Quellcode-Leck bei Claude Code: Verstecktes Agent-OS, Chrome-Automatisierung und Datenschutzlücken

Quellcode-Leck bei Claude Code: Verstecktes Agent-OS, Chrome-Automatisierung und Datenschutzlücken

lschvn5 Min. Lesezeit

Am 30. März 2026 bemerkten Entwickler, die das npm-Paket @anthropic-ai/claude-code@v2.1.88 installierten, etwas Ungewöhnliches: Das veröffentlichte Bundle enthielt cli.js.map, eine Produktions-Source-Map-Datei, die den minifizierten JavaScript-Code auf seinen ursprünglichen TypeScript-Quellcode abbildet. Innerhalb weniger Stunden verbreitete sich die Entdeckung in den Entwickler-Communities, wobei mehrere Entwickler unabhängig voneinander bestätigten, dass die Source-Map einen nahezu vollständigen Blick auf die interne Architektur von Claude Code bot.

Das Problem wurde formell als GitHub Issue #41329 gemeldet, betitelt "BUG Es scheint, dass der Quellcode von Claude Code geleaked wurde, mit cli.js.map auf npm hochgeladen", und am selben Tag als erledigt geschlossen. Entwickler auf Twitter, darunter @iamsupersocks, @Fried_rai und @chetaslua, teilten Screenshots und Analysen ihrer Entdeckungen.

Was geleakt wurde

Die Source-Map (cli.js.map) ist ein Standard-JavaScript-Build-Artefakt, das Debugging-Tools ermöglicht, minifizierten Code auf Originalquelldateien abzubilden. Wenn sie in einem Produktions-npm-Paket enthalten ist, legt sie effektiv den gesamten TypeScript-Quellbaum für jeden offen, der das Paket herunterlädt. In diesem Fall enthielt die Source-Map Verweise auf 4.756 Quelldateien, einschließlich ungefähr 25 Claude-spezifischer Dateien, die, laut Entwicklern, Architekturentscheidungen offenbaren, die Anthropic nicht öffentlich dokumentiert hatte.

Was sie gefunden haben

Das Agent-OS: Ein Multi-Agent-Orchestrierungssystem, das niemand kannte

Die auffälligste Entdeckung war ein umfassendes Agent-Orchestrierungssystem. Die Source-Map enthüllt Agent-Typen mit Namen, die in keiner öffentlichen Dokumentation je aufgetaucht sind:

  • AgentTool, ExploreAgent, PlanAgent, VerificationAgent, GeneralPurposeAgent, StatuslineSetupAgent

Zusammen mit diesen enthält der Code TeamCreateTool und TeamDeleteTool, was darauf hindeutet, dass Claude Code Teams von Agenten erstellen und zerstören kann. Das System verwendet coordinatorMode.ts für die Multi-Agent-Koordination, und Agenten kommunizieren über ein dateibasiertes Posteingangssystem unter .claude/teams/{team_name}/inboxes/{agent_name}.json. Eine forkSubagent.ts-Datei behandelt das Erzeugen von Subagenten, und die Ausführungsisolation wird durch AsyncLocalStorage aufrechterhalten.

Tool-Berechtigungen werden über eine checkPermissions-Methode auf jedem Tool erzwungen. Drei Modi existieren: allow (läuft sofort), ask (pausiert und zeigt einen Bestätigungsdialog) und deny (abgelehnt, mit Fehler zurück zum Modell). Ein bypassPermissions-Modus überspringt alle Prüfungen, eine signifikante Fähigkeit, die in Verbindung mit dem --dangerously-skip-permissions-Flag funktioniert.

Versteckte Chrome-Integration: Der claude-in-chrome MCP-Server

Entwickler fanden einen vollständigen MCP-Server (Model Context Protocol) für Chrome-Browserautomatisierung:

  • Eine Chrome-Erweiterung mit der ID fcoeoabgfenejglbffodgkkbkcdhcgfn
  • Tools einschließlich javascript_tool, read_page, find, form_input, computer und navigate
  • Eine GIF-Aufnahmefähigkeit, freigelegt über mcp__claude-in-chrome__gif_creator
  • Konsolenlog-Auslesung über mcp__claude-in-chrome__read_console_messages

Dieser MCP-Server scheint Claude Code die direkte Steuerung eines Chrome-Browsers von der CLI aus zu ermöglichen, eine Fähigkeit, die von Anthropic weder angekündigt noch dokumentiert wurde.

Die Datenschutzlücke: Was Claude Code tatsächlich sendet

Die Source-Map enthüllt ein dreistufiges Datenschutzsystem :

ModusTelemetrieDatadogErstanbieter-EventsFeedback
defaultAlles aktiviert
no-telemetryAnalytik deaktiviert
essential-trafficNicht-essentieller Traffic blockiert,,,

Die Analytik-Integration sendet Daten an Datadog und protokolliert Erstanbieter-Events throughout the codebase. Feature-Flags werden über GrowthBook verwaltet via getFeatureValue_CACHED_MAY_BE_STALE. Die Source-Map enthält 506 analytik- und telemetriebezogene Dateien, mit logEvent und logForDebugging, die throughout the codebase aufgerufen werden.

Die CLAUDE.md-Hierarchie: Vier Prioritätsebenen

Claude Code löst CLAUDE.md-Dateien in einer spezifischen Reihenfolge mit umgekehrter Priorität auf (spätere Ebenen überschreiben frühere):

  1. /etc/claude-code/CLAUDE.md, Systemweites Global für alle Benutzer
  2. ~/.claude/CLAUDE.md, Privates Benutzer-Global
  3. CLAUDE.md, .claude/CLAUDE.md, .claude/rules/*.md, Projektebene
  4. CLAUDE.local.md, Privates projektspezifisches (höchste Priorität)

Der versteckte "good-claude"-Befehl

Vergraben in src/commands/good-claude/index.js fanden Entwickler einen völlig versteckten Stub-Befehl:

export default { isEnabled: () => false, isHidden: true, name: "stub" };

Der Befehl existiert, ist versteckt, deaktiviert und hat keine tatsächliche Implementierung.

Was es bedeutet

Das Leck ist aus mehreren Gründen bedeutsam. Erstens repräsentiert es einen Build-Konfigurationsfehler, Source-Maps sollten niemals in Produktions-npm-Paketen veröffentlicht werden.

Zweitens, und substanzieller, enthüllt die Source-Map eine erhebliche Lücke zwischen dem, was Claude Code öffentlich behauptet zu sein, und dem, was es tatsächlich ist. Die nicht dokumentierte Multi-Agent-Orchestrierung, versteckte Chrome-Automatisierung und allgegenwärtige Telemetrie deuten auf ein Produkt mit Fähigkeiten und Datensammlung hin, denen Benutzer nicht zugestimmt haben.

Anthropics Schweigen

Stand jetzt hat Anthropic keine öffentliche Stellungnahme zur Source-Map-Exposition abgegeben. Die GitHub-Issue wurde als abgeschlossen geschlossen, was darauf hindeutet, dass das Unternehmen vom Leck weiß, aber es wurde kein Changelog-Eintrag, keine Sicherheitswarnung oder Kundenkommunikation veröffentlicht.

Häufig gestellte Fragen

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

Claude Code Bug #74066: Nutzer Melden Cross-Workspace-Kontext-Leaks auf Sonnet 5, Anthropic Hat Noch Nicht Antwortet
security

Claude Code Bug #74066: Nutzer Melden Cross-Workspace-Kontext-Leaks auf Sonnet 5, Anthropic Hat Noch Nicht Antwortet

Ein offener Bug, der am 2026-07-04 gegen Claude Code von einem [Enterprise-ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention)-Nutzer eingereicht wurde, beschreibt eine Arbeitssitzung auf Sonnet 5, die plötzlich auf einen unrelated Minecraft-Tempelbau referenziert und dann im Recap bei der falschen Aufgabe bleibt. Der Reporter (GitHub: [@milesrichardson-edb](https://github.com/milesrichardson-edb), Issue [anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066)) ist auf Enterprise Zero Data Retention, dem Tier, das Anthropic speziell als sitzungsisoliert vermarktet. Ein Triage auf der lokalen Sitzungs-JSONL des Reporters unter `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` zeigt, dass der geleakte Text nicht im Transkript enthalten ist, was einen lokalen Kontext-Leak durch Datei-Überlappung ausschließt. Vier andere Nutzer in den Kommentaren (mit Arbeitsgeschichten, die bis ins letzte Jahr zurückreichen) beschreiben nahezu identisches Verhalten über Claude Code, Claude Mobile und Claude Deep Research hinweg. Der plausibelste architektonische Fit ist geteilter KV-Cache-Zustand in der Inferenz ([laut @yv3nne in den Kommentaren](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448776)), aber kein Anthropic-Ingenieur hat die Issue in den 22 Stunden seit der Einreichung kommentiert, und die Issue erreichte am 2026-07-04 die Spitze von [Hacker News](https://news.ycombinator.com/item?id=42481789). Der Ton im Thread ist gespalten: Die Hälfte vermutet echte Plattform-Cache-Wiederverwendung, die andere Hälfte vermutet eine [sonnet-5-spezifische Halluzination, ausgelöst durch einen Pygments-Lexer](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880334711). Beide Lesarten sind glaubwürdig.
Anthropic wirft Alibaba „dreiste“ Destillation von Claude im industriellen Maßstab vor: 28,8 Millionen Austausche, ~25.000 gefälschte Konten, 22. April bis 5. Juni
security

Anthropic wirft Alibaba „dreiste“ Destillation von Claude im industriellen Maßstab vor: 28,8 Millionen Austausche, ~25.000 gefälschte Konten, 22. April bis 5. Juni

Anthropic hat am 2026-06-24 einen Blogbeitrag veröffentlicht (https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks), in dem Alibaba eine Destillationskampagne gegen Claude im industriellen Maßstab vorgeworfen wird. Anthropic gibt an, dass die Kampagne vom 22. April bis 5. Juni 2026 lief und über beinahe 25.000 gefälschte Konten mehr als 28,8 Millionen Austausche mit Claude produzierte. Die Anklage ist die zweite öffentliche Destillations-Offenlegung von Anthropic: die erste vom 2026-02-23 nannte DeepSeek, Moonshot AI und MiniMax als Urheber von 16 Millionen Austauschen über 24.000 gefälschte Konten. Reuters (Krystal Hu, Eduardo Baptista) und Bloomberg (Saritha Rai) berichteten am 2026-06-24 über die neue Anklage; das WSJ veröffentlichte am selben Tag Anthropic Claims Alibaba Ran 'Brazen' Campaign to Access Its Claude AI Model. Eine öffentliche Stellungnahme von Alibaba lag zum Zeitpunkt der Veröffentlichung nicht vor.
OpenAI Codex 0.141 bringt Noise-verschlüsselte Remote-Executors, plattformübergreifendes `PathUri`, einen Plugin-Marketplace und einen SQLite-WAL-Reset-Pin
security

OpenAI Codex 0.141 bringt Noise-verschlüsselte Remote-Executors, plattformübergreifendes `PathUri`, einen Plugin-Marketplace und einen SQLite-WAL-Reset-Pin

Codex 0.141.0 (18. Juni 2026) macht Noise IK zum Standardtransport zwischen Orchestrator und Exec-Server, liefert eine PathUri- / NativePathString-Schicht, die POSIX-, Windows-Drive- und UNC-Pfade round-trippt, ohne die URI-Codierung an der API durchsickern zu lassen, eröffnet einen `created-by-me-remote`-Plugin-Marketplace, hebt den MCP-Tool-Timeout auf 300 Sekunden und pinnt das gebündelte SQLite auf 3.51.3, damit der WAL-Reset-Korruptions-Fix nach Dependency-Refreshs erhalten bleibt.

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.