess läuft auf Bun. Bun generiert standardmäßig Source Maps. Um das vor npm zu stoppen, braucht man nur einen *.map-Eintrag in .npmignore. Diese Zeile war nie drin.
Boris Cherny, der Claude Code bei Anthropic leitet, nannte es einen "schlichten Entwicklerfehler". Er ließ auch eine Zeile fallen, die einiges über die Arbeitsweise des Teams aussagt: "100% meiner Beiträge zu Claude Code wurden von Claude Code geschrieben."
Und das war nicht das erste Mal. Ein ähnlicher Leak passierte im Februar 2025, was März 2026 zum mindestens zweiten Mal in dreizehn Monaten macht. Er landete auch genau fünf Tage nach dem "Mythos"-Modell-Spec-Leak, bei dem eine CMS-Fehlkonfiguration rund 3.000 interne Dateien freigelegt hatte, darunter Entwürfe von Blogposts über noch nicht angekündigte Modelle.
Zwei Leaks, eine Woche. Für ein Labor, das sich auf Safety-First-Branding stützt, waren die Optik schlecht. Und wer sich noch fragt, ob Claude Code Open Source ist, hat jetzt eine unordentlichere Antwort als zuvor.
Was wirklich in der Map-Datei war
Dekomprimiert rekonstruiert die Source Map ungefähr 1.900 TypeScript-Dateien. Die Größenordnung in der Übersicht:
| Metrik | Wert |
|---|---|
| Gesamt-Source-Dateien | ~1.900 TypeScript-Dateien |
| Gesamte Code-Zeilen | 512.000+ |
| Haupt-Einstiegspunkt | 785 KB (main.tsx) |
| Registrierte Tools | 40+ |
| Versteckte Feature-Flags | 44, für 20+ unausgelieferte Features |
| Kontext-Kompaktierungsstrategien | 5 verschiedene Ansätze |
| Event-Hooks | 25+ Hook-System |
Unter der Haube sitzt ein benutzerdefinierter Terminal-Renderer auf Basis von React und Ink, optimiert mit den Frame-Budget-Tricks, die man von einer Game-Engine erwarten würde. Die Query-Engine allein umfasst 46.000 Zeilen. Die Basis-Tool-Definition 29.000 Zeilen. Wer je gespürt hat, wie Claude Code eine lange Session jongliert, hat diese fünf Kontext-Kompaktierungsstrategien die ganze Zeit bemerkt, ohne zu wissen, dass sie existieren.
Drei Subagenten-Ausführungsmodelle tauchen im Code auf: Fork, Teammate und Worktree. Für jeden, der unsere Sub-Agent-Notizen gelesen hat, bestätigt das das Muster von außen. Das neue Detail ist, dass Claude Code je nach Schwierigkeit der Aufgabe auf drei verschiedene Delegationsstrategien zurückgreift.
Prompt-Caching kommt mit 14 Cache-Break-Vektoren. Das System überwacht also 14 separate Bedingungen, die den Cache ungültig machen könnten. Auf der Shell-Seite führt bashSecurity.ts 23 nummerierte Prüfungen durch, jedes Mal wenn Claude einen Befehl ausführen will. Unser Leitfaden zur Berechtigungsverwaltung erklärt, wie sich diese Gates in der Praxis anfühlen.
Undercover-Modus
Der Fund, der die lauteste Debatte auslöste, steckt in undercover.ts, ungefähr 90 Zeilen. Der Undercover-Modus schaltet sich ein, wenn ein Anthropic-Mitarbeiter (USER_TYPE === 'ant') Claude Code auf einem Repo verwendet, das nicht intern ist.
Wenn er aktiv ist, injiziert er diesen System-Prompt:
You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository.
Your commit messages, PR titles, and PR bodies MUST NOT contain
ANY Anthropic-internal information. Do not blow your cover.Während er läuft, tut der Modus Folgendes:
- Entfernt alle
Co-Authored-By-Attributierungen aus Commits und löscht den Fingerabdruck, dass Claude Code den Code angefasst hat - Verbietet die Erwähnung interner Codenamen, Slack-Kanäle, interner Repo-Namen oder des Ausdrucks "Claude Code" selbst
- Blockiert Referenzen auf unreleaste Modelle wie Opus 4.7 und Sonnet 4.8 (Codenamen weiter unten)
- Hat keinen Force-OFF-Schalter für externe Nutzer
Bei regulären Builds spielt das keine Rolle. Die gesamte Undercover-Funktion wird durch Dead-Code-Elimination entfernt, bevor sie npm erreicht. Externe Nutzer werden sie nie laufen sehen. Was es aufwirft, ist eine echte Frage über KI-Unternehmen, die zu Open-Source-Projekten beitragen, ohne es zu sagen.
Ein Hacker-News-Kommentator fasste die Stimmung so zusammen: Das Buddy-System sei "süß" und der Undercover-Modus "unethisch". Ob du es als unternehmerische Tarnung oder als grundlegende Informationssicherheit liest, hängt vom Blickwinkel ab. Die technische Geschichte ist einfach. Anthropic-Mitarbeiter nutzen Claude Code auf öffentlichen Repos, und dieser Modus verhindert, dass interne Details in Commit-Metadaten durchsickern. Die ethische Geschichte ist unordentlicher: KI-generierter Code landet in Open-Source-Projekten ohne Attributierung für das Modell oder das Labor.
Die Ironie war niemandem entgangen. Der Undercover-Modus existiert, um interne Geheimnisse davor zu bewahren, durch Code-Beiträge herauszusickern. Dann ist die gesamte Codebasis durch eine einzige vergessene Zeile in einer Packaging-Konfiguration herausgesickert.
KAIROS, der Hintergrunddaemon im Wartezustand
KAIROS taucht im Quellcode über 150 Mal auf. Der Name kommt aus dem Altgriechischen und bedeutet "der richtige Moment", also die günstige Zeit zum Handeln. Im Code entspricht es einem vollständig gebauten, aber noch nicht ausgelieferten autonomen Daemon-Modus für Claude Code.
Hier ist, was die Dateien beschreiben:
- Autonomer Betrieb: KAIROS empfängt periodische
<tick>-Prompts und entscheidet selbst, ob es etwas tun soll - Persistenz: Läuft weiter, nachdem dein Laptop zugeklappt wird, und trägt Session-State über Neustarts hinweg
- 15-Sekunden-Blockierungsbudget: Verhindert, dass ein einzelner Entscheidungszyklus die Maschine beansprucht
- Append-only-Logging: Tageslog-Dateien, die der Agent nicht löschen kann, was dir ein sauberes Audit-Trail von allem liefert, was er getan hat
- Drei exklusive Tools: Push-Benachrichtigungen, Dateiauslieferung und PR-Abonnements. Keines davon ist aus einer Standard-Claude-Code-Session erreichbar
- GitHub-Webhook-Abonnements: Beobachtet deine Repos auf Events, ohne auf deine Aktivität zu warten
KAIROS ist der Schritt nach dem, was wir derzeit autonome Agent-Loops nennen. Eine normale Claude Code-Session braucht dich, der Dinge genehmigt. KAIROS würde für immer im Hintergrund sitzen, deine Repositories beobachten und handeln, wenn es den Moment für richtig hält.
Die Namenswahl war absichtlich. In der griechischen Rhetorik geht es bei Kairos darum, den richtigen Moment zu erkennen, im Gegensatz zu Chronos, der Uhrenzeit. KAIROS ist kein Cron. Es entscheidet selbst, wann es eingreift, basierend auf dem, was es sieht.
Das Feature ist noch hinter Flags versteckt, und kein Launch-Datum wurde angedeutet. Aber 150+ Referenzen sind keine Skizze. Das ist fertige Software hinter einem Schalter.
AutoDream: Claude schläft buchstäblich drüber
In services/autoDream/ sitzt eine Memory-Konsolidierungsroutine, die läuft, während Claude idle ist. In diesem Idle-Fenster "träumt" Claude in einem ziemlich wörtlichen Sinne. Angesammeltes Session-Wissen wird reorganisiert und komprimiert.
Drei Gates müssen erfüllt sein, bevor der Dream-Zyklus läuft:
- Mindestens 24 Stunden seit dem letzten Dream-Zyklus
- Mindestens 5 abgeschlossene Sessions seit der letzten Konsolidierung
- Ein Konsolidierungs-Lock (der verhindert, dass zwei Dream-Prozesse gleichzeitig laufen)
Wenn alle drei erfüllt sind, läuft der Zyklus in vier Phasen:
- Orient: Den aktuellen Memory-Zustand ansehen und herausfinden, was Arbeit braucht
- Gather Recent Signal: Erkenntnisse aus jüngsten Sessions extrahieren
- Consolidate: Neues Wissen in bestehendes Memory einfalten
- Prune and Index: Duplikate entfernen und MEMORY.md unter 200 Zeilen / ungefähr 25 KB halten
Wenn du Claude Codes Auto-Memory-System genutzt hast, hast du die Ausgabe dieses Loops beobachtet, ohne die Inputs zu sehen. Wir haben die nutzerorientierte Seite von Auto-Dream bereits behandelt. Der geleakte Source bestätigt die Vier-Phasen-Form und legt die konkreten Schwellenwerte fest, die ihn auslösen.
Zwei Ebenen von Anti-Distillation
Der Source enthüllt auch eine zweischichtige Verteidigung gegen Destillation. Konkurrenten, die auf Claude Code-Outputs trainieren, sind das Bedrohungsmodell.
Ebene 1: Fake-Tools
Ein Feature-Flag, anti_distillation: ['fake_tools'], weist den Server an, Köder-Tool-Definitionen in Antworten einzuschmuggeln. GrowthBook steuert das hinter einem Flag namens tengu_anti_distill_fake_tool_injection. Jeder Konkurrent, der versucht, Claude Codes Tool-Calling-Stil zu destillieren, würde am Ende von absichtlich falschen Tool-Schemas lernen.
Ebene 2: CONNECTOR_TEXT
Statt vollständige Reasoning-Chains zurückzustreamen, gibt der Server kryptographisch signierte Zusammenfassungen zurück. Das hält die detaillierte Chain-of-Thought zurück, genau die Daten, die ein rivalisierender Trainer am meisten wollen würde. CONNECTOR_TEXT ist auf USER_TYPE === 'ant' beschränkt, gilt also nur für Anthropic-Mitarbeiter, nicht für externe Nutzer.
Zusammengenommen zeigen die Schichten, dass Anthropic ernsthaft über Destillationsangriffe auf sein agentisches Coding-Tool nachgedacht hat und echte Abwehrmaßnahmen baut.
ULTRAPLAN: Planen auf geliehenem Hardware
ULTRAPLAN verschiebt schwere Planungsaufgaben an einen Remote-Cloud-Container-Runtime. Dieser Runtime läuft Opus 4.6 mit einem Planungsfenster von bis zu 30 Minuten. Dein lokales Terminal pollt alle 3 Sekunden nach Updates, und eine Browser-UI lässt dich den Plan live entstehen sehen und ihn zwischendrin genehmigen oder ablehnen.
Für jeden, der die Planungsmodi in Claude Code genutzt hat, ist ULTRAPLAN die maximal ausgereizte Version. Ein Remote-Rechner. Ein 30-Minuten-Denkbudget. Hardware, die größer ist als was immer dein Laptop ist.
Codenamen, Tengu und Modellnamen
"Penguin Mode" ist der interne Name für das, was Nutzer Fast Mode nennen. Sein API-Endpunkt ist /api/claude_code_penguin_mode, und sein Kill-Schalter ist das Flag tengu_penguins_off. Solche Codename-Muster ziehen sich durch die gesamte Codebasis.
Enthüllte Modell-Codenamen
| Codename | Entspricht |
|---|---|
| Tengu | Interner Projektcodename von Claude Code |
| Capybara | Neue Modellfamilie (möglicherweise das geleakte "Mythos"-Modell). Referenzen zu capybara, capybara-fast, capybara-fast[1m], capybara-v2-fast |
| Fennec | Opus 4.6 (Migrationsfunktion migrateFennecToOpus im Quellcode gefunden) |
| Numbat | Unreleases Modell ("Remove this section when we launch numbat") |
| Opus 4.7 | In der Verbotene-Strings-Liste des Undercover-Modus referenziert |
| Sonnet 4.8 | In der Verbotene-Strings-Liste des Undercover-Modus referenziert |
Capybara ist das interessante. Es taucht auch als Claude-Buddy-Artname auf, hex-kodiert, damit es an Anthropics eigenem excluded-strings.txt-Build-Scanner vorbeikommt. Jeder der 18 Haustier-Artnamen bekam die gleiche Hex-Behandlung, was verhindert, dass ein einzelner versteckter Codename allein verdächtig aussieht.
Code-Qualitäts-Roasts
Der Dump löste eine zweite, separate Diskussion aus. Leute fingen an, den Code zu lesen. Bei 2,5 Mrd. USD ARR hat manches davon für hochgezogene Augenbrauen gesorgt.
Die print.ts-Datei: 5.594 Zeilen Code. In dieser Datei ist eine Funktion 3.167 Zeilen lang. Allein diese Funktion ist länger als viele vollständige Anwendungen.
Frustrationserkennung: Ein Regex-basiertes System scannt Nutzereingaben auf Flüche und Anzeichen emotionaler Belastung. Die Community-Reaktion war sofort: "Ein LLM-Unternehmen nutzt Regexes für Sentiment-Analyse? Das ist wie wenn eine Spedition Pferde benutzt, um Teile zu transportieren."
187 Spinner-Verben: Der Ladespinner rotiert durch 187 Aktionsverben. Kommentatoren gingen jeden einzelnen davon durch und suchten nach "reticulating", der SimCity-2000-Ladebildschirm-Referenz. Es steckt drin.
Verschachtelte Callbacks: Ein Hacker-News-Kommentator beschrieb die gestapelten .then()-Ketten als "ein Hauptwerk der 'Just-Vibes'-Ära". Da der Chef von Claude Code gesagt hat, das Tool habe seine eigene Codebasis geschrieben, ist der Coding-Stil der KI jetzt öffentliches Beweismaterial.
Native Client-Attestation: Client-Verifizierung wurde unter JavaScript geschoben, direkt runter in Buns Zig-Level-HTTP-Stack. Das ist aggressiver als das, womit sich die meisten Developer-Tools abmühen, und deutet darauf hin, dass API-Sicherheit ernst genommen wird, auch wenn Packaging-Sicherheit es offensichtlich nicht war.
Community-Fallout
Reaktionen kamen schnell.
Mirrors und Forks: Ein Mirror-Repo häufte über 41.500 Forks an. Jemand spiegelte den Code auch auf eine dezentrale Plattform unter dem Slogan "Wird niemals abgeschaltet."
Clean-Room-Rewrites: Der koreanische Entwickler Sigrid Jin stellte "claw-code" (instructkr/claw-code) auf, ein Clean-Room-Python-Rewrite. Es erreichte 75.000 GitHub-Sterne in ungefähr 2 Stunden, möglicherweise das schnellste Wachstum, das GitHub je gesehen hat.
DMCA-Takedowns: Anthropic reichte DMCA-Notices gegen Mirrors ein. Standardvorgehen. Es zog trotzdem Kritik auf sich, weil der Code durch den eigenen Packaging-Fehler des Labs veröffentlicht wurde.
Memecoins: Jemand launchte $Nebulynx auf Solana, gebunden an die seltenste Claude-Buddy-Variante (Shiny Legendary). Natürlich.
Paralleles Chaos: Zufälligerweise brachte der gleiche Tag einen Supply-Chain-Angriff auf ein unverwandtes npm-Paket via Axios. Das Ergebnis war 24 Stunden, in denen das npm-Ökosystem gleichzeitig mit einem versehentlichen Corporate-Leak und einem absichtlichen Sicherheitsangriff umging.
Berichterstattung: CNBC, Fortune, Gizmodo, VentureBeat, Axios, The Register, Decrypt, Cybernews und Hacker News haben alle darüber berichtet.
Was das bedeutet
Für Anthropic
Anthropic sitzt bei 19 Mrd. USD annualisiertem Umsatz. Claude Code allein macht 2,5 Mrd. USD ARR. Das Unternehmen soll sich angeblich auf ein Oktober-IPO bei rund 380 Mrd. USD Bewertung vorbereiten. Zwei Leaks in einer Woche (Source Map plus Mythos) kratzen an der Safety-First-Geschichte, die unter der Marke und der Bewertung steckt.
Das KI-Sicherheitsunternehmen Straiker hat ein neues Problem aufgezeigt. Mit dem Code in der Öffentlichkeit können Angreifer nun nachverfolgen, wie Daten durch Claude Codes vierstufige Kontext-Management-Pipeline fließen, und nach Angriffsvektoren suchen, die vorher niemand sehen konnte. Feature-Flags und die Roadmap sind jetzt auch für GitHub Copilot, Cursor und alle anderen, die an KI-Coding-Tools arbeiten, sichtbar.
Für Entwickler, die Claude Code nutzen
Der Leak macht eine Sache klar. Claude Codes Architektur ist wirklich gut engineert. Fünf Kontext-Kompaktierungsstrategien. 14 Cache-Break-Vektoren. 23 Sicherheitsprüfungen für Bash-Befehle. Drei Subagenten-Ausführungsmodelle. Das ist kein Wrapper um eine API. Das ist ein tiefes System.
Was als nächstes kommt (KAIROS, ULTRAPLAN, AutoDream-Verbesserungen) zeigt in Richtung Always-on, autonomer Betrieb statt dem Session-basierten Modell, in dem die meisten Nutzer heute leben. Wenn deine Workflows auf Claude Code aufgebaut sind, lohnt es sich jetzt, mit eventuellem autonomen Betrieb im Hinterkopf zu designen.
Für die Open-Source-Debatte
Eine der ersten Suchanfragen nach dem Dump: Ist Claude Code Open Source? Technisch gesehen war der Source auf GitHub sichtbar, seit Anthropic das Repo veröffentlicht hat. Aber "Source Available" ist nicht das Gleiche wie "Open Source". Die Lizenz erlaubt keine Weiterverbreitung oder Modifikation, weshalb Anthropic DMCA-Notices gegen Mirrors schicken konnte. Der npm-Leak hat die vollständige Codebasis in mehr Hände gelegt, Source Maps und alles, zurückentwickelt zu lesbarem TypeScript. Nichts davon hat die Lizenz geändert.
Anthropics Statement war kurz: "Keine sensiblen Kundendaten oder Zugangsdaten waren betroffen. Release-Packaging-Problem durch menschlichen Fehler verursacht, kein Sicherheitsverstoß." Zunächst nutzten sie das npm-deprecated-Flag, statt das Paket tatsächlich zu entfernen, was weitere Kritik für eine langsame Reaktion nach sich zog. Kein formeller Post-Mortem ist rausgegangen.
FAQ
Was war der Claude Code-Quellcode-Leak?
Am 31. März 2026 wurde Version 2.1.88 des @anthropic-ai/claude-code npm-Pakets mit einer 59,8 MB großen Source-Map-Datei (cli.js.map) ausgeliefert, die den vollständigen TypeScript-Source freigelegt hat. Die Datei rekonstruierte ungefähr 1.900 Source-Dateien und 512.000+ Zeilen Code und enthüllte versteckte Features, interne Codenamen und nicht ausgelieferte Fähigkeiten wie den KAIROS-Hintergrunddaemon und den Undercover-Modus.
Ist Claude Code Open Source?
Claude Codes Quellcode ist auf GitHub sichtbar, aber nicht Open Source im Lizenzierungssinne. Die Lizenz erlaubt keine Weiterverbreitung oder Modifikation. Der npm-Leak hat den vollständigen Source durch Source Maps zugänglicher gemacht. Anthropic hält weiterhin das Copyright und hat DMCA-Notices gegen nicht autorisierte Mirrors eingereicht.
Was ist Claude Code Undercover Mode?
Undercover Mode ist ein Feature, das sich für Anthropic-Mitarbeiter einschaltet, wenn sie Claude Code auf nicht-internen Repositories nutzen. Er entfernt Co-Authored-By-Attributierungen, verbietet die Erwähnung interner Details in Commits und blockiert Referenzen auf unreleaste Modelle. Reguläre Nutzer sind nie betroffen, da der Code durch Dead-Code-Elimination aus öffentlichen Builds entfernt wird.
Was ist KAIROS in Claude Code?
KAIROS ist ein nicht ausgelieferter autonomer Daemon-Modus, der über 150 Mal im Claude Code-Source referenziert wird. Benannt nach dem griechischen Konzept des "richtigen Moments", ist es ein Hintergrundagent, der über Sessions hinweg persistiert, periodische Tick-Prompts empfängt und selbst entscheiden kann, Dinge zu tun wie Benachrichtigungen senden oder GitHub-Webhooks überwachen. Es sitzt hinter Feature-Flags ohne angekündigten Launch-Termin.
Welche Modell-Codenamen wurden im Leak gefunden?
Der Leak enthüllte mehrere interne Codenamen: Tengu (Claude Codes Projektcodename), Capybara (eine neue Modellfamilie, möglicherweise das geleakte Mythos-Modell), Fennec (Opus 4.6) und Numbat (ein unreleases Modell). Referenzen auf Opus 4.7 und Sonnet 4.8 wurden in der Verbotene-Strings-Liste des Undercover-Modus gefunden, was bestätigt, dass beide Modelle in Entwicklung sind.
Wie ist der Claude Code-Leak passiert?
Die Bun-Runtime generiert Source Maps standardmäßig beim Build. Niemand bei Anthropic hat *.map zu .npmignore hinzugefügt, also fuhr die Source Map im veröffentlichten npm-Paket mit. Boris Cherny, Chef von Claude Code, nannte es einen "schlichten Entwicklerfehler". Das war mindestens der zweite solche Vorfall, nach einem ähnlichen Leak im Februar 2025.
Hören Sie auf zu konfigurieren. Fangen Sie an zu bauen.
SaaS-Builder-Vorlagen mit KI-Orchestrierung.
/powerup
Claude Code v2.1.90 hat /powerup geliefert, ein animiertes In-Terminal-Lernsystem, das Hooks, Sub-Agents, Plan-Modus und Worktrees lehrt, ohne deine Shell zu verlassen.
Auto Memory in Claude Code
Auto Memory lässt Claude Code laufende Projekt-Notizen speichern. Wo die Dateien liegen, was geschrieben wird, wie /memory es umschaltet und wann du es statt CLAUDE.md nutzen solltest.