Am 2026-07-04 um 02:04 UTC reichte ein Claude-Code-Nutzer anthropics/claude-code#74066 ein und beschrieb eine Sitzung auf Claude Code 2.1.199, die Sonnet 5 ausführte und anfing, Text über einen unrelated Minecraft-Tempelbau zurückzugeben. Der Reporter, @milesrichardson-edb, ist auf Anthropic Enterprise Zero Data Retention (ZDR), dem Isolationstier, auf dem Prompts nicht behalten und nicht zum Training verwendet werden. Bis zum 2026-07-05 hatte die Issue 14 Kommentare, kein Anthropic-Ingenieur-Engagement und die Labels bug, platform:macos, area:core, area:security vergeben bekommen. Der Thread förderte auch fünf verwandte Berichte zutage, die über ein Jahr zurückreichen, auf Claude Code, Claude Mobile und Claude Deep Research.
Was der Reporter tatsächlich sah
Der Bug-Body ist ein etwa 200 Wörter umfassender Fehlerbericht mit einem angehängten Screenshot und einem OCR-Transkript eines Folgekommentars. Die funktionale Zusammenfassung:
- Eine Claude-Code-Sitzung auf Enterprise ZDR ist mitten in einer Aufgabe in einem Datenanalyse-Projekt (CSV-Dateien für einen unrelated Datensatz).
- Der Agent hört mitten in der Aufgabe auf, fragt den Nutzer, welche Art von Ziegeln er für seinen Minecraft-Tempel möchte, und behauptet im Recap, dass er « einen Minecraft-Tempel baut ».
- Der Nutzer hat kein Minecraft-Projekt. Die Trajektorie erwähnt eine « frühere Pollution », die er nicht geschrieben hat. Das lokale JSONL-Transkript unter
~/.claude/projects/<encoded-cwd>/<session-id>.jsonl(das Pro-Sitzung-, Pro-Startverzeichnis-Log, das Claude Code auf macOS, Linux und Windows unter WSL schreibt) ist per grep sauber fürbricks,temple,minecraft, abgesehen von einer verirrten Dateinamen-Referenz und dem OCR des Symptoms selbst. - Der Reporter hatte am selben Tag früher in einem anderen
.claude/-Context-Verzeichnis im selben Start-Arbeitsbaum gearbeitet, aber die Diskrepanz mappt nicht auf das Symptom (diese Nachrichten betrafen einen unrelated Bugfix, nicht Minecraft).
Der Reporter schließt zwei offensichtliche Erklärungen explizit aus: Lokale Log-Kreuzbestäubung (die JSONL ist pro Sitzung und per grep sauber), und eine Pygments-Lexer-Datei namens minecraft.py, die durch eine Tool-Ausgabe leakt (nur die Dateinamen-Zeichenkette erscheint, nie bricks oder temple).
Die fünf bestätigenden Berichte
Bis zum 2026-07-04 17:08 UTC beschreiben fünf öffentliche Kommentare zur Issue ähnliches Verhalten. Drei Beobachtungen verengen das Muster:
- @arbirk beschreibt eine einzelne Antwort, die eine fabrizierte « MCP servers need auth »-Notiz, einen
CLAUDE.md-Dump und falsche « Plan mode is active »-Anweisungen enthielt, die dem Agent sagen, er solle aufhören und Tools nutzen, die er nicht hat. Drei Schichten Out-of-Band-System-Anweisungen in derselben Antwort eines einzigen Nutzers. - Der Reporter meldet dasselbe Symptom auf Claude Mobile im selben Enterprise-Konto innerhalb von Stunden, mit dem gemeinsamen Faktor Sonnet 5 und « erste Antwort nach mehr als 5 Minuten (Cache-Miss) ». Cache-Miss + erster Turn ist die Prefix-Form, die am ehesten einen geteilten Inferenz-Cache stolpern lässt.
- noperaut.devs Juni-2026-Deep-Research-Writeup ist der frühere öffentliche Vorfall mit derselben Oberfläche: Deep-Research-Aufgabentitel leaken unrelated Inhalte (hebräische Kalligrafie-Lektionen, « Bananas: A Comprehensive History »). Anthropic sagte Gross, dass dies internes Scaffolding sei, das in die UI gerendert wird, wobei die vom Nutzer sichtbaren Fragmente von Anthropic verfasste Beispiel-Queries seien, nicht der Prompt eines anderen Nutzers.
Der architektonische Fit
Die Hypothese, die hält, ohne dass Anthropics Stack bewusst die Isolation verletzen müsste, ist KV-Cache-Wiederverwendung auf dem Inferenzpfad. Anthropic betreibt, wie jeder Frontier-Modellanbieter 2026, einen Prompt-Cache, um zu vermeiden, lange System-Prefixe für wiederkehrende Kunden neu zu berechnen. Der Cache-Schlüssel ist ein Hash der Prefix-Tokens plus der Tenant-Identifikator; eine Hash-Kollision unter Last (Sonnet 5 Cache-Miss + erster Turn, spezifisch) würde den cached Prefix eines anderen Tenants in das effektive Kontextfenster des Modells einblenden. Kein Codepfad muss « die Daten eines anderen Tenants lesen »; der KV-Cache gibt einfach die Aktivierungen des falschen Zustands zurück.
Dies ist nicht verifiziert. @yv3nnes Kommentar im Thread markiert dasselbe Muster; @noperator markiert es explizit. Anthropic hat nicht kommentiert, und Anthropics Cloud-Cache-Dokumentation ist konsistent mit Wiederverwendung, aber legt nicht fest, wie Cache-Lookups gegen Tenant-Grenzen in Shared-Cache-Szenarien abriegeln. Die Enterprise-ZDR-Position wie dokumentiert ist, dass Prompts nicht behalten werden; wenn ein KV-Cache-Eintrag von einem anderen Tenant auf einem Cache-Hit abgespielt wird, ist das für den Empfänger funktional ununterscheidbar von einem Retention-Ereignis.
Ein zweiter architektonischer Fit ist MCP-/CLAUDE.md-Injektion. Claude Code lädt MCP-Server-Konfigurationen und Projektinstruktionsdateien aus einem pfad-abgeleiteten Schlüssel. Der Reporter arbeitet in einem Startverzeichnis, das eine .claude/-Konfiguration für ein unrelated Projekt enthält; Pfad-Kollisionen auf dem codierten-cwd-Schlüssel würden exakt die Art von « falsche Anweisungen, unrelated Kontext »-Symptom erzeugen, die @arbirk beschreibt. Dies ist ein separater Fehlermodus, der innerhalb einer einzigen Tenant-Sitzung auftauchen würde, ohne irgendeine Tenant-Grenze zu überschreiten, aber sein vom Nutzer sichtbares Symptom ist dasselbe.
Warum das für die typescript.news-Leserschaft News ist
Claude Code ist das dominante KI-Coding-Tool für das TS/JS-Ökosystem 2026 (es ist der Default in Anthropics eigenen Docs, in Vercels Agent-Beispielen und in der Claude-2.x-Serie, die über Juni und Juli ausgeliefert wurde). Enterprise-ZDR-Kunden in unserer Leserschaft umfassen Teams, die proprietäre Buildchains, Monorepo-Geheimnisse und NDA-pflichtigen Vertragscode betreiben. Die Schlagzeilen-Signale sind für diese Zielgruppe relevant:
- Der Isolationstvertrag auf dem höchsten Tier ist der Teil, der eine Vendor-Stellungnahme braucht, nicht das Routine-API-Tier.
- Das Oberflächen-Symptom sind unrelated Prompts, keine PII, daher ist der schlimmste Fall « Ihre Sitzung bekam jemandes Cache-Prefix », was schlecht ist, aber nicht « Ihre Geheimnisse sind raus ».
- Die Release Notes für Claude Code 2.1.200 und 2.1.201 (veröffentlicht am 2026-07-03) listen keinen Cache-Isolation-Fix auf; was auch immer 2.1.200 geändert hat (der Default-Permission-Modus wechselte zu
manual, derAskUserQuestion-Dialog wird standardmäßig nicht mehr automatisch fortgesetzt, mehrere Daemon-Crash-Fixes) ist unverwandt. - Das schnellere Muster, das die Reporter beschreiben (Cache-Miss plus Antwort im ersten Turn) ist auch die häufigste Interaktionsform für KI-Coding-Workflows: Lange Sitzung, idle, wiederaufgenommen, erste neue Anfrage.
Was in der nächsten Woche zu beobachten ist
- Anthropics erster Engineering-Kommentar zu 74066. Sei es, dass er den Bug anerkennt, zusätzliche Telemetrie anfordert oder an eine Sicherheits-Disclosure-Adresse weiterleitet, wird er die meiste Spekulation verengen oder schließen. Zum 2026-07-05 05:00 UTC hat der Thread null Team-Engagement.
- Eine Release, die Cache-Isolation, MCP-Pfad-Bindung oder Tokenizer-Fingerprinting erwähnt. Der relevante Fix würde im Pfad-Grenze-Hashing von
turbodlanden, im Inferenz-Cache-Lookup oder in der Pre-Turn-Kontext-Assemblierung vonclaude-code. 2.1.200 und 2.1.201 listen keinen solchen Fix auf. - Ob Anthropic einen Security-Advisory oder GHSA für dieselbe Oberfläche herausgibt. Anthropic veröffentlicht GHSA-Einträge im claude-code-Repository für bestätigte Bugs (jüngste Einträge umfassen GHSA-7835-87q9-rgvv zu Sandbox-Escape via Git-Worktree-Pfad-Verwirrung). Wenn 74066 dieselbe Oberfläche ist, ist der GHSA-Pfad die öffentliche Bühne.
- Ein zweiter Cluster von Berichten von Nicht-Claude-Code-Oberflächen. Der Thread hat bereits Berichte für Claude Code, Claude Mobile und Claude Deep Research. Wenn dasselbe Symptom auf Claude.ai-Chat zu tauchen beginnt, ist der Engpass Inferenz-seitig, nicht Claude-Code-seitig.
- Ein Post-Mortem im Stil von Project Glasswing. Anthropics Playbook für KI-spezifische Sicherheitsfunde im Jahr 2026 ist ein Glasswing-artiger Writeup; so sehen die nächsten Tage aus, wenn der Bericht bestätigt wird.
Bis dahin ist die operative Bitte die langweilige: Keine Geheimnisse in eine Sonnet-5-Sitzung auf einem Pfad einfügen, der mit der .claude/-Konfiguration eines anderen Projekts kollidiert; auf Enterprise ZDR nicht annehmen, dass der Vertrag des Tiers durchsetzbar ist, bis Anthropic bestätigt, dass er es ist; und jeden Prompt-Fragment, den Sie nicht zuordnen können, als verdächtiges Cache-Kollisions-Ereignis behandeln, nicht als Halluzination zum Ignorieren.



