Das Drama um Claude Code offenbarte ein doppeltes Sicherheitsproblem: Zunächst der versehentliche Leak, dann eine echte Sicherheitslücke im Kern des Systems.
Die Quelle-Code-Affäre begann am 31. März 2026, als Anthropic eine JavaScript-Sourcemap für Claude Code v2.1.88 auf npm hochlud. Der Forscher Chaofan Shou entdeckte die Datei und postete sie auf X. Daraufhin machten sich Sicherheitsforscher wie die 25-jährige Studentin Sigrid Jin von der University of British Columbia daran, das komplette Tool zu rekonstruieren – in wenigen Stunden gelang ihnen mit Hilfe von KI-Tools und einer Laptop eine vollständige Nachbildung.
Zwar bewertet Melissa Bischoping von Tanium den Leak als “nicht katastrophal”: Der Quelltext offenbare das Design und die Funktionsweise, nicht aber die eigentlichen KI-Modellgewichte, Trainingsdaten oder Kundeninformationen. Dennoch entsteht ein echtes Risiko durch mögliche Fake-Clones, die legitim aussehen, aber Malware oder Datendiebstahl beinhalten.
Die wirklich kritische Gefahr kommt jedoch von anderer Seite. Das Forschungsteam Adversa AI Red Team identifizierte eine schwerwiegende Schwachstelle im Berechtigungssystem von Claude Code – jenem Mechanismus, der AI-Agenten kontrollieren soll.
Das System funktioniert über drei Regeltypen: Allow-Regeln (automatisch genehmigt), Deny-Regeln (blockiert) und Ask-Regeln (Nutzer wird gefragt). Adversa entdeckte jedoch einen kritischen Bypassmechanismus: Das Problem liegt in einer Performance-Optimierung. Um Einfrierungen bei komplexen Befehlen zu vermeiden, setzte Anthropic eine Obergrenze von 50 Unterbefehlen. Alles darüber hinaus wird automatisch zur “Ask”-Regel – ohne Sicherheitsprüfung.
Ein Angreifer kann dies missbrauchen: In einer bösartigen CLAUDE.md-Datei eines Git-Repositoriums können manipulierte Befehle versteckt werden, die wie legitime Build-Prozesse aussehen, aber mehr als 50 Unterbefehle generieren. Sobald dieser Schwellwert überschritten wird, werden alle Deny-Rules ignoriert – ohne dass der Entwickler es merkt.
Die Auswirkungen sind erheblich: SSH-Private-Keys, AWS-Credentials, GitHub-Tokens oder Umgebungsvariablen könnten gestohlen, Supply-Chain-Attacken ermöglicht und CI/CD-Pipelines kompromittiert werden. Das Forschungsteam testete die Lücke erfolgreich und zeigte, dass selbst Anthropics LLM-Sicherheitsebene bei spezifischen Injektionen überwunden werden könnte.
Für deutsche Entwickler bedeutet dies: Vorsicht bei der Nutzung von Claude Code in produktiven Umgebungen. Anthropic muss die Berechtigungsprüfung grundlegend überarbeiten und nicht auf die KI-Ebene verlassen.