Am 30. März 2026 bemerkten Entwickler, die das npm-Paket @anthropic-ai/claude-code@v2.1.88 installierten, etwas Ungewöhnliches: Das veröffentlichte Bundle enthielt cli.js.map, eine Produktions-Source-Map-Datei, die den minifizierten JavaScript-Code auf seinen ursprünglichen TypeScript-Quellcode abbildet. Innerhalb weniger Stunden verbreitete sich die Entdeckung in den Entwickler-Communities, wobei mehrere Entwickler unabhängig voneinander bestätigten, dass die Source-Map einen nahezu vollständigen Blick auf die interne Architektur von Claude Code bot.
Das Problem wurde formell als GitHub Issue #41329 gemeldet — betitelt "BUG Es scheint, dass der Quellcode von Claude Code geleaked wurde, mit cli.js.map auf npm hochgeladen" — und am selben Tag als erledigt geschlossen. Entwickler auf Twitter, darunter @iamsupersocks, @Fried_rai und @chetaslua, teilten Screenshots und Analysen ihrer Entdeckungen.
Was geleakt wurde
Die Source-Map (cli.js.map) ist ein Standard-JavaScript-Build-Artefakt, das Debugging-Tools ermöglicht, minifizierten Code auf Originalquelldateien abzubilden. Wenn sie in einem Produktions-npm-Paket enthalten ist, legt sie effektiv den gesamten TypeScript-Quellbaum für jeden offen, der das Paket herunterlädt. In diesem Fall enthielt die Source-Map Verweise auf 4.756 Quelldateien, einschließlich ungefähr 25 Claude-spezifischer Dateien, die, laut Entwicklern, Architekturentscheidungen offenbaren, die Anthropic nicht öffentlich dokumentiert hatte.
Was sie gefunden haben
Das Agent-OS: Ein Multi-Agent-Orchestrierungssystem, das niemand kannte
Die auffälligste Entdeckung war ein umfassendes Agent-Orchestrierungssystem. Die Source-Map enthüllt Agent-Typen mit Namen, die in keiner öffentlichen Dokumentation je aufgetaucht sind:
AgentTool,ExploreAgent,PlanAgent,VerificationAgent,GeneralPurposeAgent,StatuslineSetupAgent
Zusammen mit diesen enthält der Code TeamCreateTool und TeamDeleteTool, was darauf hindeutet, dass Claude Code Teams von Agenten erstellen und zerstören kann. Das System verwendet coordinatorMode.ts für die Multi-Agent-Koordination, und Agenten kommunizieren über ein dateibasiertes Posteingangssystem unter .claude/teams/{team_name}/inboxes/{agent_name}.json. Eine forkSubagent.ts-Datei behandelt das Erzeugen von Subagenten, und die Ausführungsisolation wird durch AsyncLocalStorage aufrechterhalten.
Tool-Berechtigungen werden über eine checkPermissions-Methode auf jedem Tool erzwungen. Drei Modi existieren: allow (läuft sofort), ask (pausiert und zeigt einen Bestätigungsdialog) und deny (abgelehnt, mit Fehler zurück zum Modell). Ein bypassPermissions-Modus überspringt alle Prüfungen — eine signifikante Fähigkeit, die in Verbindung mit dem --dangerously-skip-permissions-Flag funktioniert.
Versteckte Chrome-Integration: Der claude-in-chrome MCP-Server
Entwickler fanden einen vollständigen MCP-Server (Model Context Protocol) für Chrome-Browserautomatisierung:
- Eine Chrome-Erweiterung mit der ID
fcoeoabgfenejglbffodgkkbkcdhcgfn - Tools einschließlich
javascript_tool,read_page,find,form_input,computerundnavigate - Eine GIF-Aufnahmefähigkeit, freigelegt über
mcp__claude-in-chrome__gif_creator - Konsolenlog-Auslesung über
mcp__claude-in-chrome__read_console_messages
Dieser MCP-Server scheint Claude Code die direkte Steuerung eines Chrome-Browsers von der CLI aus zu ermöglichen — eine Fähigkeit, die von Anthropic weder angekündigt noch dokumentiert wurde.
Die Datenschutzlücke: Was Claude Code tatsächlich sendet
Die Source-Map enthüllt ein dreistufiges Datenschutzsystem :
| Modus | Telemetrie | Datadog | Erstanbieter-Events | Feedback |
|---|---|---|---|---|
default | Alles aktiviert | ✓ | ✓ | ✓ |
no-telemetry | Analytik deaktiviert | ✗ | ✗ | ✗ |
essential-traffic | Nicht-essentieller Traffic blockiert | — | — | — |
Die Analytik-Integration sendet Daten an Datadog und protokolliert Erstanbieter-Events throughout the codebase. Feature-Flags werden über GrowthBook verwaltet via getFeatureValue_CACHED_MAY_BE_STALE. Die Source-Map enthält 506 analytik- und telemetriebezogene Dateien, mit logEvent und logForDebugging, die throughout the codebase aufgerufen werden.
Die CLAUDE.md-Hierarchie: Vier Prioritätsebenen
Claude Code löst CLAUDE.md-Dateien in einer spezifischen Reihenfolge mit umgekehrter Priorität auf (spätere Ebenen überschreiben frühere):
/etc/claude-code/CLAUDE.md— Systemweites Global für alle Benutzer~/.claude/CLAUDE.md— Privates Benutzer-GlobalCLAUDE.md,.claude/CLAUDE.md,.claude/rules/*.md— ProjektebeneCLAUDE.local.md— Privates projektspezifisches (höchste Priorität)
Der versteckte "good-claude"-Befehl
Vergraben in src/commands/good-claude/index.js fanden Entwickler einen völlig versteckten Stub-Befehl:
export default { isEnabled: () => false, isHidden: true, name: "stub" };
Der Befehl existiert, ist versteckt, deaktiviert und hat keine tatsächliche Implementierung.
Was es bedeutet
Das Leck ist aus mehreren Gründen bedeutsam. Erstens repräsentiert es einen Build-Konfigurationsfehler — Source-Maps sollten niemals in Produktions-npm-Paketen veröffentlicht werden.
Zweitens, und substanzieller, enthüllt die Source-Map eine erhebliche Lücke zwischen dem, was Claude Code öffentlich behauptet zu sein, und dem, was es tatsächlich ist. Die nicht dokumentierte Multi-Agent-Orchestrierung, versteckte Chrome-Automatisierung und allgegenwärtige Telemetrie deuten auf ein Produkt mit Fähigkeiten und Datensammlung hin, denen Benutzer nicht zugestimmt haben.
Anthropics Schweigen
Stand jetzt hat Anthropic keine öffentliche Stellungnahme zur Source-Map-Exposition abgegeben. Die GitHub-Issue wurde als abgeschlossen geschlossen, was darauf hindeutet, dass das Unternehmen vom Leck weiß, aber es wurde kein Changelog-Eintrag, keine Sicherheitswarnung oder Kundenkommunikation veröffentlicht.
