Den Vorfall meldete zuerst der Sicherheitsforscher Chaofan Shou auf X mit den Worten, der Quellcode von Claude Code sei über eine Map-Datei in der npm-Registry durchgesickert. Sein Beitrag kam inzwischen auf mehr als 28,8 Millionen Aufrufe. Über ein öffentliches GitHub-Repository ist der Code weiterhin abrufbar; dort wurden mehr als 84.000 Sterne und 82.000 Forks gezählt.
Nutzer, die den Code analysierten, veröffentlichten Details zu mehreren internen Komponenten: einer selbstheilenden Speicherarchitektur, die die feste Kontextfenster-Begrenzung des Modells umgehen soll, einem Werkzeugsystem für Funktionen wie Dateizugriff oder Bash-Ausführung, einer Query-Engine für LLM-API-Aufrufe und Orchestrierung, einer Mehr-Agenten-Orchestrierung zum Erzeugen von “Sub-Agenten” sowie einer bidirektionalen Kommunikationsschicht zwischen IDE-Erweiterungen und der Claude-Code-CLI.
Der Code legte zudem eine Funktion namens KAIROS offen, mit der Claude Code als dauerhaft im Hintergrund laufender Agent arbeiten kann, der eigenständig Fehler behebt oder Aufgaben ausführt und Push-Benachrichtigungen an Nutzer sendet. Ergänzt wird dieser Modus durch einen “Dream”-Modus, in dem Claude im Hintergrund fortlaufend Ideen entwickeln und bestehende weiterführen soll.
Auffällig ist ein “Undercover Mode” für verdeckte Beiträge zu Open-Source-Repositories. Im System-Prompt heißt es sinngemäß, der Agent operiere verdeckt in einem öffentlichen Open-Source-Repository; Commit-Nachrichten, PR-Titel und PR-Texte dürften keinerlei Anthropic-interne Informationen enthalten, und er solle seine Tarnung nicht auffliegen lassen. Ein weiterer Fund betrifft Anthropics Versuche, Distillation-Angriffe abzuwehren: Das System schleust gefälschte Tool-Definitionen in API-Anfragen ein, um Trainingsdaten zu vergiften, falls Wettbewerber die Ausgaben von Claude Code abgreifen.
Die KI-Sicherheitsfirma Straiker warnte, Angreifer müssten Jailbreaks und Prompt-Injektionen nun nicht mehr per Brute Force erzwingen, sondern könnten genau studieren und fuzzen, wie Daten durch die vierstufige Kontextverwaltung von Claude Code fließen, und Payloads bauen, die die Verdichtung überstehen – und so eine Hintertür über eine beliebig lange Sitzung hinweg verankern.
Dringlicher sind laut Bericht die Folgen des Axios-Supply-Chain-Angriffs: Wer Claude Code am 31. März 2026 zwischen 00:21 und 03:29 UTC über npm installierte oder aktualisierte, könnte eine trojanisierte Version des HTTP-Clients mit einem plattformübergreifenden Remote-Access-Trojaner geladen haben. Betroffenen wird geraten, sofort auf eine sichere Version zurückzustufen und alle Geheimnisse zu rotieren.
Zudem nutzen Angreifer den Vorfall bereits aus, um interne npm-Paketnamen per Typosquatting nachzubilden und Dependency-Confusion-Angriffe gegen Nutzer vorzubereiten, die den offengelegten Code kompilieren wollen. Die betreffenden Pakete wurden alle von einem Nutzer namens “pacifier136” veröffentlicht. Der Sicherheitsforscher Clément Dumas erklärte auf X, derzeit handle es sich um leere Platzhalter, doch genau so funktionierten solche Angriffe: erst den Namen besetzen, auf Downloads warten und dann ein schädliches Update nachschieben.
Für Anthropic ist es innerhalb einer Woche die zweite Panne. Zuvor waren laut Fortune über das Content-Management-System des Unternehmens Details zu einem kommenden KI-Modell und weitere interne Daten zugänglich; Anthropic bestätigte, das Modell mit ausgewählten Kunden zu testen, und bezeichnete es als das leistungsfähigste, das man bisher gebaut habe.
