TL;DR: Anthropic hat versehentlich den vollständigen Quellcode seines KI-Agenten Claude Code via NPM veröffentlicht – 512.000 Zeilen TypeScript, 44 versteckte Feature-Flags, unbekannte interne Tools. Für Teams, die Claude in Automatisierungs-Stacks einsetzen, entstehen daraus konkrete Erkenntnisse und neue Risikofragen.
Am 31. März 2026 wurde bei einem Routine-Update der npm-Version 2.1.88 von Claude Code versehentlich eine 59,8 MB große Source-Map-Datei (cli.js.map) mitveröffentlicht. Diese referenzierte einen öffentlich zugänglichen ZIP-Container in Anthropics Cloudflare-R2-Bucket und enthielt damit den vollständigen proprietären Quellcode des KI-Coding-Agenten. Innerhalb weniger Stunden wurde das Material auf GitHub gespiegelt – ein Repository verzeichnete über 50.000 Kopien (Forks). Anthropic versendete DMCA-Unterlassungserklärungen, der Code ist jedoch durch dezentrale Mirrors faktisch dauerhaft im Netz.
Die wichtigsten Punkte
- 📅 Ereignisdatum: 31. März / 1. April 2026 (öffentlich bestätigt)
- 🎯 Betroffenes Tool: Claude Code v2.1.88 (npm-Paket), Anthropics agentic Coding-CLI
- 💡 Was geleakt wurde: 512.000 Zeilen TypeScript, 1.900+ Quelldateien, CLI-Architektur, Slash-Commands, 44 versteckte Feature-Flags, Self-Healing-Memory-System, unveröffentlichte Features
- 🔧 Was NICHT betroffen ist: Kundendaten, API-Schlüssel, Zugangsdaten, Modell-Gewichte
- ⚠️ Ursache: Menschliches Versagen beim Packaging (fehlendes
.npmignoreoder falsch konfiguriertesfiles-Feld inpackage.json) – kein gezielter Angriff
Was bedeutet das für AI-Automation-Engineers?
Der Vorfall ist für Automatisierungs-Teams aus zwei Gründen relevant: Er enthüllt, wie Claude Code intern funktioniert – und er stellt Fragen zur Robustheit von KI-basierten Pipelines.
Was der Leak über Claude Code verrät
Claude Code ist keine einfache Chat-Integration. Der nun sichtbare Code zeigt eine komplexe Agentenarchitektur:
Self-Healing Memory: Claude Code verwaltet seinen Kontext dynamisch über Kontextfenster-Grenzen hinaus. Das erklärt, warum der Agent bei langen Coding-Sessions konsistent bleibt – intern werden Zustand und Kontext aktiv gemanagt.
44 versteckte Feature-Flags: Viele davon betreffen Workflow-Integrationen und unveröffentlichte Fähigkeiten. Für Teams, die Claude Code in CI/CD-Pipelines oder agentic Workflows (z. B. via n8n, Make oder eigene Orchestratoren) einsetzen, bedeutet das: Das Tool kann deutlich mehr, als in der offiziellen Dokumentation sichtbar ist.
Slash-Commands und Built-in-Tools: Die Architektur zeigt, wie interne Tools strukturiert und aufgerufen werden – eine plugin-artige Struktur mit ca. 40 Tools (~29.000 Zeilen Code), in der jede Fähigkeit ein diskretes, berechtigungs-gesteuertes Tool ist. Das ist direkt relevant für alle, die Claude in eigene Automatisierungs-Stacks einbinden.
Workflow-Implikationen: Was du jetzt wissen solltest
Claude Code CLI (TypeScript, 1.900 Dateien)
└── Agent Core
├── Memory Management (3-Schicht-System gegen Kontext-Entropie)
├── Slash Commands Layer (commands.ts, 25.000 Zeilen)
├── Built-in Tools (~40 Tools, 29.000 Zeilen, 44+ Feature Flags)
└── Bidirektionale Kommunikationsschicht (IDE ↔ Claude CLI)Für Automation-Stacks mit Claude Code bedeutet der Leak:
- Keine unmittelbaren Sicherheitsrisiken: Anthropic bestätigt, dass keine API-Keys, Kundendaten oder Modell-Gewichte betroffen sind. Bestehende Integrationen können bedenkenlos weiterlaufen.
- Wettbewerbs-Exposition: Die interne Architektur ist nun für Konkurrenten und Open-Source-Entwickler einsehbar. Open-Source-Alternativen könnten sich in den kommenden Monaten deutlich beschleunigen.
- DMCA-Limits: Die Unterlassungserklärungen zeigen, wie schnell proprietärer Code im Open-Web landet. Für eigene Tools und Integrationen ist das eine Erinnerung,
.npmignore-Konfigurationen und Build-Prozesse zu überprüfen.
Der technische Fehler – und was Automation-Teams daraus lernen
Die Ursache ist erschreckend banal: Eine fehlende oder fehlerhafte .npmignore-Konfiguration führte dazu, dass Source Maps – die beim Debugging nützlich sind, aber nie in Production-Packages landen sollten – mitveröffentlicht wurden.
Für eigene Automatisierungsprojekte mit npm-Paketen gilt:
- Source Maps gehören nicht in Production-Releases →
.npmignoreoderfiles-Feld inpackage.jsonexplizit konfigurieren - Build-Artefakte automatisiert prüfen → Pre-publish-Hooks oder CI-Checks für Package-Größe und enthaltene Dateien
- Release-Prozesse dokumentieren → Menschliches Versagen bei Releases ist auch das Risiko bei eigenen Automatisierungs-Tools Im Workflow bedeutet das konkret: Wer eigene Claude-Integrationen oder MCP-Server als npm-Pakete verteilt, sollte heute seinen Publish-Prozess gegenchecken. Die Zeitersparnis durch diesen Check: 15 Minuten. Der mögliche Schaden ohne ihn: erheblich.
Anthropics Reaktion und der aktuelle Stand
Anthropic hat den Vorfall schnell eingeräumt und kommuniziert:
„Eine Veröffentlichung von Claude Code enthielt heute einen Teil des internen Quellcodes. Es waren keine sensiblen Kundendaten oder Anmeldedaten betroffen. Es handelt sich um ein Problem bei der Veröffentlichung, das durch menschliches Versagen verursacht wurde, nicht um eine Sicherheitslücke.” — Anthropic-Sprecher gegenüber dem Handelsblatt Das Paket wurde entfernt, DMCA-Takedowns wurden versendet. Präventivmaßnahmen für künftige Releases seien implementiert. Trotzdem: Bei über 50.000 GitHub-Forks ist der Code faktisch dauerhaft öffentlich.
Praktische nächste Schritte
- Eigene npm-Konfigurationen prüfen: Für alle, die eigene Tools oder Claude-Integrationen via npm veröffentlichen –
.npmignoreundfiles-Feld sofort verifizieren - Claude Code weiternutzen: Kein unmittelbarer Handlungsbedarf für bestehende Automation-Workflows – keine Credentials oder Kundendaten betroffen
- Feature-Flags im Blick behalten: Die 44 versteckten Flags deuten auf baldige Releases hin – offizielle Release Notes von Anthropic engmaschiger verfolgen
- MCP-Integration vertiefen: Wer Claude Code bereits in n8n, Make oder eigene Orchestratoren eingebunden hat, kann mit dem Wissen um die interne Architektur Integrationen gezielter bauen
Quellen & Weiterführende Links
- 📰 Original-Artikel Handelsblatt
- 📰 The Hacker News – Claude Code Source Leaked via npm
- 📰 Layer5 – 512,000 Lines, a Missing .npmignore
- 📚 Offizielle Claude Code Dokumentation
- 🎓 Workshops & Kurse (via workshops.de API verifiziert):
- Claude: Modul 3 – Agentic Software Engineering with Claude Code — Von der Installation bis zum Multi-Agent-Workflow, inklusive CI/CD-Integration und eigenem MCP-Server
- 💡 Passende Einsteigerkurse zu Claude befinden sich aktuell in Planung – informiere dich auf workshops.de über neue Angebote.
Technical Review vom 02.04.2026
Review-Status: PASSED_WITH_CHANGES
Vorgenommene Änderungen:
- Kurs-Link “claude-for-beginner”: Ungültiger Link entfernt → Ersetzt durch Fallback-Hinweis (Link existiert nicht in workshops.de)
- Anthropic Docs URL: DE-Pfad korrigiert zu EN-Pfad (https://docs.anthropic.com/de/docs/claude-code → /en/docs/claude-code)
- MCP-Server Referenz: Entfernt und durch präzise Beschreibung der tatsächlichen Architektur ersetzt (MCP nicht im Leak bestätigt)
- Code-Architektur-Diagramm: Aktualisiert mit verifizierten Details aus Leak (Zeilenzahlen, 3-Schicht-Memory-System, bidirektionale Kommunikation statt MCP)
Verifizierte Fakten:
- ✅ Ereignisdatum 31. März 2026 korrekt (verifiziert via Multiple Sources)
- ✅ Version 2.1.88 korrekt
- ✅ Dateigröße 59,8 MB Source Map korrekt (Artikel rundet zu “60 MB” - akzeptabel)
- ✅ 512.000 Zeilen TypeScript korrekt
- ✅ 1.900+ Dateien korrekt
- ✅ 44 Feature Flags korrekt
- ✅ Cloudflare R2 Bucket als Quelle korrekt
- ✅ 50.000+ GitHub Forks korrekt (eine Quelle spricht von 41.500, eine andere von über 50.000 - Artikel-Zahl liegt im plausiblen Bereich)
- ✅ DMCA-Unterlassungserklärungen korrekt
- ✅ Anthropic Statement korrekt zitiert
- ✅ Self-Healing Memory → präziser als “3-Schicht-Memory-System gegen Kontext-Entropie” beschrieben
- ✅ Slash Commands Layer mit 25.000 Zeilen Code verifiziert
- ✅ Built-in Tools (~40 Tools, 29.000 Zeilen) verifiziert
Link-Verifikation:
- ✅ 4 externe Links geprüft
- ✅ workshops.de API-Check durchgeführt
- ✅ 1 Kurs-Link verifiziert (software-engineering-claude-code)
- 🗑️ 1 Kurs-Link entfernt (claude-for-beginner - existiert nicht)
- 🔄 1 Dokumentations-Link korrigiert (DE → EN)
Empfehlungen:
- 💡 Artikel ist technisch sehr fundiert und akkurat
- 💡 Gut recherchiert mit multiplen Quellen
- 💡 Code-Diagramm jetzt mit verifizierten Daten aus tatsächlichem Leak
- 💡 Keine weiteren technischen Fehler gefunden Reviewed by: Technical Review Agent Verification Sources: The Hacker News, Layer5 Blog, Engineer’s Codex, NDTV, Handelsblatt, Perplexity AI Research, workshops.de API Confidence Level: HIGH