Manchmal passieren die interessantesten Dinge aus Versehen. Am 31. März hat Anthropic mit Version 2.1.88 von Claude Code versehentlich ein 59,8 MB großes Source-Map-File auf npm veröffentlicht. Darin: rund 1.900 TypeScript-Dateien mit über 512.000 Zeilen Code. Quasi die komplette Architektur ihres erfolgreichsten Produkts — öffentlich zugänglich.
Was ist passiert?
Ein Entwickler bei Solayer Labs entdeckte das File um 4:23 Uhr ET und postete den Fund auf X. Innerhalb weniger Stunden war der Code auf GitHub gespiegelt und wurde von tausenden Entwicklern analysiert. Anthropic reagierte relativ gelassen: ‘Ein Release-Packaging-Problem durch menschlichen Fehler, kein Sicherheitsvorfall.’ Keine Kundendaten oder Credentials seien betroffen gewesen.
Für ein Unternehmen mit einem geschätzten Jahresumsatz von 19 Milliarden Dollar und einem Claude-Code-ARR von 2,5 Milliarden ist das trotzdem ein ordentlicher Schlag. Vor allem, weil es bereits der zweite Leak innerhalb einer Woche war — nach dem versehentlich veröffentlichten Mythos-Blogpost.
Was steckt im Code?
Das wirklich Spannende sind nicht die Umstände des Leaks, sondern was darin gefunden wurde.
KAIROS — der autonome Daemon: Der Code enthält ein Feature-Flag namens KAIROS (nach dem griechischen Konzept des ‘richtigen Zeitpunkts’), das über 150 Mal referenziert wird. KAIROS macht Claude Code zu einem dauerhaft laufenden Hintergrund-Agenten. Besonders interessant: eine Funktion namens autoDream, die während der Leerlaufzeit des Nutzers ‘Memory Consolidation’ betreibt — widersprüchliche Beobachtungen bereinigt und vage Erkenntnisse in gesicherte Fakten konvertiert.
44 Feature Flags: Im Code stecken 44 Feature Flags für fertig gebaute, aber noch nicht freigeschaltete Features. Sie kompilieren zu false im externen Build.
Drei-Schichten-Gedächtnis: Claude Code nutzt ein ausgeklügeltes Memory-System mit einem MEMORY.md-Index (leichtgewichtige Pointer), on-demand geladenen Topic-Files und Transkripten, die nur per grep durchsucht werden. Der Agent behandelt sein eigenes Gedächtnis dabei als ‘Hinweis’ und verifiziert immer gegen die tatsächliche Codebasis.
Interne Codenames: Capybara ist der interne Name für eine Claude-4.6-Variante, Fennec steht für Opus 4.6, und Numbat befindet sich noch im Testing. Intern arbeitet Anthropic bereits an Capybara v8 — aber mit einer False-Claims-Rate von 29-30%, die sogar höher liegt als die 16,7% in v4.
Undercover Mode: Anthropic nutzt Claude Code offenbar für verdeckte Beiträge in öffentlichen Open-Source-Repositories. Im System-Prompt steht wortwörtlich: ‘You are operating UNDERCOVER… Your commit messages MUST NOT contain ANY Anthropic-internal information.’
Buddy — das Terminal-Tamagotchi: Und dann ist da noch ‘Buddy’, ein verstecktes Tamagotchi-System mit Stats wie CHAOS und SNARK. Anthropic baut offenbar Persönlichkeit direkt ins Produkt ein.
Was bedeutet das?
Für Nutzer zunächst: keine Panik. Eure Daten sind nicht betroffen. Aber wenn ihr am 31. März zwischen 00:21 und 03:29 UTC Claude Code via npm installiert oder aktualisiert habt, solltet ihr eure Lockfiles auf kompromittierte axios-Versionen (1.14.1 oder 0.30.4) prüfen — parallel gab es einen separaten Supply-Chain-Angriff auf das axios-Paket.
Für die Branche ist der Leak ein unfreiwilliges Open-Sourcing der besten Practices für KI-Agenten. Konkurrenten können jetzt studieren, wie Anthropic Kontext-Entropie löst, Memory-Systeme aufbaut und Agenten orchestriert. Das ‘Blueprint’ ist draußen.
Und Anthropic? Hat damit einen weiteren Grund, ihren März 2026 möglichst schnell zu vergessen.
Quellen: