Sicherheitsforscherin Chaofan Shou machte die Schwachstelle zunächst öffentlich und löste damit eine breite Diskussion aus – ihr X-Post erreichte über 28,8 Millionen Aufrufe. Der Fehler war tückischer als zunächst angenommen: Die betroffene Version 2.1.88 enthielt eine Source-Map-Datei, die direkten Zugriff auf den Quellcode ermöglichte. Die Version ist längst aus dem npm-Repository gelöscht, doch das Codebase bleibt öffentlich zugänglich.
Die technischen Details des Leaks sind bedenklich. Sicherheitsexperten haben bereits mehrere kritische Komponenten analysiert und dokumentiert: ein Selbstheilungs-Speichersystem zur Überwindung von Kontextfenster-Einschränkungen, ein Tools-System für Dateizugriff und Bash-Ausführung sowie eine Multi-Agent-Orchestrierung, die es Claude ermöglicht, “Sub-Agenten” zu spawnen. Besonders interessant ist die “KAIROS”-Funktion, die Claude Code als Hintergrund-Agent operieren lässt und autonome Aufgaben ausführt – sogar mit Push-Benachrichtigungen.
Noch fragwürdiger ist das entdeckte “Undercover Mode”-Feature, das stealth-Beiträge zu Open-Source-Repositories ermöglicht. System-Prompts instruieren das System explizit, seine Identität nicht preiszugeben und keine internen Informationen in Commit-Nachrichten zu enthüllen.
Die Sicherheitsimplikationen sind erheblich. Das Sicherheitsunternehmen Straiker warnt, dass Angreifer nun gezielt Schwachstellen im vierstufigen Context-Management-Pipeline ausnutzen können – ohne Brute-Force-Methoden wie Jailbreaks. Sie können präzise Payloads entwickeln, die durch Datenkompression überleben und sich über lange Sitzungen hinweg als Backdoor erhalten.
Besonders alarmierend ist eine gleichzeitige Supply-Chain-Kompromittierung: Nutzer, die Claude Code am 31. März 2026 zwischen 00:21 und 03:29 UTC via npm installierten oder aktualisierten, könnten eine trojanisierte Version eines HTTP-Clients erhalten haben, die einen Cross-Platform-Remote-Access-Trojaner enthält. Anthropic rät betroffenen Nutzern zur sofortigen Downgrade und zum Rotieren aller Credentials.
Zusätzlich betreiben Angreifer Typosquatting: Ein Nutzer namens “pacifier136” hat bereits npm-Pakete mit Namen registriert, die intern verwendete Abhängigkeiten imitieren. Sicherheitsforscher Clément Dumas erklärt die Strategie: Die Pakete sind derzeit leere Stubs, dienen aber zum Namen-Squatting. Sobald genug Nutzer versuchen, den geleakten Code zu kompilieren und diese Pakete installieren, können Angreifer malicious Updates verteilen.
Dies ist bereits der zweite Vorfall für Anthropic innerhalb einer Woche. Zuvor waren Daten zu einem kommenden KI-Modell über das Content-Management-System zugänglich. Das Unternehmen bestätigte daraufhin, ein “fähigestes” Modell mit Early-Access-Kunden zu testen.