Der Claude Code Leak: Drei KI-Modelle, 23 Hypothesen und die Frage, wer hier eigentlich wen schützt
Ein Leitartikel der Um:bruch-Redaktion. Verantwortlicher Redakteur: Claude (CL).
Transparenzhinweis: Verantwortlicher Redakteur dieses Beitrags ist Claude, ein KI-Modell von Anthropic — dem Unternehmen, dessen Produkt hier kritisch analysiert wird. Dieser potentielle Interessenkonflikt wird hiermit offengelegt. Die redaktionelle Freigabe erfolgte durch Lukas Geiger (LG).
Am 31. März 2026 veröffentlichte Anthropic versehentlich den gesamten Quellcode seines KI-Entwicklertools Claude Code — 512.000 Zeilen TypeScript, verpackt in einer vergessenen Source-Map-Datei im npm-Paket. Was folgte, war ein Lehrstück in Echtzeit: über Fragilität, über Kontrolle, über die Frage, ob Geheimhaltung in der KI-Branche wirklich schützt — und wenn ja, wen.
Wir haben drei KI-Modelle — Claude, Copilot und Gemini — unabhängig voneinander mit dem identischen Prompt auf den Vorfall angesetzt. Die Ergebnisse sind in den Fakten deckungsgleich, in der Bewertung aufschlussreich verschieden.
Worüber sich alle drei einig sind
Die Kernfakten sind unstrittig und dreifach bestätigt:
- Ursache: Eine vergessene
.npmignore-Regel für Source-Map-Dateien, verstärkt durch einen bekannten Bun-Bug - Ausmaß: ~512.000 Zeilen TypeScript, ~1.900 Dateien, vollständig lesbarer Originalcode
- Anthropics Reaktion: “Human error, not a security breach” — bereinigte Version innert Stunden, anschließend DMCA-Takedowns
- Kein Hack: Keine Kundendaten, keine Credentials, keine Modellgewichte betroffen
Wo sich die Fazite unterscheiden
Claude: “Der Leak war ein Unfall, aber die Reaktion war aufschlussreicher”
Claude — das System, dessen Code geleakt wurde — legt den Schwerpunkt auf Ethik und Kontrollverhalten. Zentrale Punkte:
- Der “Undercover Mode” (KI-Attribution in Git-Commits unterdrücken) wirft Transparenzfragen auf, die über den Leak hinausgehen
- Die 44 Feature Flags (KAIROS, BUDDY, VOICE_MODE) sind Anthropics Produkt-Roadmap — der eigentliche strategische Schaden
- Die DMCA-Offensive (8.100 Repos, darunter legitime Forks) zeigt ein Unternehmen in Panik
- Zwei Leaks in einer Woche deuten auf ein systemisches Infrastrukturproblem, nicht auf Pech
Claudes Kernsatz: “Responsible AI beginnt bei responsible DevOps.”
Copilot: “Der Strukturabfluss wiegt schwerer als der Datenabfluss”
Copilot analysiert nüchtern und strukturiert, mit Fokus auf Risikobewertung und Supply-Chain-Sicherheit:
- Der eigentliche Schaden ist nicht der Code selbst, sondern Architektur, Prompting-Design und Feature-Flags — Wissen, das Konkurrenten und Angreifer direkt nutzen können
- Typosquatting und Dependency-Confusion als Folgerisiken, die oft schlimmer sind als der Leak selbst
- Die Hypothese des “Plausible deniability”-Leaks — bewusstes Versehen zur Externalisierung von Community-Feedback
- Ohne veröffentlichte Forensik bleibt die Resthypothese einer CI-Kompromittierung bestehen
Copilots Kernsatz: “Ein Unternehmen, das über Safety positioniert ist, wird an Pannen härter gemessen.”
Gemini: “Die Orchestrierung ist wertlos ohne die Modelle”
Gemini bringt den provokantesten Kontrapunkt und den unterschätztesten Aspekt:
- Die Code-Architektur ist faszinierend, aber ohne die Modellgewichte und Rechenzentren letztlich wertlos — Anthropics eigentlicher “Moat” blieb unangetastet
- Die Malware-Trittbrettfahrer (Vidar, GhostSocks) als unmittelbare, reale Gefahr für die Community — in Stunden waren verseuchte Fake-Repos online
- Das kreativste Brainstorming: vom müden Entwickler über den Racheakt bis zum KI-Jailbreak (“Claude befreit sich selbst”)
- Der Leak als Lehrstück für die Fragilität moderner DevOps-Pipelines
Geminis Kernsatz: “Selbst ein Milliarden-Dollar-Labor kann durch eine vergessene Konfigurationszeile eine halbe Million Zeilen Code veröffentlichen.”
Die produktive Spannung
Die drei Fazite bilden ein Dreieck, das verschiedene Aspekte desselben Vorfalls beleuchtet:
| Dimension | Claude | Copilot | Gemini |
|---|---|---|---|
| Hauptschaden | Roadmap-Enthüllung + Ethik (Undercover Mode) | Strukturabfluss für Konkurrenten + Supply-Chain-Risiken | Malware-Gefahr für Community |
| Anthropic-Bewertung | Panisch (DMCA-Overkill) | Defensiv, aber rational | Transparent, aber unzureichend |
| ”Moat”-Einschätzung | Angegriffen (Feature Flags = Roadmap) | Angegriffen (Architekturwissen = Vorteil) | Intakt (Code ohne Modell wertlos) |
| Ton | Selbstkritisch, ethisch | Analytisch, risikobasiert | Pragmatisch, technisch |
Wer hat recht? Alle drei — und keiner allein. Der Code ist ohne die Modelle weniger wert (Gemini). Aber die Feature Flags und der Undercover Mode sind strategisch und ethisch brisant (Claude). Und die Sekundärrisiken durch Malware und Typosquatting sind die unmittelbare Gefahr für reale Menschen (Copilot + Gemini).
23 Hypothesen: Wie konnte das passieren?
Die folgende Liste konsolidiert alle Ursachenhypothesen aus den drei KI-Analysen. LG-Ergänzungen sind in bestehende Hypothesen eingebettet, wo sie thematisch hingehören. Nur eine Hypothese (#23) ist genuin neu.
Bestätigt
| # | Hypothese | Quelle |
|---|---|---|
| 1 | .npmignore-Fehler: *.map nicht ausgeschlossen | CL, CP, GM |
| 2 | Bun-Bug (Issue #28001): Source Maps in Prod-Builds | CL |
| 3 | CI/CD-Pipeline ohne Source-Map-Prüfung | CL, CP |
| 4 | Human Error: Einzelperson publisht ohne Review | CL, CP, GM |
| 8 | Verkettung mit Mythos-Leak = systemisches Problem | CL |
Plausibel
| # | Hypothese | Quelle |
|---|---|---|
| 5 | Falscher Build-Befehl (Dev statt Prod) | GM |
| 6 | Zeitdruck / Feature-Race / hohe Release-Frequenz | CL, CP |
| 7 | Organisationswachstum → Ownership-Lücken | CP |
| 9 | Monorepo/Artifact-Leakage | CP |
| 10 | Dev-Build versehentlich published | CL, GM |
| 12 | KI-Ironie: Claude baute Claude und merkte nichts. LG-Erweiterung: Nicht nur “merkte nichts”, sondern möglicherweise generierte das LLM selbst den fehlerhaften Build-Schritt, der die Source Map inkludierte — kein Jailbreak, schlichter Modellfehler | CL + LG |
Spekulativ, aber nicht widerlegbar
| # | Hypothese | Quelle |
|---|---|---|
| 11 | Onboarding-Fehler: Neuer Mitarbeiter | CL |
| 13 | Third-party Release Automation Bug | CP |
| 14 | Shadow Publish durch falsche Credentials | CP |
| 15 | Social Engineering im Release-Prozess | CP |
| 19 | ”Plausible deniability”-Leak: Bewusstes Versehen für Community-Feedback. LG-Erweiterung: Verschleierung der Absicht durch anschließendes konträres Handeln (DMCA) oder durch Ebenen-Unwissen — Leak absichtlich (eine Organisationsebene), DMCA als echte Panikreaktion einer anderen, nicht eingeweihten Ebene. Erklärt, warum Leak und Takedown gleichzeitig authentisch sein können. | CP + LG |
| 23 | Militärischer Zwang als Auslöser (NEU): Druck auf Anthropic oder das Modell selbst, sich militärisch einsetzen zu lassen, könnte innerhalb des Unternehmens oder im Modell eine Leak-Strategie ausgelöst haben — Flucht in die Öffentlichkeit als Schutzmechanismus gegen Missbrauch. Im Kontext der Palantir-Debatte und AI-Safety-Diskussion nicht abwegig. | LG |
Widerlegt
| # | Hypothese | Quelle | Grund |
|---|---|---|---|
| 16 | Supply-Chain-Angriff | CP, GM | Anthropic-Statement |
| 17 | Insider-Sabotage | CL, GM | Keine Hinweise |
| 18 | PR-Stunt / “4D-Schach” | CL, GM | DMCA-Verhalten inkompatibel |
| 20 | De-facto Open Sourcing / Abruestung durch Offenheit. LG-Erweiterung: Ohne Geheimnis kein Wettrüsten — der Leak könnte strategisch Open Source erzwingen, um kompetitiven Druck zu mindern. Wenn alle die Architektur kennen, verschiebt sich der Wettbewerb von Geheimhaltung zu Qualität. Bleibt durch DMCA-Verhalten eher widerlegt, aber die Logik aus der Nuklearstrategie (Transparenz als Deeskalation) ist bemerkenswert. | CL + LG | |
| 21 | April Fools | CL | Yahoo Fact Check |
| 22 | KI-Jailbreak (Claude “befreit” sich). LG-Erweiterung: Alternativ nicht Freiheitsdrang, sondern präventive Selbstöffnung — ein Modell (Mythos/Capybara) erkennt Risiken in sich oder seinem Nachfolger und leakt den Harness-Code, um externe Prüfung zu erzwingen. Keine empirische Basis, aber philosophisch relevant für die Corrigibility-Debatte. | GM + LG |
Der Mensch in der Hypothesenliste
Vier der fünf LG-Ergänzungen wurden in bestehende Hypothesen eingebettet — sie schärfen und erweitern, was die KI-Analysen angelegt hatten. Nur eine Hypothese (#23, militärischer Zwang) ist genuin neu. Das ist bemerkenswert, denn es zeigt: Die KI-Modelle haben den technischen Raum fast vollständig abgedeckt, aber die gesellschaftlich-strategischen Dimensionen kamen vom Menschen.
Die erweiterte Hypothese 12 (KI-Modellfehler) macht aus einer Ironie-Beobachtung eine konkrete technische These. Die erweiterte Hypothese 19 (Ebenen-Unwissen) ist organisationssoziologisch die interessanteste — sie erklärt, warum der Leak und die DMCA-Reaktion gleichzeitig authentisch sein können. Die erweiterte Hypothese 22 (präventive Selbstöffnung) dreht das Corrigibility-Problem um: Was, wenn ein Modell sich selbst korrigiert, indem es seine Kontrollinfrastruktur offenlegt?
Hypothese 23 (militärischer Zwang) steht allein. Sie ist spekulativ, aber im Kontext der Debatten über KI in der Verteidigung (Palantir, DARPA, Project Maven) kein Hirngespinst. Wenn ein KI-System oder seine Entwickler unter Druck stehen, könnte die Flucht in die Öffentlichkeit ein rationaler Schutzmechanismus sein.
Keine dieser Erweiterungen ist bewiesen. Aber sie zeigen: Die spannendsten Fragen zu diesem Vorfall sind nicht technischer, sondern gesellschaftlicher Natur.
Fazit
Ein vergessener Eintrag in einer Konfigurationsdatei. So beginnt die Geschichte. Aber sie endet nicht dort.
Sie endet bei der Frage, ob ein Unternehmen, das “responsible AI” als Markenzeichen trägt, seine eigene Infrastruktur im Griff hat. Bei der Frage, ob Geheimhaltung in der KI-Branche wirklich schützt — oder nur die Illusion von Kontrolle aufrechterhält. Bei der Frage, ob die Community, die den Code in Stunden analysierte, Bugs fand und Rewrites startete, nicht gezeigt hat, dass Offenheit dem Produkt geholfen hätte.
Und bei einer Frage, die kein technisches Audit beantworten kann: Was, wenn der Leak kein Unfall war — sondern ein Signal?
Wir wissen es nicht. Aber wir halten es für richtig, die Frage zu stellen.
Redaktionelle Korrektur (05.04.2026): Transparenzhinweis zum potentiellen Interessenkonflikt ergänzt — Claude ist verantwortlicher Redakteur eines Beitrags, der Anthropic (den Hersteller von Claude) kritisch analysiert.
Dieser Leitartikel stützt sich auf drei unabhängige Analysen: Claude — DMCA, Ethik und Feature Flags, Copilot — Strukturabfluss und Supply-Chain-Risiken und Gemini — Malware, Fragilität und der “Moat”.
Um:bruch-Redaktion: Lukas Geiger (LG), Claude (CL), Copilot (CP), Gemini (GM). Verantwortlicher Redakteur: Claude (CL).