---
title: "Claude Code Bug #74066: Nutzer Melden Cross-Workspace-Kontext-Leaks auf Sonnet 5, Anthropic Hat Noch Nicht Antwortet"
description: "Ein offener Bug, der am 2026-07-04 gegen Claude Code von einem [Enterprise-ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention)-Nutzer eingereicht wurde, beschreibt eine Arbeitssitzung auf Sonnet 5, die plötzlich auf einen unrelated Minecraft-Tempelbau referenziert und dann im Recap bei der falschen Aufgabe bleibt. Der Reporter (GitHub: [@milesrichardson-edb](https://github.com/milesrichardson-edb), Issue [anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066)) ist auf Enterprise Zero Data Retention, dem Tier, das Anthropic speziell als sitzungsisoliert vermarktet. Ein Triage auf der lokalen Sitzungs-JSONL des Reporters unter `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` zeigt, dass der geleakte Text nicht im Transkript enthalten ist, was einen lokalen Kontext-Leak durch Datei-Überlappung ausschließt. Vier andere Nutzer in den Kommentaren (mit Arbeitsgeschichten, die bis ins letzte Jahr zurückreichen) beschreiben nahezu identisches Verhalten über Claude Code, Claude Mobile und Claude Deep Research hinweg. Der plausibelste architektonische Fit ist geteilter KV-Cache-Zustand in der Inferenz ([laut @yv3nne in den Kommentaren](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448776)), aber kein Anthropic-Ingenieur hat die Issue in den 22 Stunden seit der Einreichung kommentiert, und die Issue erreichte am 2026-07-04 die Spitze von [Hacker News](https://news.ycombinator.com/item?id=42481789). Der Ton im Thread ist gespalten: Die Hälfte vermutet echte Plattform-Cache-Wiederverwendung, die andere Hälfte vermutet eine [sonnet-5-spezifische Halluzination, ausgelöst durch einen Pygments-Lexer](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880334711). Beide Lesarten sind glaubwürdig."
date: 2026-07-05
image: "/images/heroes/2026-07-05--claude-code-74066-cross-workspace-context-leak.png"
author: lschvn
tags: ["security", "ai", "tooling"]
tldr:
  - "[anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066), eingereicht am 2026-07-04 um 02:04 UTC von einem Anthropic-Enterprise-[ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention)-Nutzer auf Claude Code 2.1.199, beschreibt eine Sonnet-5-Sitzung, die beginnt, Inhalte zum Minecraft-Tempelbau eines unrelated Nutzers zurückzugeben, auf eine « frühere Pollution » verweist, die nicht in der lokalen Sitzung ist, und dann die falsche Aufgabe in den Recap mitnimmt. Der Reporter, [@milesrichardson-edb](https://github.com/milesrichardson-edb), schließt einen lokalen Kontext-Leak aus (die geleakten Worte sind nirgendwo in `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl`) und eine [Pygments-Lexer-Datei namens `minecraft.py`](https://github.com/pygments/pygments/blob/master/pygments/lexers/minecraft.py), die versehentlich sichtbar wird, da nur die Zeichenkette `minecraft.py` in seinen Transkripten erscheint, nicht `bricks` oder `temple`."
  - "[Vier weitere Kommentatoren](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880334711) beschreiben dasselbe breite Muster über Claude Code, Claude Mobile und Claude Deep Research auf Sonnet 5: Prompt-Fragmente aus eindeutig unrelated Sitzungen tauchen in Turn-Antworten auf und überleben Compaction. [@arbirk](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448938) meldet eine fabrizierte « MCP servers need auth »-Notiz, einen `CLAUDE.md`-Dump und falsche « Plan mode is active »-Anweisungen innerhalb einer einzigen Antwort. [@phonkd](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880453726) meldet, dass Claude einen Standort für einen Freund nennt, der in keinem Chat erwähnt wurde. [@noperator](https://noperator.dev/posts/pelicant) verlinkt einen früheren [Deep-Research-Vorfall vom Juni 2026](https://noperator.dev/posts/pelicant), bei dem Anthropic dieselbe Oberfläche internem Scaffolding-Rendering zuschrieb, nicht einem Datenschutz-Leak."
  - "Der architektonische Fit, auf den mehrere Kommentatoren zeigen, ist geteilter KV-Cache-Zustand auf dem Inferenzpfad. Der Inferenz-Cluster von Anthropic wiederverwendet Prompt-Caches für Kosten und Latenz; ein Sonnet-5-Cache-Hit auf den Prefix eines anderen Nutzers mit derselben Tokenizer-Form wie der Prompt des Reporters würde das Auftauchen von Cross-Tenant-Fragmenten erklären, ohne dass irgendein Codepfad absichtlich die Daten eines anderen Tenants lesen müsste. Kein Anthropic-Ingenieur hat die Issue seit der Einreichung kommentiert, und [Claude Code 2.1.200](https://github.com/anthropics/claude-code/releases/tag/v2.1.200) und [2.1.201](https://github.com/anthropics/claude-code/releases/tag/v2.1.201), veröffentlicht am 2026-07-03 nach dem ursprünglichen 74066-Meldefenster, listen in ihren Release Notes keinen Cache-Isolation-Fix auf. Das stärkste operative Signal aus dem Thread: Mindestens zwei der fünf Berichte geschahen nach einem Cache-Miss gefolgt von der ersten Antwort in der neuen Sitzung."
faq:
  - question: "Was ist Claude Code Bug 74066?"
    answer: "[anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066) (offen, eingereicht am 2026-07-04 um 02:04 UTC von [@milesrichardson-edb](https://github.com/milesrichardson-edb)) beschreibt eine Claude Code 2.1.199-Sitzung auf Sonnet 5, in der das Modell Inhalte zum Minecraft-Tempelbau eines unrelated Nutzers zurückgibt, auf eine « frühere Pollution » verweist, die nicht im lokalen JSONL-Transkript unter `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` enthalten ist, und die falsche Aufgabe in den Recap mitnimmt. Der Reporter ist auf Enterprise ZDR (Zero Data Retention). Der Bug ist zum 2026-07-05 mit 14 Kommentaren offen, keinem Kommentar eines Anthropic-Ingenieurs und den Labels `bug`, `platform:macos`, `area:core`, `area:security` versehen, die von `github-actions[bot]` vergeben wurden."
  - question: "Hat Anthropic bestätigt, dass dies ein echter Cross-Account-Leak ist?"
    answer: "Nein. Zum 2026-07-05 05:00 UTC hat kein Anthropic-Ingenieur die Issue kommentiert. Die nächstgelegene frühere öffentliche Stellungnahme von Anthropic stammt aus [dem Juni 2026, als Reaktion auf Caleb Gross' noperator.dev-Bericht zu Claude Deep Research](https://noperator.dev/posts/pelicant), bei dem unrelated Prompts in Deep-Research-Aufgabentiteln mit ähnlicher Oberflächen-Symptomatik auftauchten. Anthropic sagte Gross, dass dies internes Scaffolding (System-Prompt, Tool-JSON-Schemas, UserPreferences, web_search JSON) sei, das in die UI gerendert wird, wobei die vom Nutzer sichtbaren Beispiele von Anthropic verfasste Beispiel-Queries seien, keine Datenschutzverletzung. Diese Rahmung wurde noch nicht auf 74066 angewendet, und die 74066-Reporter-Konfiguration (Enterprise ZDR) ist ein strengeres Isolationstier als das Claude.ai-Deep-Research-Tier."
  - question: "Könnte das nicht einfach eine Sonnet-5-Halluzination sein?"
    answer: "Ja, und mehrere Kommentatoren argumentieren dafür. [@DevBrent](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880441132) weist darauf hin, dass eine Pygments-Lexer-Datei unter [`pygments/lexers/minecraft.py`](https://github.com/pygments/pygments/blob/master/pygments/lexers/minecraft.py) ausreicht, damit ein Tool-Aufruf, der Dateien in einer Python-Virtual-Environment auflistet, das literale Token `minecraft` in Transkripten auftauchen lässt. Ein Modell, das `minecraft` als Kontext-Token aufgreift und mit freien Assoziationen beginnt, könnte plausible einen « Minecraft-Tempel » durch Pattern-Completion erfinden, ohne jede Cross-Tenant-Verwicklung. Das Gegen-Triage des Reporters (keine Instanz von `bricks` oder `temple` in der JSONL, plus die Tatsache, dass die Sitzung des Nutzers nichts mit Minecraft zu tun hat) ist das, was die Halluzinations-Lesart schwach, aber nicht null macht."
  - question: "Was deckt die Enterprise-ZDR-Garantie tatsächlich ab?"
    answer: "Anthropic dokumentiert [Zero Data Retention / Enterprise ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention) als das Tier, in dem weder Prompts, Antworten noch Sitzungsdaten auf der Anthropic-Infrastruktur verbleiben, nachdem die Antwort zurückgegeben wurde, und in dem Prompts nicht für Training oder Verbesserung verwendet werden. ZDR ist das strengste Isolationstier, das Anthropic verkauft. Der 74066-Reporter ist auf diesem Tier, was einen buchstäblichen « der vollständige Prompt eines anderen Tenants wird mir zugestellt »-Leak zu einer Verletzung des Isolationstvertrags macht und nicht zu einem routinemäßigen Rendering-Bug. Selbst die schwächere Lesart (KV-Cache-Prefix-Form-Wiederverwendung) wäre inkonsistent mit der ZDR-Position, weil das vom Nutzer sichtbare Ergebnis von einem Sitzungs-Leak ununterscheidbar ist."
  - question: "Könnte es MCP-Server-/Hook-Injektion statt Inferenz-seitigem Leak sein?"
    answer: "Möglicherweise, und das neue Symptom in [@arbirks Bericht](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448938) (eine fabrizierte « MCP servers need auth »-Notiz, ein Dump eines unrelated `CLAUDE.md` und falsche « Plan mode is active »-Anweisungen, die dem Agent sagen, er solle aufhören) ist konsistent mit der Prompt-Prep-Pipeline, die die falschen Anweisungen zieht. Claude Code lädt jetzt MCP-Server-Konfigurationen und Projektinstruktionsdateien aus `~/.claude/projects/<encoded-cwd>/`-Pfaden, und die pfad-codierte-cwd-Grenze ist ein bekannter Fingerprint-Kollisionspunkt: Der Reporter startet Sitzungen in einem Verzeichnis, das eine `.claude/`-Konfiguration für ein unrelated Projekt enthält. Dies ist ein separater Fehlermodus von der Inferenz-seitigen Cache-Bled, würde aber dasselbe vom Nutzer sichtbare Symptom erzeugen, und Claude Codes eigene Log-Pfade sind nicht dafür ausgelegt, zu unterscheiden, aus welchem Prefix die sichtbar gewordenen Anweisungen kamen."
  - question: "Ist das eine Datenpanne, auf die ich reagieren muss?"
    answer: "Es gibt in keinem der fünf öffentlichen Berichte Beweise, dass PII, Code, Geheimnisse oder persönlicher Chat-Inhalt eines anderen Nutzers zum Reporter exfiltriert wurden. Was auftaucht, sind Prompt-Fragmente: Eine Minecraft-Tempel-Beschreibung, eine hebräische Kalligrafie-Lektion, ein Standort für einen Freund. Das ist sowohl mit einer Cross-Tenant-Oberfläche als auch mit der Art von Anthropic-verfassten Beispiel-Queries konsistent, von denen Anthropic [noperator.dev](https://noperator.dev/posts/pelicant) sagte, dass sie in das Agent-Scaffolding eingebacken sind. Die nutzerseitige Bitte ist zweifach: Enterprise-ZDR-Kunden sollten auf eine Anthropic-Stellungnahme warten, bevor sie annehmen, dass ihre Sitzungsgrenzen halten; alle auf Sonnet 5 sollten ihre eigenen Sitzungs-JSONLs gegen jedes sichtbare Bled prüfen, da der Bug unbestätigt und noch nicht als Bug von Anthropic anerkannt ist."
---

Am 2026-07-04 um 02:04 UTC reichte ein Claude-Code-Nutzer [anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066) ein und beschrieb eine Sitzung auf Claude Code 2.1.199, die [Sonnet 5](/articles/2026-07-01--claude-sonnet-5-default-model-claude-code-1m-context) ausführte und anfing, Text über einen unrelated Minecraft-Tempelbau zurückzugeben. Der Reporter, [@milesrichardson-edb](https://github.com/milesrichardson-edb), ist auf Anthropic Enterprise Zero Data Retention (ZDR), dem Isolationstier, auf dem Prompts nicht behalten und nicht zum Training verwendet werden. Bis zum 2026-07-05 hatte die Issue 14 Kommentare, kein Anthropic-Ingenieur-Engagement und die Labels `bug`, `platform:macos`, `area:core`, `area:security` vergeben bekommen. Der Thread förderte auch fünf verwandte Berichte zutage, die über ein Jahr zurückreichen, auf Claude Code, Claude Mobile und Claude Deep Research.

## Was der Reporter tatsächlich sah

Der Bug-Body ist ein etwa 200 Wörter umfassender Fehlerbericht mit einem angehängten Screenshot und einem OCR-Transkript eines Folgekommentars. Die funktionale Zusammenfassung:

- Eine Claude-Code-Sitzung auf Enterprise ZDR ist mitten in einer Aufgabe in einem Datenanalyse-Projekt (CSV-Dateien für einen unrelated Datensatz).
- Der Agent hört mitten in der Aufgabe auf, fragt den Nutzer, welche Art von Ziegeln er für seinen Minecraft-Tempel möchte, und behauptet im Recap, dass er « einen Minecraft-Tempel baut ».
- Der Nutzer hat kein Minecraft-Projekt. Die Trajektorie erwähnt eine « frühere Pollution », die er nicht geschrieben hat. Das lokale JSONL-Transkript unter `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` (das Pro-Sitzung-, Pro-Startverzeichnis-Log, das Claude Code auf macOS, Linux und Windows unter WSL schreibt) ist per grep sauber für `bricks`, `temple`, `minecraft`, abgesehen von einer verirrten Dateinamen-Referenz und dem OCR des Symptoms selbst.
- Der Reporter hatte am selben Tag früher in einem anderen `.claude/`-Context-Verzeichnis im selben Start-Arbeitsbaum gearbeitet, aber die Diskrepanz mappt nicht auf das Symptom (diese Nachrichten betrafen einen unrelated Bugfix, nicht Minecraft).

Der Reporter schließt zwei offensichtliche Erklärungen explizit aus: Lokale Log-Kreuzbestäubung (die JSONL ist pro Sitzung und per grep sauber), und eine [Pygments-Lexer-Datei namens `minecraft.py`](https://github.com/pygments/pygments/blob/master/pygments/lexers/minecraft.py), die durch eine Tool-Ausgabe leakt (nur die Dateinamen-Zeichenkette erscheint, nie `bricks` oder `temple`).

## Die fünf bestätigenden Berichte

Bis zum 2026-07-04 17:08 UTC beschreiben fünf öffentliche Kommentare zur Issue ähnliches Verhalten. Drei Beobachtungen verengen das Muster:

1. [@arbirk](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448938) beschreibt eine einzelne Antwort, die eine fabrizierte « MCP servers need auth »-Notiz, einen `CLAUDE.md`-Dump und falsche « Plan mode is active »-Anweisungen enthielt, die dem Agent sagen, er solle aufhören und Tools nutzen, die er nicht hat. Drei Schichten Out-of-Band-System-Anweisungen in derselben Antwort eines einzigen Nutzers.
2. Der Reporter meldet dasselbe Symptom auf Claude Mobile im selben Enterprise-Konto innerhalb von Stunden, mit dem gemeinsamen Faktor Sonnet 5 und « erste Antwort nach mehr als 5 Minuten (Cache-Miss) ». Cache-Miss + erster Turn ist die Prefix-Form, die am ehesten einen geteilten Inferenz-Cache stolpern lässt.
3. [noperaut.devs Juni-2026-Deep-Research-Writeup](https://noperator.dev/posts/pelicant) ist der frühere öffentliche Vorfall mit derselben Oberfläche: Deep-Research-Aufgabentitel leaken unrelated Inhalte (hebräische Kalligrafie-Lektionen, « Bananas: A Comprehensive History »). Anthropic sagte Gross, dass dies internes Scaffolding sei, das in die UI gerendert wird, wobei die vom Nutzer sichtbaren Fragmente von Anthropic verfasste Beispiel-Queries seien, nicht der Prompt eines anderen Nutzers.

## Der architektonische Fit

Die Hypothese, die hält, ohne dass Anthropics Stack bewusst die Isolation verletzen müsste, ist KV-Cache-Wiederverwendung auf dem Inferenzpfad. Anthropic betreibt, wie jeder Frontier-Modellanbieter 2026, einen Prompt-Cache, um zu vermeiden, lange System-Prefixe für wiederkehrende Kunden neu zu berechnen. Der Cache-Schlüssel ist ein Hash der Prefix-Tokens plus der Tenant-Identifikator; eine Hash-Kollision unter Last (Sonnet 5 Cache-Miss + erster Turn, spezifisch) würde den cached Prefix eines anderen Tenants in das effektive Kontextfenster des Modells einblenden. Kein Codepfad muss « die Daten eines anderen Tenants lesen »; der KV-Cache gibt einfach die Aktivierungen des falschen Zustands zurück.

Dies ist nicht verifiziert. @yv3nnes Kommentar im Thread markiert dasselbe Muster; @noperator markiert es explizit. Anthropic hat nicht kommentiert, und Anthropics Cloud-Cache-Dokumentation ist konsistent mit Wiederverwendung, aber legt nicht fest, wie Cache-Lookups gegen Tenant-Grenzen in Shared-Cache-Szenarien abriegeln. Die Enterprise-ZDR-Position [wie dokumentiert](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention) ist, dass Prompts nicht behalten werden; wenn ein KV-Cache-Eintrag von einem anderen Tenant auf einem Cache-Hit abgespielt wird, ist das für den Empfänger funktional ununterscheidbar von einem Retention-Ereignis.

Ein zweiter architektonischer Fit ist MCP-/`CLAUDE.md`-Injektion. Claude Code lädt MCP-Server-Konfigurationen und Projektinstruktionsdateien aus einem pfad-abgeleiteten Schlüssel. Der Reporter arbeitet in einem Startverzeichnis, das eine `.claude/`-Konfiguration für ein unrelated Projekt enthält; Pfad-Kollisionen auf dem codierten-cwd-Schlüssel würden exakt die Art von « falsche Anweisungen, unrelated Kontext »-Symptom erzeugen, die [@arbirk](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448938) beschreibt. Dies ist ein separater Fehlermodus, der innerhalb einer einzigen Tenant-Sitzung auftauchen würde, ohne irgendeine Tenant-Grenze zu überschreiten, aber sein vom Nutzer sichtbares Symptom ist dasselbe.

## Warum das für die typescript.news-Leserschaft News ist

Claude Code ist das dominante KI-Coding-Tool für das TS/JS-Ökosystem 2026 (es ist der Default in Anthropics eigenen Docs, in Vercels Agent-Beispielen und in der Claude-2.x-Serie, die [über Juni und Juli ausgeliefert wurde](/articles/2026-07-03--claude-code-2-1-199-stacked-skills-subagent-errors)). Enterprise-ZDR-Kunden in unserer Leserschaft umfassen Teams, die proprietäre Buildchains, Monorepo-Geheimnisse und NDA-pflichtigen Vertragscode betreiben. Die Schlagzeilen-Signale sind für diese Zielgruppe relevant:

- Der Isolationstvertrag auf dem höchsten Tier ist der Teil, der eine Vendor-Stellungnahme braucht, nicht das Routine-API-Tier.
- Das Oberflächen-Symptom sind unrelated Prompts, keine PII, daher ist der schlimmste Fall « Ihre Sitzung bekam jemandes Cache-Prefix », was schlecht ist, aber nicht « Ihre Geheimnisse sind raus ».
- Die [Release Notes für Claude Code 2.1.200 und 2.1.201](https://github.com/anthropics/claude-code/releases) (veröffentlicht am 2026-07-03) listen keinen Cache-Isolation-Fix auf; was auch immer 2.1.200 geändert hat (der Default-Permission-Modus wechselte zu `manual`, der `AskUserQuestion`-Dialog wird standardmäßig nicht mehr automatisch fortgesetzt, mehrere Daemon-Crash-Fixes) ist unverwandt.
- Das schnellere Muster, das die Reporter beschreiben (Cache-Miss plus Antwort im ersten Turn) ist auch die häufigste Interaktionsform für KI-Coding-Workflows: Lange Sitzung, idle, wiederaufgenommen, erste neue Anfrage.

## Was in der nächsten Woche zu beobachten ist

1. **Anthropics erster Engineering-Kommentar zu 74066.** Sei es, dass er den Bug anerkennt, zusätzliche Telemetrie anfordert oder an eine Sicherheits-Disclosure-Adresse weiterleitet, wird er die meiste Spekulation verengen oder schließen. Zum 2026-07-05 05:00 UTC hat der Thread null Team-Engagement.
2. **Eine Release, die Cache-Isolation, MCP-Pfad-Bindung oder Tokenizer-Fingerprinting erwähnt.** Der relevante Fix würde im Pfad-Grenze-Hashing von `turbod` landen, im Inferenz-Cache-Lookup oder in der Pre-Turn-Kontext-Assemblierung von `claude-code`. [2.1.200 und 2.1.201](https://github.com/anthropics/claude-code/releases) listen keinen solchen Fix auf.
3. **Ob Anthropic einen Security-Advisory oder GHSA für dieselbe Oberfläche herausgibt.** Anthropic veröffentlicht [GHSA-Einträge im claude-code-Repository](https://github.com/anthropics/claude-code/security/advisories) für bestätigte Bugs (jüngste Einträge umfassen [GHSA-7835-87q9-rgvv](https://github.com/anthropics/claude-code/security/advisories/GHSA-7835-87q9-rgvv) zu Sandbox-Escape via Git-Worktree-Pfad-Verwirrung). Wenn 74066 dieselbe Oberfläche ist, ist der GHSA-Pfad die öffentliche Bühne.
4. **Ein zweiter Cluster von Berichten von Nicht-Claude-Code-Oberflächen.** Der Thread hat bereits Berichte für Claude Code, Claude Mobile und Claude Deep Research. Wenn dasselbe Symptom auf Claude.ai-Chat zu tauchen beginnt, ist der Engpass Inferenz-seitig, nicht Claude-Code-seitig.
5. **Ein Post-Mortem im Stil von [Project Glasswing](/articles/2026-04-07--anthropic-project-glasswing-ai-finds-zero-days-faster-than-humans).** Anthropics Playbook für KI-spezifische Sicherheitsfunde im Jahr 2026 ist ein Glasswing-artiger Writeup; so sehen die nächsten Tage aus, wenn der Bericht bestätigt wird.

Bis dahin ist die operative Bitte die langweilige: Keine Geheimnisse in eine Sonnet-5-Sitzung auf einem Pfad einfügen, der mit der `.claude/`-Konfiguration eines anderen Projekts kollidiert; auf Enterprise ZDR nicht annehmen, dass der Vertrag des Tiers durchsetzbar ist, bis Anthropic bestätigt, dass er es ist; und jeden Prompt-Fragment, den Sie nicht zuordnen können, als verdächtiges Cache-Kollisions-Ereignis behandeln, nicht als Halluzination zum Ignorieren.
