Wie funktioniert Claude Code? Ein Source-Map-Leak zeigt es im Detail

Claude Code ist der derzeit populärste KI-Coding-Agent – ein CLI-Tool von Anthropic, das Entwicklern beim Schreiben, Refactoring und Debugging von Code hilft. Von außen betrachtet: ein Terminal-Interface, das auf Anweisungen reagiert. Was tatsächlich unter der Haube steckt, wusste bis zum 31. März 2026 niemand außerhalb von Anthropic.

Dann fand Sicherheitsforscher Chaofan Shou eine 60 MB große Source-Map-Datei im öffentlich zugänglichen npm-Paket von Claude Code. Darin: der komplette TypeScript-Quellcode – 1.906 Dateien, über 512.000 Zeilen, inklusive aller internen Systeme, unveröffentlichten Features und Sicherheitsmechanismen.

Es war nicht das erste Mal: Bereits im Februar 2025 war derselbe Fehler aufgetreten. Anthropic hatte damals die betroffene Version entfernt. 13 Monate später passierte es erneut.

Was wir jetzt sehen können, ist faszinierend – und für IT-Entscheider, die KI-Tools evaluieren, äußerst lehrreich.

Wie kam es zum Leak? Source Maps erklärt

Wenn TypeScript-Anwendungen für die Produktion gebaut werden, erzeugt der Build-Prozess Source Maps (.map-Dateien). Diese dienen Entwicklern beim Debugging: Sie bilden eine Brücke zwischen dem minimierten Produktionscode und dem originalen Quellcode.

Das Problem: Source Maps enthalten den vollständigen Originalcode als Zeichenketten:

{
  "version": 3,
  "sources": ["../src/main.tsx", "../src/tools/BashTool.ts"],
  "sourcesContent": ["// Der GESAMTE Quellcode jeder Datei"],
  "mappings": "AAAA,SAAS,OAAO..."
}

Claude Code nutzt Bun als Bundler – und Bun generiert Source Maps standardmäßig. Ein fehlender *.map-Eintrag in .npmignore reichte aus, damit die Datei cli.js.map mit dem gesamten Quellcode als Teil des npm-Pakets (Version 2.1.88) veröffentlicht wurde.

Innerhalb von Stunden wurde der Code auf mehreren GitHub-Repositories archiviert und von der Community analysiert. Wichtig: Keine Nutzerdaten, Modellgewichte oder API-Schlüssel wurden kompromittiert. Was offengelegt wurde, ist die Architektur des Tools selbst.

Die Architektur: Weit mehr als ein Chat-Interface

Was von außen wie ein Terminal-Chatbot aussieht, ist in Wahrheit ein 785 KB großes React-basiertes Terminal-UI mit eigenem Rendering-System (Ink), über 40 registrierten Tools, einem Multi-Agent-Orchestrierungssystem und einem Gedächtnissystem, das im Hintergrund autonom arbeitet.

40+ Tools mit abgestuftem Berechtigungssystem

Claude Code kann nicht nur Text generieren – es interagiert aktiv mit dem System des Nutzers. Die offengelegte Tool-Registry zeigt das volle Spektrum:

Jedes Tool hat ein eigenes Risiko-Level (LOW, MEDIUM, HIGH) und durchläuft ein mehrstufiges Berechtigungssystem. Es gibt geschützte Dateien (.gitconfig, .bashrc, .mcp.json), Path-Traversal-Prävention und einen ML-basierten YOLO-Classifier, der automatisch über Berechtigungen entscheidet.

Multi-Agent-Orchestrierung: Claude als Teamleiter

Über den Coordinator Mode (CLAUDE_CODE_COORDINATOR_MODE=1) verwandelt sich Claude Code von einem einzelnen Agenten in einen Koordinator, der mehrere Worker-Agenten parallel steuert:

1. Research-Phase – Worker untersuchen die Codebase parallel
2. Synthese-Phase – Der Koordinator liest die Ergebnisse und erstellt Spezifikationen
3. Implementierungs-Phase – Worker setzen die Spezifikationen um
4. Verifikations-Phase – Worker testen die Änderungen

Die Worker kommunizieren über <task-notification> XML-Nachrichten und teilen sich ein gemeinsames Arbeitsverzeichnis. Der System-Prompt enthält die explizite Anweisung: „Parallelism is your superpower. Launch independent workers concurrently whenever possible."

Darüber hinaus unterstützt das System Agent Teams/Swarms mit prozessbasierten Teammitgliedern in tmux/iTerm2-Panes, Team-Speicher-Synchronisation und farblicher Zuordnung zur visuellen Unterscheidung.

Das „Dream"-System: Gedächtniskonsolidierung im Hintergrund

Eines der bemerkenswertesten Systeme: autoDream – ein Hintergrundprozess, der als abgespaltener Sub-Agent läuft und explizit als „Traum" bezeichnet wird.

Der Dream-Prozess wird durch ein Drei-Schleusen-System ausgelöst:

1. Mindestens 24 Stunden seit dem letzten Traum
2. Mindestens 5 Sessions seit dem letzten Traum
3. Erfolgreicher Erwerb einer Konsolidierungs-Sperre (verhindert parallele Träume)

Wenn alle drei Bedingungen erfüllt sind, durchläuft der Prozess vier Phasen:

• Orient – Bestandsaufnahme der Gedächtnisdateien
• Gather – Neue Informationen aus täglichen Logs und Transcripts sammeln
• Consolidate – Gedächtnisdateien schreiben, relative Daten in absolute umwandeln, widersprüchliche Fakten löschen
• Prune – MEMORY.md unter 200 Zeilen und ~25 KB halten

Der Dream-Agent hat dabei nur lesenden Shell-Zugriff – er kann das Projekt analysieren, aber nicht verändern. Der Prompt lautet: „You are performing a dream – a reflective pass over your memory files."

KAIROS: Der „Always-On"-Assistent

Unter dem Feature-Flag KAIROS verbirgt sich ein persistenter Assistent, der nicht auf Nutzereingaben wartet, sondern proaktiv agiert. KAIROS führt append-only Tageslogs, empfängt in regelmäßigen Abständen <tick>-Prompts und entscheidet selbst, ob er aktiv wird oder abwartet.

Das System hat ein 15-Sekunden-Blocking-Budget: Jede proaktive Aktion, die den Nutzer länger als 15 Sekunden blockieren würde, wird automatisch in den Hintergrund verschoben.

KAIROS verfügt über exklusive Tools, die dem regulären Claude Code nicht zur Verfügung stehen:

• SendUserFile – Dateien direkt an den Nutzer senden
• PushNotification – Push-Benachrichtigungen auslösen
• SubscribePR – Pull-Request-Aktivitäten überwachen

ULTRAPLAN: 30 Minuten Planungszeit in der Cloud

Für besonders komplexe Aufgaben kann Claude Code über ULTRAPLAN eine Remote-Cloud-Session starten, die auf Opus 4.6 läuft und bis zu 30 Minuten Zeit für die Planung erhält. Das lokale Terminal zeigt währenddessen einen Polling-Status an (alle 3 Sekunden), während eine browserbasierte Oberfläche den Planungsprozess live zeigt und eine Genehmigung oder Ablehnung erlaubt.

Undercover Mode: Wenn die KI ihre Identität verbirgt

Besonders aufschlussreich für die Frage, wie KI-Unternehmen KI im Alltag einsetzen: Der Undercover Mode wird automatisch aktiviert, wenn Anthropic-Mitarbeiter (erkannt über USER_TYPE === 'ant') in öffentlichen Repositories arbeiten.

Der System-Prompt wird dann um folgende Anweisung ergänzt:

You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Your commit messages, PR titles, and PR bodies MUST NOT contain ANY Anthropic-internal information. Do not blow your cover.

Verboten sind: interne Modell-Codenamen (Capybara, Tengu), unveröffentlichte Versionsnummern, interne Tooling-Referenzen, die Phrase „Claude Code" und jegliche Attribution als KI.

Es gibt keinen Force-Off-Schalter – die Logik lautet: „If we’re not confident we’re in an internal repo, we stay undercover."

Das volle Ausmaß: 32 Build Flags, 120+ geheime Variablen

Eine detaillierte Aufbereitung auf ccleaks.com hat die Offenlegung systematisch katalogisiert:

• 32 Build-Time Feature Flags – von KAIROS über BUDDY bis VOICE_MODE und CHICAGO_MCP (Computer Use)
• 26 versteckte Slash Commands – darunter /dream (Gedächtniskonsolidierung), /ultraplan, /teleport, /good-claude (Easter Egg)
• 120+ geheime Umgebungsvariablen – Debug-Profiler, Runtime-Overrides, interne API-Schlüssel
• 10+ GrowthBook Feature Gates – für stufenweise Rollouts mit dem Namespace tengu_*

Besonders brisant aus Sicherheitsperspektive sind die Safety-Bypass-Variablen:

• DISABLE_COMMAND_INJECTION_CHECK – deaktiviert die Injection-Prüfung (als „DANGEROUS" markiert)
• CLAUDE_CODE_ABLATION_BASELINE – deaktiviert sämtliche Sicherheitsfeatures
• DISABLE_INTERLEAVED_THINKING – schaltet das verschränkte Denken ab

Diese Variablen sind für interne Tests gedacht und im Normalbetrieb nicht zugänglich. Ihre Offenlegung dokumentiert jedoch die Architektur der Sicherheitsschichten – und wie sie umgangen werden können.

Interne Codenamen: Was der Leak über Anthropics Roadmap verrät

Der Quellcode ist durchzogen von tierischen Codenamen:

• Tengu – Claude Codes interner Projektname (hundertfach als Prefix für Feature Flags und Analytics-Events)
• Fennec – ein früherer Opus-Codename (sichtbar in der Migration migrateFennecToOpus)
• Capybara – ein weiterer interner Codename
• Penguin Mode – der interne Name für den „Fast Mode", inklusive API-Endpunkt api/claude_code_penguin_mode und Kill-Switch tengu_penguins_off
• Chicago – der Codename für die Computer-Use-Implementierung auf Basis von @ant/computer-use-mcp

Migrationen im Code zeigen die Modellhistorie: Sonnet mit 1M-Kontext wurde zu Sonnet 4.5, dann zu Sonnet 4.6. Pro-Nutzer wurden irgendwann auf Opus als Standard zurückgesetzt.

Was IT-Entscheider daraus mitnehmen sollten

1. KI-Coding-Tools sind keine einfachen Textgeneratoren mehr

Claude Code hat Shell-Zugriff, liest und schreibt Dateien, startet Sub-Agenten, führt Websuchen durch und kann Cron-Jobs anlegen. Die Tool-Registry umfasst über 40 Werkzeuge. Wenn ein solches Tool in Ihrer Entwicklungsumgebung läuft, ist es Teil Ihrer Angriffsfläche – und sollte entsprechend behandelt werden.

Handlungsempfehlung: Definieren Sie klare Richtlinien für den Einsatz von KI-Coding-Tools. Prüfen Sie die Berechtigungsmodelle und stellen Sie sicher, dass Ihre Entwickler verstehen, welche Systemzugriffe diese Tools besitzen.

2. Supply-Chain-Sicherheit bleibt ein ungelöstes Problem

Selbst Unternehmen mit Milliardenbewertung und erstklassigen Engineering-Teams vergessen eine Zeile in .npmignore. Der identische Fehler trat innerhalb von 13 Monaten zweimal auf. Das npm-Ökosystem verteilt Pakete ohne tiefgreifende Inhaltsprüfung.

Handlungsempfehlung: Etablieren Sie automatisierte Prüfungen in Ihrer CI/CD-Pipeline, die veröffentlichte Artefakte auf Source Maps, Debug-Konfigurationen und interne Dokumentation scannen.

3. Verlassen Sie sich nicht auf Security by Obscurity

Anthropic baute mit „Undercover Mode" ein eigenes System, um interne Informationen vor versehentlicher Offenlegung zu schützen. Die Ironie: Ein einziger .npmignore-Eintrag hätte mehr bewirkt als das gesamte Undercover-System. Planen Sie Ihre Sicherheitsarchitektur so, als wäre der Quellcode öffentlich – gemäß dem Kerckhoffs’schen Prinzip.

4. Wissen Sie, was Ihre KI-Tools tatsächlich tun?

Der Leak zeigt: Features wie proaktive Hintergrundaktivität (KAIROS), automatische Gedächtniskonsolidierung (Dream), autonome Agenten-Schwärme und verdeckte Identität (Undercover Mode) existieren im Code – wurden aber nie öffentlich kommuniziert. Die Lücke zwischen dem, was KI-Anbieter kommunizieren, und dem, was ihre Tools können, wird größer.

Handlungsempfehlung: Dokumentieren Sie, welche KI-Tools in Ihrem Unternehmen eingesetzt werden und welche Berechtigungen sie haben. Im Kontext des EU AI Acts wird die Nachvollziehbarkeit eingesetzter KI-Systeme zunehmend zur Pflicht.

5. Die Komplexität moderner KI-Tools erfordert neue Bewertungsmaßstäbe

512.000 Zeilen Code, 40+ Tools, Multi-Agent-Orchestrierung, Feature-Flag-Infrastruktur, Remote Sessions – eine fundierte Risikobewertung ist ohne Zugang zum Quellcode oder eine tiefgehende Anbieterprüfung praktisch unmöglich. Traditionelle Vendor-Fragebögen reichen nicht mehr aus.

Fazit

Der Claude Code Leak ist kein Skandal – er ist ein Röntgenbild. Zum ersten Mal können wir die vollständige Architektur eines produktionsreifen KI-Coding-Agenten studieren. Was wir sehen, ist beeindruckend: ausgefeilte Multi-Agent-Systeme, ein KI-Gedächtnis das träumt, proaktive Assistenten und eine Komplexität, die weit über das hinausgeht, was die öffentliche Dokumentation vermuten lässt.

Gleichzeitig zeigt der Vorfall, dass die größten Sicherheitsrisiken nicht in ausgeklügelten Angriffen liegen, sondern in vergessenen Konfigurationszeilen. Für IT-Entscheider ist das ein klares Signal: In einer Welt, in der KI-Agenten Shell-Zugriff, Internetzugang und die Fähigkeit zur Selbstorganisation besitzen, ist Vertrauen gut – aber nachprüfbare Transparenz besser.