Anthropic veröffentlicht aus Versehen Quellcode von Claude Code: Sicherheitsimage beschädigt

Kurzfassung

Das KI-Unternehmen Anthropic gab Ende März 2026 versehentlich den Quellcode seines KI-Agenten Claude Code frei. Grund war eine Verkettung von zwei Bedienfehlern: Eine interne Datei mit Verweis auf den ungeschützten Quellcode-Server wurde in einem öffentlichen Update mitveröffentlicht. Der Code verbreitete sich trotz Urheberrechtsklagen viral im Internet, über 100.000 Entwickler erstellten bereits eigene Versionen. Claude Code ist Anthropics Kernprodukt für automatisierte Programmierung und soll 2026 etwa 2,5 Milliarden Dollar Umsatz generieren.

Personen

• Dario Amodei (Mitgründer und CEO Anthropic)
• Florian Tramèr (Professor für Informatik, ETH Zürich)
• Peter Steinberger (ehemaliger Anthropic-Entwickler, jetzt OpenAI)

Themen

• KI-Sicherheit und Datenschutz
• Unternehmenssicherheitskultur
• Quellcode-Leaks und Urheberrecht
• Geopolitische Spannungen (USA-China, Pentagon-Anthropic)

Clarus Lead

Der Leak trifft Anthropic im ungünstigsten Moment: Das Unternehmen positioniert sich als Vorreiter verantwortungsvoller KI-Sicherheit und argumentiert damit gegen Konkurrenten wie OpenAI. Gleichzeitig verschärft sich der Konflikt mit der Trump-Regierung über autonome Waffen – eine Regierungsentscheidung deklarierte Anthropic als Lieferkettenrisiko. Die Serie von Sicherheitspannen (auch 3.000 ungeschützte Dokumente bei Fortune-Recherche) untergräbt die Glaubwürdigkeit dieser Sicherheitsbotschaft und könnte langfristig Geschäftspartnerschaften gefährden, obwohl die Nutzer-Abhängigkeit von Claude Code zunächst stabil bleibt.

Detaillierte Zusammenfassung

Der Fehler folgte aus mangelnden Release-Prozessen: Bei einem Update in der Nacht zum 31. März enthielt das öffentliche Dateienpaket eine Konfigurationsdatei, die normalerweise intern bleiben sollte. Diese verwies auf einen zweiten kritischen Fehler – eine passwortlose Server-Ablage mit dem vollständigen Claude-Code-Quellcode. Das geleckte Material offenbarte das sogenannte «Harness» von Claude Code: die Orchestrierungssoftware, die KI-Modelle steuert, Dateien verwaltet und Teilaufgaben verteilt.

Florian Tramèr von der ETH Zürich diagnostiziert eine «lückenhafte Sicherheitskultur» typisch für schnellwüchsige Silicon-Valley-Startups. Der Leak offenbarte auch neue ungekürzte Funktionen: autonomere KI-Agenten mit automatischen Hintergrund-Routinen und erweiterten Zugriffsbefugnissen auf Nutzerdaten. Dies ähnelt Technologien von Peter Steinberger (ehemals Anthropic, jetzt OpenAI) und erhöht Datenleck-Risiken. Claude Code sammelt bereits erhebliche Datenmengen: Private Abos speichern 30 Tage, mit Trainings-Einwilligung bis fünf Jahre.

Die virale Ausbreitung erfolgte mit juridischem Trick: Ein Entwickler liess OpenAIs Codex die geleakte Version in eine andere Programmiersprache umschreiben – damit umging er US-amerikanisches Urheberrecht und erreichte 50.000 Validierungen in zwei Stunden auf GitHub. Über 100.000 Nutzer erstellten Abzweigungen. Anthropic kann die Verbreitung nicht verhindern.

Kernaussagen

• Anthropic-CEO Dario Amodei verlor Pentagon-Kooperation durch Ablehnung autonomer Waffen; neue Leaks untergraben das Sicherheits-Differenzierungsmerkmal der Firma
• Das Datenleck folgte aus fehlerhaften Release-Prozessen, nicht aus Hacker-Angriffen – trotzdem Reputationsschaden
• Claude Code ist strategisch kritisch (2,5 Mrd. $ Umsatz-Prognose), aber Nutzer-Abhängigkeit könnte kurzfristigen Umsatzschutz bieten
• Autonomere KI-Agenten mit erweiterten Berechtigungen erhöhen strukturell das Datenverlust-Risiko

Kritische Fragen

1. Datenqualität: Wie hat Anthropic überprüft, dass nur das «Harness» geleakt wurde und nicht doch Trainings-Daten oder Modell-Parameter enthalten waren? Werden unabhängige Sicherheitsaudits der Leak-Inhalte veröffentlicht?

2. Interessenskonflikte: Wer in der Anthropic-Geschäftsführung trägt Verantwortung für die fehlende Passwortschutz-Richtlinie? Gibt es Unterschiede zwischen öffentlich kommunizierten und tatsächlichen Sicherheitsstandards?

3. Kausalität: War das Release-Versagen isoliert oder Symptom einer grundsätzlich überforderten DevOps-Kultur bei Anthropic? Welche anderen Dateienpaket-Versionen könnten ähnliche Fehler enthalten?

4. Umsetzbarkeit & Risiken: Können Konkurrenten oder böswillige Akteure aus dem «Harness»-Code allein Modell-Schwächen ausnutzen, oder benötigen sie zusätzlich Zugriff auf Trainings-Daten? Wie schnell können autonomere Funktionen (mit erweiterten Berechtigungen) zu unkontrolliertem Datenzugriff führen?

5. Regulatorische Folgen: Werden die wiederholten Sicherheitspannen zu Behörden-Untersuchungen (FTC, CISA) führen? Könnte die Pentagon-Entscheidung, Anthropic als Lieferkettenrisiko zu klassifizieren, durch Drittanbieter-Sperrungen verschärft werden?

6. Nutzer-Schutz: Welche Transparenz gibt Anthropic darüber, wie lange Daten wirklich gelöscht werden, und ob automatisierte KI-Hintergrund-Prozesse den Datenschutz beeinträchtigen?

Quellenverzeichnis

Primärquelle: Anthropic veröffentlicht aus Versehen Quellcode von Claude Code – NZZ, 03.04.2026 (Leonid Leiva Ariosa)

Ergänzende Quellen (erwähnt):

1. The Register (Bericht zu Claude-Code-Datensammlung)
2. Fortune (3.000 ungeschützte Anthropic-Dokumente)
3. GitHub (Verbreitungsmetriken geleakter Versionen)

Verifizierungsstatus: ✓ 03.04.2026

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt.
Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 03.04.2026