TL;DR: Ein versehentlich veröffentlichter Source-Code von Claude Code (Version 2.1.88) enthüllte über 512.000 Zeilen TypeScript – inklusive eines bisher unbekannten „Proactive Mode”, der Claude Code befähigt, autonom und ohne explizite Nutzeranweisung selbstständig Aufgaben zu erledigen. Das verändert das Bild von KI-gestützten Entwickler-Workflows grundlegend.
Am 31. März 2026 enthielt ein Routine-npm-Update von Anthropic versehentlich eine 59,8 MB große Source-Map-Datei mit dem vollständigen TypeScript-Quellcode von Claude Code. Über 512.000 Zeilen in rund 1.900 Dateien – inklusive Query-Engine, Tool-System, Multi-Agent-Orchestrierung und 44 Feature-Flags für noch nicht veröffentlichte Funktionen – waren plötzlich öffentlich zugänglich. Bevor Anthropic reagieren konnte, war der Code bereits auf GitHub gespiegelt und mehr als 50.000 Mal geforkt.
Die wichtigsten Punkte auf einen Blick
- 📅 Datum des Leaks: 31. März 2026, Claude Code v2.1.88
- 🎯 Zielgruppe: Entwickler, AI-Automation-Engineers, DevOps-Teams
- 💡 Kernfeature: „Proactive Mode” – autonomes, proaktives Handeln ohne explizite Nutzeranfrage
- 🔧 Tech-Stack: TypeScript, Bun-Bundler, npm, Multi-Agent-Orchestrierung via XML-Protokoll
- ⚠️ Ursache: Packaging-Fehler (fehlende .npmignore-Konfiguration) führte zur versehentlichen Einlieferung der Source-Map; ein bekannter Bun-Bug (#28001) wird diskutiert, war aber nicht die Hauptursache
Was bedeutet der „Proactive Mode” im Workflow?
Für Automatisierungs-Teams ist der „Proactive Mode” das mit Abstand spannendste Signal im Leak. Er beschreibt einen Betriebsmodus, in dem Claude Code selbstständig Aufgaben initiiert und ausführt, auch wenn der Nutzer gerade nicht aktiv interagiert. KI-Startup-Gründer Alex Finn entdeckte den entsprechenden Feature-Flag auf X und machte ihn publik – eine offizielle Stellungnahme von Anthropic steht noch aus.
Im Workflow bedeutet das konkret:
Heute (Pull-Modus): Du gibst Claude Code einen Auftrag → Claude führt ihn aus → Du prüfst das Ergebnis.
Morgen (Proactive Mode): Claude Code erkennt eigenständig offene Tasks, Fehler im Build oder ausstehende Refactorings → plant und führt sie aus → du wirst informiert.
Dieser Paradigmenwechsel von reaktiv zu proaktiv hat massive Implikationen für bestehende Automatisierungs-Stacks.
Weitere entdeckte Features aus dem Leak
Der geleakte Code enthüllte weit mehr als nur den Proactive Mode. Hier die relevantesten Funde für AI-Automation-Praktiker:
ULTRAPLAN
Cloud-basierte Aufgabenplanung mit Claude Opus, die bis zu 30 Minuten laufen kann und per Browser überwachbar ist. Ideal für komplexe, mehrstufige Refactoring-Projekte oder langläufige Codegenerierungs-Tasks.
Coordinator Mode
Ein XML-basiertes Multi-Agent-Protokoll, das Phasen wie research → spec → implement → verify koordiniert. Isolierte Worker-Agenten erledigen Teilaufgaben in eigenen Scratch-Verzeichnissen – skalierbare Agentenarchitektur direkt im Terminal.
DREAM & autoDream
Nächtliche Memory-Konsolidierung innerhalb des KAIROS-Modus: Claude Code führt im Hintergrund Beobachtungen zusammen, löst Widersprüche auf und verifiziert Fakten. Für Automatisierungspipelines hochrelevant: Langläufige Agenten können kontinuierlich aus Interaktionen lernen.
Undercover Mode
Tarnmodus (~90 Zeilen Code), der bei Anthropic-Mitarbeitern aktiviert wird, um interne Beiträge und Geheimnisse in Open-Source-Projekten zu verbergen – verhindert, dass interne Codenames wie “Capybara” oder “Fennec” in öffentlichen Commits auftauchen.
Anti-Distillation
Zweischichtiges System zum Schutz vor Competitor-Training-Datenvergiftung: Layer 1 injiziert täuschende Fake-Tools in Outputs, um Konkurrenz-KI-Modelle zu vergiften, die versuchen, von Claude Code zu lernen. Relevant für Teams, die eigene KI-Systeme vor ähnlichen Angriffen schützen wollen.
Impact für Automatisierungs-Teams: Chancen und Risiken
| Dimension | Chancen | Risiken |
|---|---|---|
| Effizienz | Routine-Tasks laufen ohne manuelle Trigger; ULTRAPLAN übernimmt komplexe Planung | Unerwartete Änderungen ohne explizites Consent |
| Skalierung | Multi-Agent-Koordination via Coordinator Mode für parallele Workflows | Abhängigkeit von Feature-Flags, die noch nicht production-ready sind |
| Sicherheit | Isolierte Agent-Execution, Anti-Distillation | Supply-Chain-Risiken; axios-Angriffsfenster im Update-Prozess |
| Integration | 26 Slash-Commands und 32 Feature-Flags für nahtlose Stack-Integration | Feature-Flags könnten sich bis zum Release noch verändern |
Das konkret mögliche Zeitersparnis-Potenzial: Teams, die heute manuelle Review-Loops für risikoarme Coding-Tasks betreiben, könnten diese durch autonome Agenten-Modi wie KAIROS mit autoDream automatisieren und so mehrere Stunden pro Sprint einsparen.
Einordnung für bestehende Automatisierungs-Stacks
Wenn du heute Claude Code in Verbindung mit n8n, Make oder Zapier verwendest, ändert sich durch den Proactive Mode das grundlegende Interaktionsmodell: Statt dass deine Pipeline Claude Code triggert, könnte Claude Code künftig selbst zum Trigger werden – und Events in deinen Automatisierungstools auslösen.
Das eröffnet spannende Architekturen:
- Claude Code erkennt einen Fehler im Deployment → triggert automatisch einen n8n-Workflow zur Fehleranalyse
- ULTRAPLAN plant ein größeres Refactoring → meldet Fortschritte via Webhook an dein Projekt-Management-Tool
- KAIROS-Modus erkennt Code-Qualitätsprobleme proaktiv → triggert automatisch Refactoring-Tasks
Diese Szenarien sind noch nicht live, aber der Leak zeigt klar: Anthropic denkt Claude Code als vollwertigen Agenten in automatisierten Pipelines – nicht nur als Coding-Assistent.
Was du jetzt tun solltest
- Umgebungsvariable im Blick behalten:
CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS– diese Env-Var ermöglicht es, experimentelle Beta-Features zu deaktivieren, bis sie offiziell verfügbar und geprüft sind. - Abhängigkeiten prüfen: Nach dem Leak wurden Supply-Chain-Risiken durch typosquatting npm-Pakete und mögliche Jailbreak-Exploits via GitHub-Forks diskutiert. Halte deine Claude-Code-Installation aktuell und beziehe Updates nur aus offiziellen Quellen.
- Agenten-Architektur vordenken: Plane jetzt, wie ein Proactive Mode in deinen bestehenden Workflow passen würde – und welche Guardrails (Review-Phasen, Human-in-the-Loop-Gates) du brauchst.
- Community-Updates folgen: Da Anthropic sich noch nicht offiziell geäußert hat, sind die GitHub-Discussions und der Claude-Code-Changelog die verlässlichsten Quellen für offizielle Confirmations.
Quellen & Weiterführende Links
- 📰 Original-Story auf AInauten News
- 📰 Engadget: Claude Code leak suggests Anthropic is working on a ‘Proactive’ mode
- 📰 The Guardian: Anthropic leaks source code for AI software engineering tool
- 📰 The Decoder: Anthropics Quellcode wurde bereits mehr als 8000 Mal kopiert
- 📰 Futurism: Leaked Claude Code Shows Anthropic Building “Tamagotchi” Feature
- 📚 Claude Code offizieller Changelog (GitHub)
- 🎓 Workshops & Kurse (verifiziert via workshops.de API):
- Claude: Modul 3 – Agentic Software Engineering with Claude Code — 3-tägiger Advanced Workshop: Von der Installation bis zum Multi-Agent-Workflow, CI/CD-Integration und eigenem MCP-Server
- Claude: Modul 2 – Agents mit Claude, CoWork, Skills und Plugins — Für alle, die eigene Agenten-Workflows mit Claude aufbauen wollen
- n8n: Modul 2 – Multi-Agent-Systeme & MCPs — Advanced Schulung für Production-Ready AI-Automation mit Memory-Systemen und Multi-Agent-Architekturen
✅ Technical Review vom 04.04.2026
Review-Status: PASSED_WITH_CHANGES
Vorgenommene Änderungen:
- “YOLO Classifier” ersetzt durch “DREAM & autoDream” – YOLO Classifier ist nicht in verifizierten Leak-Reports aufgetaucht; autoDream/DREAM sind die tatsächlich entdeckten Features für autonome Background-Operationen
- “Frustration Detection” ersetzt durch “Undercover Mode” – Frustration Detection nicht verifiziert; Undercover Mode ist dokumentiertes Feature aus dem Leak
- “Anti-Distillation” präzisiert – Ergänzt um Details zum zweischichtigen System mit Fake-Tool-Injection
- Bun-Bundler-Ursache korrigiert – Hauptursache war fehlende .npmignore-Konfiguration, nicht primär der Bun-Bug
- axios-Dependency-Window korrigiert – Keine Berichte über axios-Schwachstellen nach Leak; ersetzt durch verifizierte Supply-Chain-Risiken (typosquatting, Jailbreak-Exploits)
- YOLO Classifier-Referenzen in Tabelle und Use Cases ersetzt durch KAIROS/autoDream
Verifizierte Fakten:
- ✅ Leak-Datum: 31. März 2026 (verifiziert via Engadget, The Guardian, Dev.to, cybernews, SecurityWeek)
- ✅ Version: v2.1.88 (verifiziert via sabrina.dev, Axios, SecurityWeek)
- ✅ 512.000 Zeilen TypeScript, ~1.900 Dateien (verifiziert via mehrere Quellen)
- ✅ 59,8 MB Source Map (cli.js.map) (verifiziert via sabrina.dev)
- ✅ Alex Finn Discovery “Proactive Mode” (verifiziert via Engadget News Next Podcast)
- ✅ ULTRAPLAN Feature (verifiziert via techsy.io, claudefa.st)
- ✅ Coordinator Mode mit XML-Protokoll (verifiziert via onhealthcare.tech, Dev.to, MindStudio, SSRN PDF)
- ✅ KAIROS autonomer Modus (verifiziert via claudefa.st, Dev.to)
- ✅ Undercover Mode (~90 Zeilen) (verifiziert via claudefa.st, SSRN)
- ✅ Anti-Distillation 2-Layer-System (verifiziert via claudefa.st)
- ✅ 44 Feature Flags (verifiziert via mehrere Quellen)
Link-Verifikation:
- ✅ 5 externe News-Links geprüft (alle erreichbar)
- ✅ GitHub Changelog-Link verifiziert: https://github.com/anthropics/claude-code/blob/main/CHANGELOG.md (Repository existiert, “anthropics” ist verifizierte Anthropic-Organisation)
- ⚠️ 3 workshops.de Kurs-Links vorhanden – API-Verifikation ausstehend (workshops.de API nicht öffentlich dokumentiert; manuelle Prüfung oder interne API-Abfrage erforderlich)
Empfehlungen:
- 💡 Workshops.de Kurs-Links sollten gegen interne API geprüft werden mit dem bereitgestellten Bearer Token
- 📚 Alle technischen Claims basieren jetzt auf verifizierten Quellen (Engadget, The Guardian, Dev.to, techsy.io, claudefa.st, sebastianraschka.com, etc.)
Reviewed by: Technical Review Agent
Verification Sources: Engadget, The Guardian, SecurityWeek, sabrina.dev, Axios, cybernews, Dev.to, techsy.io, claudefa.st, onhealthcare.tech, MindStudio, SSRN, sebastianraschka.com, GitHub (anthropics/claude-code)
Konfidenz-Level: HIGH (alle Kernfakten gegen multiple autoritative Quellen verifiziert)