Anthropic-Panne: Claude Code-Quellcode versehentlich veröffentlicht – Community baut eigene Varianten mit BYOK

31. März / 1. April 2026 – Ein klassischer Release-Fehler hat Anthropic in eine der peinlichsten KI-Pannen des Jahres gestürzt: Das Unternehmen hat versehentlich den vollständigen Quellcode seines beliebten KI-Coding-Tools Claude Code öffentlich gemacht.

Was genau passiert ist

Bei der Veröffentlichung der npm-Paket-Version 2.1.88 des @anthropic-ai/claude-code wurde eine 59,8 MB große Source-Map-Datei (*.map) mitgeliefert. Diese Datei – eigentlich nur für Debugging gedacht – enthielt die vollständigen, unverschlüsselten 512.000 Zeilen TypeScript-Code aus rund 1.900 Dateien. Die Map verwies zudem auf ein ZIP-Archiv in Anthropics eigenem Cloudflare-R2-Bucket, aus dem jeder den kompletten Quellcode herunterladen konnte.

Ein Security-Researcher (@Fried_rice) entdeckte den Fehler frühmorgens und postete ihn auf X. Innerhalb weniger Stunden war der Code millionenfach heruntergeladen, auf GitHub gespiegelt und zigtausendfach geforkt.

Anthropics Reaktion

Das Unternehmen bestätigte den Vorfall als „Release-Packaging-Fehler durch menschliches Versagen, keine Sicherheitslücke“. Es wurden zunächst massenhaft DMCA-Takedown-Notices bei GitHub eingereicht – über 8.100 Repositories waren betroffen, darunter auch harmlose Forks des offiziellen Repos. Nach massiver Kritik ruderte Anthropic zurück: Die meisten Notices wurden zurückgezogen, nur das Original und wenige direkte Forks blieben betroffen. Der Head of Claude Code, Boris Cherny, nannte die Massen-Takedowns „versehentlich“.

Die Community-Antwort: Varianten und BYOK

Statt sich abschrecken zu lassen, startete die Entwickler-Community ein regelrechtes Open-Source-Projekt aus dem Leak:

• Clean-Room-Rewrites: Der bekannteste Fork „claw-code“ wurde von Grund auf in Python neu implementiert, um Copyright-Probleme zu umgehen. Andere Varianten existieren in Rust oder Bash.
• BYOK-Unterstützung (Bring Your Own Key): Viele Forks entfernen die harte Anbindung an Anthropic-Keys und ermöglichen die Nutzung mit eigenen API-Schlüsseln von Anthropic, OpenAI, Grok/xAI oder lokalen Modellen.
• Entfernte Guardrails: Telemetrie, Sicherheitschecks und „Undercover Mode“ wurden in manchen Versionen deaktiviert. Experimentelle Features, die noch nicht öffentlich waren, sind nun zugänglich.
• Dezentrale Spiegel: Teile des Codes landeten auf IPFS und anderen Plattformen, wo DMCA kaum greift.

Innerhalb von Stunden erreichten einige Repos über 80.000 Stars und Forks – einer der schnellsten Viral-Hits in der GitHub-Geschichte.

Implikationen

Der Leak gibt Einblicke in Anthropics Agenten-Architektur: Multi-Agent-Koordination, riesiges Context-Management (über 1 Million Tokens), Tool-Calling, persistente Memory-Systeme und IDE-Integrationen. Für Konkurrenten wie xAI, OpenAI oder unabhängige Entwickler ist das eine kostenlose Blaupause.

Gleichzeitig zeigt der Vorfall die Risiken moderner Build-Pipelines: Ein vergessener Eintrag in .npmignore oder eine Standard-Einstellung von Bun reichte aus, um proprietären Code weltweit zu verteilen.

Anthropic hat angekündigt, seine Release-Prozesse deutlich zu verschärfen. Für die Community bleibt der Leak ein zweischneidiges Geschenk: Mehr Freiheit und Innovation bei KI-Coding-Tools – aber auch rechtliche Grauzonen und potenzielle Sicherheitsrisiken durch modifizierte Versionen.

Der Fall unterstreicht einmal mehr: In der KI-Welt bleibt kaum etwas lange geheim – erst recht nicht, wenn es versehentlich selbst veröffentlicht wird.