Anthropic hat versehentlich den Quellcode von Claude geleakt — Das Internet bewahrt ihn für immer auf

Kurzfassung

• Anthropic hat versehentlich 512.000 Zeilen von Claude Code über einen Source-Map-Leak offengelegt.
• DMCA-Löschanträge scheiterten, weil Spiegel und Clean-Room-Neufassungen sich sofort verbreiteten.
• Dezentralisierte Repos machten den Leak effektiv dauerhaft und unkontrollierbar.

Anthropic wollte Claude Code nicht Open-Source stellen. Aber am Dienstag hat die Firma effektiv genau das getan—und nicht einmal eine Armee von Anwälten kann die Zahnpasta zurück in die Tube bringen. Es begann mit einer einzelnen Datei. Claude Code Version 2.1.88, in den frühen Morgenstunden des Dienstags in das npm-Registry gepusht, wurde mit einer 59,8MB JavaScript-Source-Map ausgeliefert—eine Debug-Datei, die den ursprünglichen Code aus seiner komprimierten Form rekonstruieren kann. Diese Dateien werden automatisch erzeugt und sollen privat bleiben. Aber eine einzige Zeile in den Ignore-Einstellungen ließ sie mit dem Release nach draußen geraten. Praktikant und Forscher Chaofan Shou, der offenbar zu den ersten gehörte, die die Datei entdeckten, postete um etwa 4:23 Uhr ET einen Download-Link auf X und sah zu, wie 16 Millionen Menschen in den Thread strömten. Anthropic zog das npm-Paket zwar zurück, aber das Internet hatte die 512.000 Zeilen Code schon über 1.900 verschiedene Dateien hinweg archiviert, die einen großen Teil des Projekts ausmachen.

Der Quellcode von Claude Code wurde über eine Map-Datei in ihrem npm-Registry geleakt!

Code: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8

— Chaofan Shou (@Fried_rice) March 31, 2026

„Heute früher enthielt ein Claude-Code-Release internen Quellcode. Es waren keine sensiblen Kundendaten oder Zugangsdaten beteiligt oder wurden offengelegt“, sagte ein Sprecher von Anthropic Decrypt. „Das war ein Problem beim Packaging des Releases, verursacht durch menschliches Versagen, keine Sicherheitsverletzung. Wir setzen Maßnahmen um, um zu verhindern, dass das noch einmal passiert.“ Der Leak legte die vollständige interne Architektur von dem offen, was man wohl als eines der—wenn nicht sogar das—ausgefeilteste KI-Coding-Agent am Markt bezeichnen kann: LLM-API-Orchestrierung, Multi-Agent-Koordination, Berechtigungslogik, OAuth-Flows und 44 versteckte Feature-Flags, die nicht veröffentlichte Funktionalität abdecken. Zu den Funden gehörten: Kairos, ein immer laufender Hintergrund-Daemon, der Gedächtnisprotokolle speichert und nachts „Dreaming“-Vorgänge durchführt, um Wissen zu konsolidieren. Und Buddy, ein Tamagotchi-artiges KI-Haustier mit 18 Arten, Seltenheitsstufen und Statuswerten einschließlich Debugging, Geduld, Chaos und Weisheit. Es gibt offenbar eine Teaser-Rollout für dieses „Buddy“, die für den 1.–7. April geplant ist. Dann gibt es noch die Einzelheit, über die alle auf Hacker News lachten. Laut Leaker Kuberwastaken war in dem Code „Undercover Mode“ versteckt—ein ganzes Subsystem, das darauf ausgelegt ist, zu verhindern, dass die KI aus Versehen die internen Codenames von Anthropic und Projektnamen geleakt, wenn sie zu Open-Source-Repositories beiträgt. Der System-Prompt, der in Claudes Kontext eingefügt wurde, sagt wörtlich: „Decke nicht auffliegen.“

Offenbar begann Anthropic, DMCA-Löschanträge gegen GitHub-Spiegel herauszugeben. Genau da wurde es interessant. Ein koreanischer Entwickler namens Sigrid Jin—der im Wall Street Journal diesen Monat bereits vorgestellt wurde, nachdem er 25 Milliarden Claude-Code-Tokens konsumiert hatte—wachte um 4 Uhr morgens von den Nachrichten auf. Er setzte sich hin, portierte die Kernarchitektur von Grund auf mit einem KI-Orchestrierungs-Tool namens oh-my-codex von zu Python und pushtete claw-code noch vor Sonnenaufgang. Das Repo erreichte 30.000 GitHub-Stars schneller als jedes andere Repo in der Geschichte. Es ist im Grunde eine Übersetzung des gesamten Codes von der ursprünglichen Sprache nach Python, also ist es technisch nicht dasselbe, oder? Das überlassen wir den Anwälten und Technik-Philosophen. Die rechtliche Logik hier ist scharf. Gergely Orosz, Gründer des The Pragmatic Engineer-Newsletters, argumentierte in einem Post auf X: „Das ist entweder brillant oder beängstigend: Anthropic hat versehentlich den TS-Quellcode von Claude Code geleakt. Repos, die den Quellcode teilen, werden mit DMCA entfernt. ABER dieses Repo hat den Code neu mit Python geschrieben und verletzt damit kein Urheberrecht & kann nicht entfernt werden!“ Das ist eine Clean-Room-Neufassung. Ein neues kreatives Werk. DMCA-sicher per Design.

Das ist entweder brillant oder beängstigend:

Anthropic hat versehentlich den TS-Quellcode von Claude Code geleakt (der Closed Source ist). Repos, die den Quellcode teilen, werden mit DMCA entfernt.

ABER dieses Repo hat den Code mit Python neu geschrieben und verletzt damit kein Urheberrecht & kann nicht entfernt werden! pic.twitter.com/uSrCDgGCAZ

— Gergely Orosz (@GergelyOrosz) March 31, 2026

Der Urheberrechtsaspekt wird noch schwieriger, wenn man den rechtlichen Status von KI-generierten Werken betrachtet und wie unklar die Kriterien werden, wenn Anwälte entscheiden müssen, ob es ein automatisches Urheberrecht trägt oder nicht. Der DC Circuit bestätigte diese Position im März 2025, und der Supreme Court lehnte es ab, die Anfechtung anzuhören.

Wenn bedeutende Teile von Claude Code von Claude selbst geschrieben wurden—was der eigene CEO von Anthropic angedeutet hat—dann wird die rechtliche Grundlage für jede Urheberrechtsbehauptung von Tag zu Tag noch unklarer. Dezentralisierung bringt eine weitere Ebene an Dauerhaftigkeit. Das Konto @gitlawb spiegelte den ursprünglichen Code auf Gitlawb, eine dezentrale Git-Plattform, mit einer einfachen Botschaft: „Wird niemals entfernt werden.“ Der Originalcode bleibt dort zugänglich. Ein separates Repository hat alle internen System-Prompts von Claude zusammengestellt—etwas, das Prompt-Engineer und Jailbreakers zu schätzen wissen, weil es mehr Einblicke gibt, in welcher Weise Anthropic seine Modelle konditioniert.

https://t.co/yCSEKer2tn

— GitLawb (@gitlawb) March 31, 2026

Das ist wichtig über das Drama hinaus. DMCA-Löschanträge wirken gegen zentralisierte Plattformen. GitHub kommt nach, weil es muss. Dezentrale Infrastruktur—die Gitlawb, Torrents und sogar die Kryptowährung selbst antreibt—hat nicht denselben einzelnen Punkt des Versagens. Wenn eine Firma versucht, etwas zurück ins Netz zu holen, ist die einzige Frage, wie viele Spiegel existieren und auf welcher Art von Infrastruktur. Die Antwort hier, innerhalb weniger Stunden, lautete: genug.