Was ist diesmal bei Claude Code wirklich geleakt?

31. März 2026 · 6 Minuten Lesezeit

Die Aussage "Claude Code source code leaked" klang zunächst nach einer üblichen Social-Media-Übertreibung.

Wenn man sich die Community-Belege genauer ansieht, muss diese Skepsis aber korrigiert werden.

Diesmal geht es nicht nur um extrahierte Prompts oder ein vages Gerücht. Die glaubwürdigere Behauptung lautet: Eine im Claude-Code-npm-Paket ausgelieferte Source Map legte einen Pfad zu internen Quelldateien offen, und die Community nutzte das, um eine deutlich größere Codebasis zu rekonstruieren als im öffentlichen Repository sichtbar war.

Das ist wesentlich näher an einem echten Source Leak als an üblicher Netz-Übertreibung.

Die Kernbehauptung

Die Community fasst den Vorwurf im Wesentlichen so zusammen:

Ein veröffentlichtes Claude-Code-npm-Paket enthielt eine JavaScript-Source-Map.
Diese Source Map zeigte auf interne TypeScript-Quellorte.
Diese Quellen konnten abgegriffen und rekonstruiert werden.
Das Ergebnis wurde anschließend in dekompilierter oder rekonstruierter Form auf GitHub veröffentlicht.

Wenn diese Kette stimmt, dann ist das nicht bloß "Prompt Leakage" oder "jemand hat den System Prompt erraten".

Es ist ein Packaging-Fehler mit Quellcode-Folgen.

Warum die Community das für real hält

Drei öffentliche Artefakte sind hier relevant.

1. Der Reddit-Thread

Am 30. März 2026 behauptete ein Post in r/ClaudeAI, Claude-Code-Source sei "über eine .map-Datei auf NPM" geleakt worden.

Dieser Mechanismus ist wichtig, weil Source Maps ein bekannter Failure Mode sind:

sie können originale Dateistrukturen offenlegen
sie können unverschleierte Identifier offenlegen
und je nach Build- und Hosting-Setup sogar auf ursprüngliche Source-Payloads zurückverweisen

Das ist bereits deutlich konkreter als das übliche "jemand hat internen Code geleakt"-Gerücht.

2. Fried Rice' X-Post

Der X-Thread, auf den sich die Community bezieht, ergänzt eine detailliertere Version:

das npm-Paket von Claude Code habe eine Source Map mit ausgeliefert
diese Map habe auf ein ZIP-Archiv in von Anthropic verwaltetem Storage verwiesen
dieses Archiv habe einen viel größeren internen Source Tree enthalten als zuvor öffentlich sichtbar

Auch wenn einzelne Details noch durch die Community rekonstruiert werden, ist der behauptete Mechanismus schlüssig.

3. Das Repository `instructkr/claude-code`

Das stärkste öffentliche Artefakt ist das GitHub-Repo:

https://github.com/instructkr/claude-code

Dieses Repo beschreibt sich explizit als Rekonstruktion von Claude Code aus geleakten Source Maps und behauptet unter anderem:

das ursprüngliche npm-Paket habe nur einen kleinen Satz gepackter Dateien gezeigt
der wiederhergestellte Source Tree sei wesentlich größer
tausende Dateien seien rekonstruiert worden
der Leak habe interne Implementierungsdetails, Prompts und Feature-Arbeit offengelegt

Das beweist nicht automatisch, dass jede Zeile im Repo perfekt oder vollständig ist. Aber es ist weit mehr als ein loses Gerücht.

Warum das etwas anderes ist als die ältere Prompt-Leak-Geschichte

Frühere Claude-Code-Kontroversen drehten sich oft um:

extrahierte System Prompts
Tool Schemas
Behavior Instructions
öffentliches Reverse Engineering von Agent-Logik

Das war bereits relevant, aber nicht dasselbe wie echter Source-Verlust.

Diesmal ist der behauptete Failure Mode ein anderer:

nicht nur Prompt Extraction
nicht nur Public-Repo-Inspection
nicht nur ein CMS-Draft-Exposure
sondern ein ausgeliefertes Build-Artefakt, das offenbar Code-Rekonstruktion ermöglicht hat

Das ist der entscheidende Unterschied.

Wenn die Rekonstruktion der Community weitgehend zutrifft, dann ist das nicht nur "Menschen haben besser verstanden, wie Claude Code sich verhält". Es ist "Menschen haben viel mehr davon erhalten, wie Claude Code tatsächlich gebaut ist".

Was wahrscheinlich passiert ist

Auf Basis der öffentlichen Community-Belege sieht die plausibelste Kette ungefähr so aus:

Anthropic veröffentlichte ein Claude-Code-Paket auf npm.
Dieses Paket enthielt eine Source Map, die so nicht hätte ausgeliefert werden dürfen.
Die Map legte ursprüngliche Source-Informationen offen oder referenzierte sie.
Community-Forscher folgten dieser Spur und rekonstruierten internen Code.
Der rekonstruierte Code verbreitete sich anschließend über GitHub und soziale Medien.

Damit ist das eher ein Packaging- und Release-Pipeline-Fehler als ein bloßer "jemand hat Prompts gepostet"-Vorfall.

Warum das für Entwickler wichtig ist

Die praktische Lehre ist hart, aber sehr vertraut:

Source Maps sind Teil eurer Release Surface.

Teams behandeln sie oft als harmlose Debug-Rückstände. Harmlos sind sie nicht, wenn sie:

originale Pfad-Metadaten bewahren
lesbare Symbolnamen bewahren
auf privaten Artifact-Storage verweisen
oder genug Struktur offenlegen, um internen Source nachzubauen

Bei AI-Produkten ist das Risiko noch größer, weil ein Leak mehrere Ebenen auf einmal offenlegen kann:

Code
Prompts
Tool Contracts
Feature Flags
Safety Controls
unreleased Product Work

Genau deshalb ist diese Geschichte gravierender als ein normaler "Assistant Prompt leaked"-Post.

Was das nicht bedeutet

Selbst wenn die Source-Leak-These im Kern stimmt, sollte man sie nicht überdehnen.

Es bedeutet nicht automatisch:

dass Anthropics Modellgewichte geleakt sind
dass jeder interne Service geleakt ist
dass jedes Claude-Produkt geleakt ist
oder dass das rekonstruierte Repo ein perfekter kanonischer Source Tree ist

Es scheint aber etwas Ernstes zu bedeuten:

ein produktiv verteiltes Artefakt hat genug Information preisgegeben, damit Außenstehende große Teile von Claude Code rekonstruieren konnten

Nach normalen Software-Sicherheitsmaßstäben ist das bereits gravierend.

Die bessere Security-Lehre

Die eigentliche Lehre ist nicht "AI-Unternehmen sind einzigartig fragil".

Sie ist viel banaler:

Build Pipelines leaken.
Debug-Artefakte sind Produktionsartefakte, wenn ihr sie shippt.
Interne Storage-Referenzen werden öffentlich, sobald euer Paket-Metadata sie offenlegt.
In AI-Tooling liegen Prompts und Code inzwischen so nah beieinander, dass ein Packaging-Fehler beides offenlegen kann.

Deshalb verdient Release Engineering genauso viel Aufmerksamkeit wie Model-Safety-Branding.

Fazit

Nach Sichtung des Reddit-Threads, der X-Diskussion und des rekonstruierten GitHub-Repos ist die stärkere Schlussfolgerung:

Die Claude-Code-"Source-Leak"-Geschichte wirkt diesmal substanziell real, und der Source-Map-Winkel ist der Hauptgrund dafür.

Es geht nicht einfach darum, dass jemand Prompts erraten oder öffentlichen Code überinterpretiert hat.

Die wichtigere Behauptung ist, dass Anthropic offenbar ein Build-Artefakt über npm ausgeliefert hat, das genug Source-Level-Information preisgab, damit die Community große Teile von Claude Code rekonstruieren konnte.

Wenn das die tatsächliche Kette ist, dann ist das nicht bloß eine AI-Drama-Story.

Es ist ein Release-Engineering-Fehler mit sehr gewöhnlichen Ursachen und sehr ungewöhnlichen Folgen.

Sources (checked March 31, 2026)

Reddit discussion: Claude Code source code has been leaked via a map file on NPM
https://www.reddit.com/r/ClaudeAI/comments/1s8ifm6/claude_code_source_code_has_been_leaked_via_a_map/
Fried Rice X thread referenced by the community
https://x.com/Fried_rice/status/2038894956459290963
Community reconstruction repository
https://github.com/instructkr/claude-code
Official public Claude Code repository for contrast
https://github.com/anthropics/claude-code

Die Kernbehauptung​

Warum die Community das für real hält​

1. Der Reddit-Thread​

2. Fried Rice' X-Post​

3. Das Repository instructkr/claude-code​

Warum das etwas anderes ist als die ältere Prompt-Leak-Geschichte​

Was wahrscheinlich passiert ist​

Warum das für Entwickler wichtig ist​

Was das nicht bedeutet​

Die bessere Security-Lehre​

Fazit​

Sources (checked March 31, 2026)​