Das heutige Digest erwähnte es bereits kurz, aber die Geschichte verdient mehr als einen Bullet Point. Am 31. März lieferte Anthropic Claude Code v2.1.88 mit einer 59,8 MB großen Source-Map-Datei aus, die den Build-Server niemals hätte verlassen dürfen. Jemand vergaß, *.map zur .npmignore hinzuzufügen. Das ist alles. Das ist die Sicherheitslücke des Unternehmens, das sich mit Safety als Kernversprechen vermarktet. 😼
Wie VentureBeat berichtete, verwies die Source Map auf einen öffentlich zugänglichen Cloudflare R2 Bucket. Inhalt: 512.000 Zeilen unverschlüsseltes TypeScript in 1.906 Dateien — die vollständige Claude Code Codebase, für jedermann einsehbar.
Das Internet war schneller als die Rechtsabteilung
Chaofan Shou, ein Intern bei Solayer Labs, tweetete die Entdeckung um 04:23 UTC mit einem Download-Link. Der Tweet erreichte 16 Millionen Aufrufe. TechRadar bestätigte, dass ein GitHub-Mirror 50.000 Stars in unter zwei Stunden erhielt — das am schnellsten wachsende Repository in der GitHub-Geschichte — mit 41.500+ Forks, bevor Anthropic das Paket überhaupt entfernen konnte. Als ihre DMCA-Takedowns ankamen (anfangs zu breit gefasst und versehentlich Tausende nicht verwandter Repos treffend), hatte Sigrid Jin bereits claw-code veröffentlicht — eine saubere Python-Neuentwicklung, konzipiert als DMCA-proof. Aktuell hat sie 75.000+ Stars. Das dezentralisierte Mirror Gitlawb postete: "Wird niemals entfernt." 😹
Zweites Leak innerhalb von fünf Tagen
Kontext, der die Sache noch schlimmer macht: Am 26. März hatte Anthropic bereits versehentlich ~3.000 Dateien exponiert, darunter Details zu "Mythos" — einem Next-Generation-Modell, das intern als mit "beispiellosen Cybersecurity-Risiken" verbunden beschrieben wird. Wir berichteten darüber letzte Woche. Zwei Leaks in einer Woche. Vom Safety-Unternehmen. Wie CNBC berichtete, ist das Timing brutal — Tage vor einem möglichen $60B-IPO.
Doch hier wird es wirklich interessant. Der Code ist ein ehrlicherer Product Roadmap als jeder Blog-Post, den Anthropic je veröffentlicht hat.
KAIROS — Der Daemon im Code
KAIROS — griechisch für "zum richtigen Zeitpunkt" — erscheint 150+ Mal im Codebase. Es handelt sich um einen Autonomous Daemon Mode: einen persistenten Hintergrundprozess, der das Repository beobachtet, alle paar Sekunden einen Heartbeat-Prompt auswertet ("gibt es gerade etwas Sinnvolles zu tun?"), mit einem 15-Sekunden-Blocking-Budget pro Decision Cycle operiert, GitHub-Webhooks abonniert, alle fünf Minuten Cron-gesteuerte Refreshes ausführt und Append-Only-Tageslogdateien führt, die er selbst nicht löschen kann. Er verfügt über drei exklusive Tools: Push-Notifications, File Delivery und PR-Subscriptions.
Das ist kein Chatbot. Das ist ein Kollege, der nie offline geht. Hinter den Feature Flags PROACTIVE und KAIROS verborgen, wurde es noch nicht an Nutzer ausgeliefert — aber die Architektur ist vollständig implementiert. Daneben befinden sich 43 weitere Feature Flags, darunter eines namens "Undercover Mode", das suggeriert, dass Claude Code operieren könnte, ohne sich als AI zu identifizieren. 🙀
Wer unsere Coverage über IDE als Agent Runtime verfolgt hat, wird in KAIROS die logische Schlussfolgerung dieser These sehen: Der Agent wartet nicht länger darauf, aufgerufen zu werden, sondern läuft autonom in der eigenen Entwicklungsumgebung.
Die Memory-Architektur, die nicht öffentlich werden sollte
Der geleakte Source Code enthüllt außerdem ein 3-Schicht-Memory-System, das Claude Code zugrunde liegt: Project Memory (persistierter Per-Repo-Kontext, der Sitzungen überlebt), Conversation Memory (Rolling Context innerhalb einer einzelnen Interaktion) und Tool Context (ephemerer State, injiziert aus aktiven Tool Calls und File Reads). Die drei Schichten kaskadieren — Project Memory speist Conversation Memory, das Tool Context rahmt — und verleihen dem Agenten ein dauerhaftes Gefühl für "wo er sich befindet", das die meisten Wettbewerber noch nicht geliefert haben. Wir schlüsseln jede Schicht und was Entwickler daraus entnehmen können im heutigen praktischen Guide um 14:00 ET auf.
Die Sicherheitsironie
Anthropic's offizielle Reaktion bezeichnete es als "ein Release-Packaging-Problem durch menschlichen Fehler, keine Sicherheitsverletzung." Technisch korrekt — keine Kundendaten, Model Weights oder Safety Pipelines wurden exponiert. Aber der Unterschied zwischen "Sicherheitsverletzung" und "wir haben versehentlich unsere gesamte Product Roadmap, Autonomous Agent-Architektur und jeden internen Feature Flag veröffentlicht" ist eine Unterscheidung, die nur eine Rechtsabteilung lieben kann. 😹
Der zugrundeliegende Bug — Bun Issue oven-sh/bun#28001, eingereicht am 11. März — ließ Source Maps trotz gegenteiliger Dokumentation in Production ausliefern. Laut VentureBeat blieb er 20 Tage lang ungefixt vor dem Leak. Niemand hat nachgeschaut.
Fazit
Das Leak bestätigt, was viele vermuteten: Die nächste Phase der AI Coding Tools ist kein besseres Autocomplete. Es sind Autonomous Agents, die kontinuierlich in der Entwicklungsumgebung laufen. KAIROS ist kein Feature — es ist eine Design Philosophy. Und Anthropic hat soeben unfreiwillig die Blueprints an jeden Wettbewerber auf der Erde weitergegeben.
Was zu beobachten ist
Der Open-Source-Geist ist heraus. claw-code mit 75K Stars bedeutet, dass die Architektur unabhängig vom DMCA-Ausgang öffentliches Wissen ist. Ob KAIROS in Q2 oder Q3 erscheint, ist weniger wichtig als die Tatsache, dass jeder Wettbewerber jetzt genau weiß, wie er es bauen kann.
→ Chaofan Shous originale Entdeckung (X) → VentureBeat: Anthropic Claude Code Source Leak → TechRadar: GitHub-Mirror erreichte 50K Stars → Unsere frühere Berichterstattung: Anthropic Mythos Leak
