Datenschutz & Sicherheit
Claude Code ungewollt Open Source: Source Map verrät alles
Der Quellcode von Anthropics CLI-Tool Claude Code ist am 31. März 2026 anscheinend unbeabsichtigt öffentlich zugänglich geworden. Auslöser war nach übereinstimmenden Berichten eine mitveröffentlichte Source-Map-Datei im npm-Registry. Der Sicherheitsexperte Chaofan Shou machte über X auf den Fund aufmerksam, kurz darauf tauchte ein vollständiger Snapshot des Codes in einem öffentlichen GitHub-Repository auf.
Weiterlesen nach der Anzeige
Der gespiegelte Code umfasst laut Repository rund 1900 Dateien mit über 512.000 Zeilen. Claude Code ist ein Kommandozeilenwerkzeug, mit dem Entwickler über natürliche Sprache auf Anthropics KI-Modelle zugreifen und typische Aufgaben wie das Bearbeiten von Dateien oder das Ausführen von Befehlen erledigen können.
Source Map als Einfallstor
Source Maps dienen eigentlich dazu, komprimierten oder gebündelten Code auf die ursprünglichen Quelldateien zurückzuführen. Gelangen sie jedoch in veröffentlichte Pakete, können sie den Zugriff auf den Originalcode ermöglichen. In diesem Fall verwies die Datei offenbar auf unminifizierte TypeScript-Quellen, die sich herunterladen ließen.
Als wahrscheinliche Ursache gilt eine fehlerhafte Paketkonfiguration bei der Veröffentlichung über npm. Anthropic reagierte schnell: Die betroffene Paketversion wurde bereits aus dem npm-Registry entfernt und durch eine bereinigte Version ohne Source-Maps ersetzt. Eine offizielle Stellungnahme des Unternehmens lag zum Zeitpunkt der Veröffentlichung dieser Meldung nicht vor.
Modulare Architektur mit Bun und React
Ein erster Blick in das Material zeigt eine modular aufgebaute Codebasis. Das Tool nutzt demnach die JavaScript-Laufzeitumgebung Bun und setzt für die Terminaloberfläche auf React in Kombination mit der Ink-Bibliothek. Zudem enthält der Code unter anderem ein Befehlssystem, eine Schnittstelle zu Entwicklungsumgebungen sowie Mechanismen zur Steuerung von Berechtigungen.
Weiterlesen nach der Anzeige
Die Verbreitung erfolgte zunächst über soziale Netzwerke und Entwicklerforen auf Reddit. Parallel entstand auf GitHub das Repository, das den Code zu Analysezwecken spiegelt und ausdrücklich als Forschungs- und Lehrmaterial einordnet.
(fo)