![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud")
Die Tage ist KI-Entwickler Anthropic ja ein Fehler unterlaufen, worauf der Quellcode des CLI-Tools Claude Code \u00f6ffentlich wurde. Nun hat das Unternehmen Tausende GitHub-Seiten, die Claude Code \"erw\u00e4hnten\" sperren lassen. Das Leak erm\u00f6glicht Fachleuten einige Einblicke in den Code, und ein erster Klon von Claude Code ist auch verf\u00fcgbar.<\/p>\n
<\/p>\n
Claude Code ist ein Kommandozeilenwerkzeug, mit dem Entwickler \u00fcber nat\u00fcrliche Sprache auf Anthropics KI-Modelle zugreifen und typische Aufgaben wie das Bearbeiten von Dateien oder das Ausf\u00fchren von Befehlen erledigen k\u00f6nnen.<\/p>\n Grund f\u00fcr diesen Vorgang war ein menschlicher Fehler, weil die Anthropic-Entwicklung ihre Build-Prozesse nicht im Griff hat. Was war passiert: Anthropic hat Code in das npm-Registry transferiert. Die npm-Registr<\/a>y erm\u00f6glicht die\u00a0Ver\u00f6ffentlichung von Paketen auf GitHub Packages. \u00dcber die npm-Registry l\u00e4sst sich die Nutzung von auf GitHub Packages gespeicherten Paketen als Abh\u00e4ngigkeiten in einem NPM-Projekt konfigurieren.<\/p>\n \u00dcber ein ein Zugriffstoken k\u00f6nnen private, interne und \u00f6ffentliche Pakete ver\u00f6ffentlicht, installiert und gel\u00f6scht werden. Was bekannt ist: In der npm-Registry wurde irrt\u00fcmlich eine Source-Map-Datei des Claude Code-Projekts ver\u00f6ffentlicht und als \u00f6ffentlich zugreifbar registriert.<\/p>\n Eine Source Map liegt im JSON-Dateiformat vor, und dient dazu, den minimierten oder transformierten Code, den der Browser empf\u00e4ngt, mit seiner urspr\u00fcnglichen, unver\u00e4nderten Form zu verkn\u00fcpfen. Dies erm\u00f6glicht es, den urspr\u00fcnglichen Code beim Debuggen zu rekonstruieren und zu verwenden. In diesem Artikel<\/a> beschreibt heise diesen Mechanismus.<\/p>\n Am Ende des Tages er\u00f6ffnete die irrt\u00fcmlich ver\u00f6ffentlichte Source-Map Dritten, den Quellcode des CLI Tools Claude Code zu ziehen. heise schreibt, dass der\u00a0gespiegelte Code laut Repository rund 1900 Dateien mit \u00fcber 512.000 Zeilen Quellcode umfasst.<\/p>\n Die gesamte Anatomie des Vorfalls ist in diesem Post<\/a> auf X beschrieben.\u00a0Binnen kurzer Zeit verbreiteten sich Code-Schnipsel und Kopien des Quellcode von Claude Code auf Github. Inzwischen gibt es bereits einen Rust \"Port\" namens Claw Code<\/a> auf GitHub.<\/p>\n Mal kurz auf der Zunge zergehen lassen: Da wollen uns Leute erz\u00e4hlen, dass AI das Beste seit Erfindung von geschnitten Brot sei und die Arbeitswelt umkrempeln werde. Leichte Hinweise von Sicherheitsexperten, dass diese Entwicklung Firmen und Nutzer um Haus und Hof bringen wird, weil extreme Sicherheitsl\u00f6cher gerissen werden und keine Kontrolle mehr m\u00f6glich, was ein Unternehmen verl\u00e4sst, l\u00e4cheln die Protagonisten weg. \"Diese Bremser, die werden auf dem Schrottplatz beim alten Eisen landen\", ist die Botschaft.<\/p>\n Wenn es gut l\u00e4uft, hei\u00dft es noch \"wir k\u00f6nnen mit Data Loss Prevention\"-Systemen diesen Datenabfluss verhindern. Stimmt zwar nicht, wie ich im Februar 2026 im Beitrag\u00a0Bug in Copilot Chat legt vertrauliche E-Mails und Daten in Antworten offen<\/a> aufgezeigt habe. Und nun scheitert Anthropic an einem simplen GitHub-Mechanismus (so ganz ohne KI), und erm\u00f6glicht den Quellcode abzugreifen. Wo sind wir eigentlich falsch abgebogen, bzw. was habe ich nicht verstanden?<\/p>\n Mein Blog-Beitrag\u00a0Anthropic macht Claude Code Open Source und nennt es OpenClaude<\/a>, ver\u00f6ffentlicht am 1. April, war allerdings ein schlechter April-Scherz. Die bei Anthrophic k\u00f6nnen da keinesfalls dr\u00fcber lachen – haben die doch ungewollt einen Blick aufs Tafelsilber erm\u00f6glicht.<\/p>\n Stunden nach dem Leak versuchte Anthropic dann den Geist, der aus der Flasche war, wieder einzufangen. Klappt nat\u00fcrlich nicht und die Leute sind kr\u00e4ftig \u00fcber das Ziel hinaus geschossen. Das Wallstreet Journal (WSJ) schrieb<\/a> zum 1. April 2026, dass\u00a0Anthropic versucht, die Verbreitung des Quellcodes von Claude Code einzud\u00e4mmen. Das Unternehmen hat Tausende DMCA-Meldungen nach dem Digital Millennium Copyright Act<\/a> an GitHub verschickt.<\/p>\n Eine DMCA-Meldung verpflichtet US-Unternehmen wie GitHub, die Inhalte wegen behaupteter Urheberrechtsverletzungen offline zu nehmen (siehe obigen Screenshot dieser Seite<\/a>). Da erfolgt keine Pr\u00fcfung, ob das berechtigt ist. Betroffene haben lediglich die M\u00f6glichkeit, gegen diesen DMCA-Meldung Einspruch zu erheben und einen Disput zu er\u00f6ffnen. Ad-Hoc bist Du aber als Betroffener \"digital tot\", wie ich mal bei einem Post \u00fcber ein Adobe-Problem auf Twitter feststellen musste. Die Tweets wurden gel\u00f6scht, einem Twitter-Nutzer, der das geteilt hatte, wurde das Konto auf Twitter gesperrt. Das Einspruchsformular gegen eine DMCA-Meldung ist so was von crude, was Du alles nachweisen musst, dass Du das alles vergessen kannst.<\/p>\n Der Versuch, den Geist, der aus der Flasche war, wieder einzufangen, ist dann nat\u00fcrlich f\u00fcr Anthropic nach hinten losgegangen, wie obiger Tweet zusammen fasst. Bis\u00a0 zum 1. April 2026 hatten Vertreter von Anthropic mittels einer Urheberrechtsbeschwerde (DMCA) die Entfernung von mehr als 8.100 Kopien und Bearbeitungen des angeblichen Claude-Code-Leaks auf GitHub sperren lassen.<\/p>\n Dann passierte folgendes: GitHub l\u00f6schte das gesamte Netzwerk innerhalb weniger Stunden. Entwickler erhielten Benachrichtigungen wegen Forks von Anthropics eigenem, \u00f6ffentlichen Repo. Der Fork eines Entwicklers enthielt \u00fcberhaupt keinen durchgesickerten Code.<\/p>\n Boris Cherny, Leiter von Claude Code, \u00e4u\u00dferte sich pers\u00f6nlich auf X: \"Das war nicht beabsichtigt. Sollte jetzt besser sein.\" Sp\u00e4ter schr\u00e4nkte das Unternehmen laut WSJ seine Beschwerde auf nur 96 Kopien und Bearbeitungen ein und erkl\u00e4rte, seine urspr\u00fcngliche Forderung habe mehr GitHub-Konten erreicht als beabsichtigt.<\/p>\n Der Reputationsschaden durch das Leak und die obigen DMCA-Ma\u00dfnahmen ist schon gewaltig. Aber der Geist ist aus der Flasche und Leute schauen auf den Code. Zudem gibt es noch\u00a0Sigrid Jin \u2013 die um 4 Uhr morgens wach wurde, den Vorfall mitbekam und das Ganze flugs noch vor Sonnenaufgang komplett in Python neu schrieb (ich hatte es sogar kurz auf X mitbekommen). Ein DMCA-Antrag kann gegen einer Neuimplementierung in einem Clean-Room nichts ausrichten.<\/p>\n In diesem Tweet<\/a> erf\u00e4hrt man noch, dass Anthropic im Februar 2025 schon mal ein solcher Fehler unterlaufen sei.<\/p>\n February 2025 – exactly one year ago – the exact same leak, same file, same mistake. Anthropic deleted old versions from npm, removed the map, pushed a new release. Everyone moved on. And then version v2.1.88 shipped the file again.<\/p><\/blockquote>\n Und vor einer Woche, pr\u00e4zise am\u00a026. M\u00e4rz 2026 stie\u00dfen die Sicherheitsforscher Roy Paz von LayerX Security und Alexandre Pauwels von der Universit\u00e4t Cambridge auf eine Fehlkonfiguration des Anthropic-CMS. Dadurch legte die Website von Anthropic rund 3.000 interne Dateien offen. Entw\u00fcrfe f\u00fcr Blogbeitr\u00e4ge, PDFs, interne Dokumente, Pr\u00e4sentationen, alles lag offen in einem ungesicherten, durchsuchbaren Datenspeicher.<\/p>\n Brisant waren zwei Entw\u00fcrfe f\u00fcr einen Blog-Beitrag, die weitgehend identisch waren und sich mit einem Modell von Anthropic befassten. In einem Beitrag wurde das Modell Mythos <\/em>genannt, im anderen Beitrag Capybara<\/em>. Anthropic schwankte zwischen zwei Namen f\u00fcr dasselbe geheime Projekt. Das Unternehmen best\u00e4tigte: Das Training ist abgeschlossen, das Modell wird bereits mit Early-Access-Kunden getestet.<\/p>\n Die Brisanz steckt in den geleakten Beitragsentw\u00fcrfen, wo Anthropic diese noch geheime Modell wie folgt beschreibt: Es \"birgt beispiellose Risiken f\u00fcr die Cybersicherheit\", ist \"anderen KI-Modellen in Bezug auf Cyberf\u00e4higkeiten weit voraus\" und \"k\u00fcndigt eine bevorstehende Welle von Modellen an, die Schwachstellen auf eine Weise ausnutzen k\u00f6nnen, die die Bem\u00fchungen der Verteidiger bei weitem \u00fcbertrifft\".<\/p>\n Anthropic hat ein Modell entwickelt, das es als die gef\u00e4hrlichste KI f\u00fcr die Cybersicherheit bezeichnet, die je geschaffen wurde. Und verliert gleichzeitig die Kontrolle \u00fcber die Bekanntgabe, und zwar aufgrund genau der Art von Infrastrukturfehlkonfiguration, auf deren Aufdeckung das eigene Modell eigentlich ausgelegt ist. Das Ganze l\u00e4sst sich nur noch als \"schlicht kaputt\" bezeichnen. Der sehr lange Tweet<\/a> ist \u00e4u\u00dferst lesenswert, da er einen Blick hinter die Kulissen erm\u00f6glicht und zeigt, auf welcher \"schiefen Ebene\" die Entwicklung gerade in diesem Bereich abrutscht.<\/p>\n In Europa gibt es den AI Act, der zum Ziel hat, gef\u00e4hrliche KI-Entwicklungen im Einsatz zu verhindern. Der Artikel What The Claude Code Leak Means for Engineering Teams in Regulated Industries<\/a> befasst sich mit den Implikationen des Einsatzes von in regulierten Industrien durch Entwickler. Kann man Modelle, die sich so verhalten bzw. weiter entwickeln, nach dem AI Act \u00fcberhaupt noch einsetzen?<\/p>\n Im Artikel\u00a0Claude Code is scanning your messages for curse words Among the wildest revelations in Claude Code's recent leak is that the AI coding tool is scouring user inputs for signs of frustration.<\/a> beschreibt PC-World, dass Claude Code Benutzerinteraktionen nach Schimpfw\u00f6rtern durchsucht. Das Modell versucht offenbar Anzeichen von Frustration in Benutzereingaben zu erkennen, um darauf reagieren zu k\u00f6nnen.<\/p>\n The Register geht im Artikel\u00a0Claude Code source leak reveals how much info Anthropic can hoover up about you and your system<\/a> darauf ein, dass der Claude Code-Agent weitaus mehr Kontrolle \u00fcber die Computer der Nutzer aus\u00fcben kann, als selbst der aufmerksamste Leser von Vertragsbedingungen vermuten w\u00fcrde. Das KI-Modell speichert zahlreiche Daten und ist sogar bereit, seine Urheberschaft vor Open-Source-Projekten zu verbergen, die KI ablehnen. Ein weiterer Infosplitter \u00fcber Interna findet sich hier<\/a>. F\u00fcr Anthropic der absolute GAU, f\u00fcr den Rest ein Weckruf?<\/p>\n","protected":false},"excerpt":{"rendered":" Die Tage ist KI-Entwickler Anthropic ja ein Fehler unterlaufen, worauf der Quellcode des CLI-Tools Claude Code \u00f6ffentlich wurde. Nun hat das Unternehmen Tausende GitHub-Seiten, die Claude Code \"erw\u00e4hnten\" sperren lassen. Das Leak erm\u00f6glicht Fachleuten einige Einblicke in den Code, und … Weiterlesen Kurzer R\u00fcckblick, um was es in der Zusammenfassung hier eigentlich geht. Ich hatte zum 1. April 2026 im Beitrag Absturz oder Kernschmelze: Cisco Source Code gestohlen; Anthropic Claude Code geleakt; ChatGPT-Schwachstelle etc.<\/a> ja berichtet, dass bei Cisco der Quellcode durch Hacker gestohlen wurde. Bei Anthropic wurde dagegen der Quellcode des CLI-Tools Claude Code irrt\u00fcmlich ver\u00f6ffentlicht.<\/p>\n
Was ist Claude Code?<\/h3>\n
Warum wurde Claude Code geleakt?<\/h3>\n
Der Geist ist aus der Flasche<\/h3>\n
Anthropic fegt per DMCA Tausende GitHub-Seiten aus dem Netz<\/h2>\n
![\"GitHub](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/GitHub-DMCA.jpg\")
<\/a><\/p>\n![\"Anthropic](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/Anthropic-DMCA.jpg\")
<\/a><\/p>\nDie Implikationen des Vorfalls<\/h2>\n