Claude Code offengelegt: Wie eine Source-Map den Quellcode öffentlich machte

Claude Code war plötzlich öffentlich einsehbar

Anthropics Entwicklerwerkzeug Claude Code ist eigentlich ein proprietäres CLI-Tool für KI-gestützte Entwicklungsarbeit. Am 31. März 2026 wurde der Quellcode davon laut mehreren Berichten unbeabsichtigt öffentlich zugänglich, nachdem im npm-Registry eine Source-Map mit ausgeliefert wurde. Kurz darauf wurde ein kompletter Snapshot des Codes in einem öffentlichen GitHub-Repository gespiegelt.

Für Anthropic ist das besonders heikel, weil Claude Code kein Open-Source-Projekt ist, sondern ein kommerzielles Produkt. Wer eine solche Codebasis offenlegt – selbst unbeabsichtigt – liefert Wettbewerbern, Sicherheitsforschern und neugierigen Entwicklern plötzlich einen sehr tiefen Einblick in Architektur, Features und interne Implementierungsdetails.

Was ist überhaupt passiert?

Der Auslöser war offenbar keine klassische Kompromittierung und auch kein Hack, sondern ein Fehler beim Paketieren einer neuen Version. Laut Berichten enthielt die veröffentlichte npm-Version von Claude Code eine große Datei wie cli.js.map, also eine Source-Map, die auf die ursprünglichen Quelltexte verwies beziehungsweise sie direkt mitlieferte. Anthropic bezeichnete den Vorfall als „release packaging issue caused by human error“ und erklärte zugleich, dass keine sensiblen Kundendaten oder Zugangsdaten betroffen gewesen seien.

Genau das macht den Vorfall so interessant: Es brauchte offenbar keinen Angreifer, der Systeme überwinden musste. Der Code wurde durch den eigenen Veröffentlichungsprozess sichtbar. Das ist technisch vielleicht weniger dramatisch als ein Datenabfluss durch einen Einbruch – reputationsseitig ist es aber trotzdem ein schwerer Treffer.

Warum Source-Maps gefährlich sein können

Source-Maps sind eigentlich ein nützliches Werkzeug. Sie helfen dabei, minimierten oder gebündelten JavaScript-Code wieder auf die ursprünglichen Quelldateien zurückzuführen. In der Entwicklung ist das praktisch, im Produktiv-Release kann es jedoch problematisch werden. Wenn eine Map-Datei versehentlich mit ausgeliefert wird und zusätzlich die Quellinhalte enthält oder auf abrufbare Originaldateien zeigt, lässt sich daraus unter Umständen die komplette Codebasis rekonstruieren. Genau das soll hier passiert sein.

Der Fall ist deshalb ein gutes Beispiel dafür, dass Sicherheitsprobleme nicht immer aus Schwachstellen in der Software selbst entstehen. Manchmal genügt ein Fehler in der Build- oder Release-Pipeline. Ein falsch gesetztes Flag, eine nicht bereinigte Debug-Datei oder eine unzureichend geprüfte Paketkonfiguration reichen aus, um internen Code offen ins Netz zu stellen.

Wie groß war das Ausmaß?

Laut Heise umfasste das gespiegelte Material rund 1.900 Dateien mit mehr als 512.000 Zeilen Code. BleepingComputer berichtet ebenfalls von ungefähr 1.900 Dateien und rund 500.000 Zeilen. Damit geht es nicht um ein paar Fragmente oder einzelne Module, sondern um einen sehr tiefen Einblick in das Produkt.

Erste Analysen beschrieben außerdem eine modular aufgebaute Architektur. Heise berichtet, dass Claude Code demnach auf Bun als JavaScript-Laufzeit setzt und für die Terminaloberfläche React in Kombination mit der Ink-Bibliothek nutzt. Zusätzlich seien unter anderem ein Befehlssystem, IDE-Schnittstellen und Mechanismen zur Rechte- beziehungsweise Berechtigungssteuerung im Material sichtbar geworden.

Warum das für die Branche relevant ist

Claude Code ist kein nebensächliches Tool, sondern laut offizieller Dokumentation ein KI-gestütztes Entwicklerwerkzeug, das im Terminal arbeitet, Projektdateien analysiert, Änderungen vorschlägt und Git-Workflows unterstützt. Anthropic positioniert das Produkt als Coding-Assistent für typische Entwicklungsaufgaben. Genau deshalb ist ein solcher Leak für Mitbewerber und Sicherheitsforscher besonders aufschlussreich.

Der Vorfall zeigt auch, wie stark moderne KI-Produkte inzwischen von klassischer Software-Lieferkette abhängen. Nicht nur das Modell selbst zählt, sondern auch Packaging, Update-Prozesse, Registry-Veröffentlichungen und Build-Artefakte. Wer dort patzt, riskiert nicht nur Peinlichkeit, sondern reale Einblicke in interne Roadmaps, Feature-Flags und Produktstrategien.

Anthropics Reaktion

Anthropic reagierte Berichten zufolge schnell: Die betroffene Paketversion wurde aus dem npm-Registry entfernt und durch eine bereinigte Version ohne Source-Maps ersetzt. Zusätzlich erklärte das Unternehmen, dass Maßnahmen eingeführt würden, um eine Wiederholung zu verhindern. Parallel dazu wurde laut BleepingComputer bereits mit DMCA-Hinweisen gegen öffentlich gespiegelte Kopien vorgegangen.

Trotzdem gilt wie immer im Internet: Was einmal öffentlich war, lässt sich kaum vollständig zurückholen. Selbst wenn Originalquellen entfernt werden, bleiben Spiegel, Forks und lokale Kopien oft weiter bestehen. Genau deshalb sind Fehler in Release-Prozessen so kritisch.

Mein Fazit

Der Claude-Code-Vorfall ist kein typischer „Hack“, sondern eher ein Lehrstück über unsichere Veröffentlichungsprozesse. Gerade Unternehmen, die mit sensibler KI-Infrastruktur arbeiten und sich öffentlich über Sicherheit und Verantwortung positionieren, müssen ihre Build- und Release-Ketten besonders streng absichern.

Für Entwicklerteams ist die wichtigste Erkenntnis simpel: Nicht nur der Anwendungscode selbst muss geprüft werden, sondern auch alles, was beim Build mit entsteht. Source-Maps, Debug-Dateien, interne Konfigurationen oder versehentlich mitgelieferte Artefakte können ausreichen, um intern gedachte Informationen unfreiwillig öffentlich zu machen. Der eigentliche Schaden entsteht dann nicht durch eine spektakuläre Attacke, sondern durch einen banalen, aber folgenreichen Fehler im Deployment.