Claude-Code-Quellkarten-Leck zeigt, dass minifizierter JavaScript-Code bereits öffentlich auf npm verfügbar war

Was tatsächlich beim "Leak" passierte

Eine .map-Source-Map-Datei für interne Debugging-Zwecke wurde versehentlich in Version 2.1.88 des @anthropic-ai/claude-code-Pakets auf npm eingeschlossen. Der Sicherheitsforscher Chaofan Shou entdeckte sie und postete auf X. Anthropic bestätigte, dass es sich um ein "Release-Packaging-Problem durch menschliches Versagen, nicht um einen Sicherheitsverstoß" handelte. Das Paket wurde zurückgezogen, war aber bereits überall gespiegelt worden.

Dies ist das zweite Mal, dass dies passiert ist – ein fast identischer Source-Map-Leak ereignete sich im Februar 2025, dreizehn Monate zuvor.

Der Code war bereits öffentlich

Claude Code wird als einzelne gebündelte JavaScript-Datei – cli.js – über npm verteilt. Sie ist 13 MB groß, umfasst 16.824 Zeilen JavaScript und war seit Produktstart öffentlich auf unpkg.com/@anthropic-ai/claude-code/cli.js zugänglich.

Die Datei ist minifiziert, aber nicht obfuskiert. Hier ist der Unterschied:

• Minifizierung (was jeder Bundler wie esbuild, Webpack, Rollup standardmäßig tut) verkürzt Variablennamen und entfernt Leerzeichen
• Obfuskierung verschlüsselt Zeichenfolgen, vereinfacht Kontrollfluss, injiziert toten Code, fügt Anti-Tamper-Mechanismen hinzu

Claude Code hat eine Standard-Minifizierung mit Variablennamen-Verschleierung und Leerzeichenentfernung, aber keine der Obfuskierungstechniken:

• Zeichenfolgenverschlüsselung/-codierung: Nein
• Kontrollflussvereinfachung: Nein
• Tote-Code-Injektion: Nein
• Selbstverteidigung / Anti-Tamper: Nein
• Zeichenfolgen-Array-Rotation: Nein
• Eigenschaftsnamen-Verschleierung: Nein

Extrahieren des Klartextinhalts

Alle 148.000+ Zeichenfolgenliterale liegen im Klartext vor. Jeder Systemprompt, jede Tool-Beschreibung, jede Verhaltensanweisung ist mit einem Texteditor lesbar. Keine Source Maps erforderlich.

Mit einem einfachen AST-basierten Extraktionsskript kann die gesamte 13 MB große Datei in 1,47 Sekunden geparst werden, um 147.992 Zeichenfolgen zu extrahieren. Nach der Kategorisierung:

• 1.017 Systemprompts und Anweisungen
• 431 Tool-Beschreibungen
• 837 einzigartige Telemetrie-Ereignisnamen (alle mit tengu_ – dem internen Codenamen von Claude Code – präfixiert)
• 504 Umgebungsvariablen, die das Produktverhalten steuern
• 3.196 Fehlermeldungen
• Fest codierte Endpunkte, OAuth-URLs, ein DataDog-API-Schlüssel, der vollständige Modellkatalog

Reaktion der Community

Innerhalb eines einzigen Tages nach der Entdeckung der Source Map:

• Code-Dumps erschienen auf GitHub (wie nirholas/claude-code), innerhalb von Stunden von Anthropic per DMCA entfernt, aber hunderte Male geforkt
• Claw Code – eine vollständige Rust-Neuimplementierung der Claude-Code-Architektur – erreichte 50.000 GitHub-Sterne in 2 Stunden und wurde damit das schnellste Repo in der Geschichte, das diesen Meilenstein erreichte
• ccleaks.com tauchte auf – eine vollständig gestaltete Analyse-Website, die jedes unveröffentlichte Feature, jeden versteckten Befehl und jedes Build-Flag im Quellcode katalogisiert
• Dutzende Analyseartikel auf DEV Community, YouTube und Tech-Blogs, die jedes Detail sezierten

Geoffrey Huntley veröffentlichte bereits Monate vor diesem Vorfall eine vollständige "Cleanroom-Transpilation" von Claude Code.