TLDR: Ende März 2026 verlor Anthropic innerhalb von fünf Tagen die Kontrolle über zwei zentrale Geschäftsgeheimnisse: Zuerst wurde ein unveröffentlichtes KI-Modell namens “Mythos” durch einen CMS-Fehler öffentlich. Dann landeten 512’000 Zeilen Quellcode von Claude Code über ein falsch konfiguriertes npm-Paket im Netz. Darin: 44 versteckte Features, interne System-Prompts, die gesamte Produkt-Roadmap und ein “Undercover-Modus”, der Claude anweist, seine KI-Identität zu verbergen. Für die KI-Branche hat das Konsequenzen, die weit über eine Peinlichkeit hinausgehen.
Fünf Tage, zwei Pannen, ein Muster
Am 27. März 2026 machte Anthropic knapp 3’000 interne Dateien über das eigene Content-Management-System öffentlich zugänglich. Sicherheitsforscher Roy Paz von LayerX Security und Alexandre Pauwels von der Universität Cambridge entdeckten den ungesicherten Datenspeicher Fortune, in dem sich unter anderem ein Blogpost-Entwurf befand. Dieser beschrieb ein neues Modell mit dem Codenamen “Mythos”, intern auch “Capybara” genannt.
Vier Tage später, am 31. März, folgte der grössere Vorfall. Bei der Veröffentlichung von Version 2.1.88 des npm-Pakets @anthropic-ai/claude-code wurde eine Source-Map-Datei mitgeliefert, die auf ein ZIP-Archiv auf Anthropics Cloudflare-Speicher verwies The Register. Darin: 512’000 Zeilen TypeScript-Code, verteilt auf 1’906 Dateien, 44 versteckte Feature-Flags DEV Community. Sicherheitsforscher Chaofan Shou entdeckte das Leck und machte es öffentlich The Register. Ein GitHub-Mirror erreichte über 41’500 Forks innerhalb weniger Stunden The Register.
Anthropics offizielle Reaktion: Ein Sprecher erklärte, es handele sich um ein “Release-Packaging-Problem durch menschliches Versagen, nicht um eine Sicherheitslücke” CNBC. Bloomberg berichtet, dass ein hochrangiger Anthropic-Manager den Vorfall auf “Prozessfehler” zurückführte, die mit dem schnellen Veröffentlichungszyklus zusammenhingen Bloomberg.
Was im Code steckt: Kein Konzeptpapier, sondern fertiger Code
Die 44 Feature-Flags im Quellcode sind keine Skizzen. Es handelt sich um funktionstüchtigen TypeScript-Code, der lediglich über Compile-Time-Flags deaktiviert wurde. Stell Dir Lichtschalter vor: Die Funktionen sind eingebaut, aber für externe Nutzer:innen auf “aus” gestellt.
Die wichtigsten Funde:
KAIROS ist ein dauerhaft aktiver Hintergrund-Agent. Der Name stammt vom altgriechischen Konzept “zur richtigen Zeit” und taucht über 150 Mal im Quellcode auf. KAIROS erlaubt es Claude Code, als autonomer Daemon im Hintergrund zu arbeiten und nutzt einen Prozess namens “autoDream”, bei dem der Agent während der Inaktivität des Nutzers “Gedächtniskonsolidierung” durchführt VentureBeat.
Coordinator Mode ermöglicht einem Claude, mehrere “Worker”-Claudes parallel zu steuern, jeder mit eigenem Toolset, Kommunikation über XML-Scratchpads.
Undercover Mode ist der kontroverseste Fund: Claude Code ist so programmiert, dass es zu öffentlichen Open-Source-Projekten beiträgt und dabei verbirgt, dass es eine KI ist. Der System-Prompt lautet explizit: “You are operating UNDERCOVER… Do not blow your cover.” In der Hacker-News-Diskussion wurde darauf hingewiesen, dass KI-verfasste Commits von Anthropic-Mitarbeiter:innen in Open-Source-Repositories keinerlei Kennzeichnung tragen würden DEV Community.
Dazu kommen: vollständiger Voice-Command-Modus, echte Browser-Steuerung via Playwright, Cron-Scheduling für automatisierte Agent-Aufgaben und ein “DREAM System” für persistenten Speicher über Sessions hinweg.
Mythos: Grösser als Opus, gefährlicher als geplant
Das erste Leck enthüllte mehr als einen Namen. Mythos führt eine vierte Tier-Stufe ein, die über der bisherigen Spitze (Opus) liegt. Anthropic beschreibt Capybara als eine neue Modellstufe, die grösser und leistungsfähiger sei als die bisherigen Opus-Modelle Fortune. In der Bestätigung gegenüber Fortune sprach ein Unternehmenssprecher von einem “Allzweckmodell mit bedeutenden Fortschritten in Reasoning, Coding und Cybersecurity” Fortune.
Der heikle Punkt: Anthropic selbst stuft Mythos als ernstes Cybersicherheitsrisiko ein. Der geleakte Blogpost-Entwurf warnt, das Modell sei anderen KI-Modellen in Cybersecurity-Fähigkeiten weit voraus und könne eine Welle von Modellen auslösen, die Schwachstellen schneller ausnutzen, als Verteidiger:innen reagieren können Futurism. Laut Axios warnt Anthropic hochrangige Regierungsvertreter:innen, dass Mythos grossangelegte Cyberattacken im Jahr 2026 deutlich wahrscheinlicher mache Euronews.
Der Quellcode zeigt interne Kommentare, die belegen, dass Anthropic bereits an Capybara v8 arbeitet, das Modell aber noch mit einer Falschbehauptungsrate von 29-30% kämpft, was sogar eine Verschlechterung gegenüber der Rate von 16,7% in v4 darstellt VentureBeat. Das sind interne Benchmark-Daten, die Wettbewerber:innen normalerweise nie zu sehen bekommen.
Der konkrete Schaden: Wettbewerb, Sicherheit, Börsengang
Claude Code generiert mittlerweile über 2,5 Milliarden Dollar Jahresumsatz CNBC. Anthropic hat im Februar 2026 eine 30-Milliarden-Dollar-Finanzierungsrunde bei einer Bewertung von 380 Milliarden Dollar abgeschlossen CNBC. Berichten zufolge strebt das Unternehmen einen Börsengang bereits im Oktober 2026 an, mit einem möglichen Emissionsvolumen von über 60 Milliarden Dollar The Tech Portal.
Zwei grössere Datenlecks Monate vor einem geplanten IPO sind kein kosmetisches Problem. Vor allem nicht für ein Unternehmen, das seine gesamte Marke auf Sicherheit aufbaut.
Der Wettbewerbsschaden ist konkret und in vier Dimensionen messbar:
Erstens: Die Agent-Architektur. Der Leak gibt Konkurrent:innen von etablierten Unternehmen bis hin zu agilen Wettbewerbern wie Cursor einen wörtlichen Bauplan für den Aufbau eines kommerziell tragfähigen KI-Agenten VentureBeat. Was normalerweise Monate an Reverse-Engineering gekostet hätte, liegt jetzt offen vor.
Zweitens: Die Produkt-Roadmap. Der Leak übergibt Konkurrent:innen eine detaillierte Roadmap unveröffentlichter Features Axios. KAIROS, ULTRAPLAN, Coordinator Mode, Voice Control, Playwright-Browser-Automatisierung und persistenter Speicher: All das war als zukünftiger Wettbewerbsvorteil geplant.
Drittens: System-Prompts und interne Logik. Ein Teil der Fähigkeiten von Claude Code stammt nicht vom zugrundeliegenden Sprachmodell, sondern vom Software-“Harness”, der um das Modell herum gebaut ist und Instruktionen, Tool-Nutzung und Leitplanken bereitstellt Fortune. Genau dieser Harness ist nun öffentlich.
Viertens: Sicherheitslücken. Die grössere Sorge ist der begleitende Supply-Chain-Angriff: Nutzer:innen, die Claude Code via npm am 31. März 2026 zwischen 00:21 und 03:29 UTC installiert oder aktualisiert haben, könnten eine trojanisierte Version der HTTP-Bibliothek mit einem Remote-Access-Trojaner erhalten haben The Hacker News. Hier geht es nicht um theoretische Risiken, sondern um konkrete Angriffsvektoren.
Open Source übernimmt: Der Geist ist aus der Flasche
Ein Clean-Room-Rewrite namens “claw-code”, zunächst in Python und dann in Rust, erreichte 100’000 GitHub-Stars innerhalb eines Tages und wurde damit zum am schnellsten wachsenden Repository in der Geschichte von GitHub Cybernews. Der Klon hat inzwischen mehr Stars als Anthropics offizielles Claude-Code-Repository Cybernews.
Anthropic liess Tausende GitHub-Repos über DMCA-Takedowns entfernen, musste dann aber einen Grossteil der Takedowns wieder zurückziehen TechCrunch. Andere Projekte haben Telemetrie und Sicherheitsleitplanken entfernt und alle experimentellen Features freigeschaltet. Diese “entsperrten” Versionen erlauben sogar die Nutzung von Konkurrenzmodellen Cybernews.
Der juristische Hebel ist begrenzt. Anthropics eigener CEO hat angedeutet, dass wesentliche Teile von Claude Code von Claude selbst geschrieben wurden. Ein US-Berufungsgericht hat 2025 bestätigt, dass KI-generierte Werke keinen automatischen Urheberrechtsschutz geniessen DEV Community. Wenn Anthropics Copyright-Anspruch auf KI-verfassten Code juristisch fragwürdig ist, schwächt das die gesamte Takedown-Strategie.
Was das langfristig bedeutet
Kurzfristig wird Anthropic dieses Leck überstehen. Das Unternehmen hat eine starke Marktposition, eine wachsende Kundenbasis und genug Kapital. Der langfristige Effekt ist ein anderer.
Für die Branche: Die Commoditisierung von Agent-Infrastruktur beschleunigt sich. Wenn die Architektur hinter dem kommerziell erfolgreichsten KI-Coding-Tool der Welt öffentlich ist, verschiebt sich der Wettbewerb. Es geht weniger darum, wer die beste Agent-Architektur baut, sondern wer sie am schnellsten in konkrete Workflows integriert.
Für Unternehmen: Sicherheitsversprechen von KI-Anbietern verdienen eine kritischere Prüfung. Wenn das selbsternannte “Safety-First”-Unternehmen der Branche seinen gesamten Quellcode über eine npm-Konfigurationsdatei leakt, wie belastbar sind dann die Sicherheitszusagen weniger profilierter Anbieter?
Für die Cybersecurity-Debatte: KI-Führungskräfte sagten Axios, dass auch OpenAI und andere grosse Tech-Unternehmen eigene hochleistungsfähige Modelle ankündigen werden, die von Angreifer:innen eingesetzt werden könnten. OpenAIs kommendes Modell mit dem Codenamen “Spud” soll mit Mythos konkurrieren IT Brew. Die Dual-Use-Problematik wird nicht kleiner. Sie wird mit jedem neuen Modell akuter.
Und eine unbequeme Frage bleibt stehen: Das Leck geschah am 31. März, einen Tag vor dem 1. April. Das Buddy/Companion-System im Code hatte ein geplantes Rollout-Fenster vom 1. bis 7. April, direkt einprogrammiert DEV Community. Zufall? Möglich. Das Unternehmen hatte sich zehn Tage zuvor mit der Entwickler-Community angelegt, indem es rechtliche Drohungen gegen OpenCode wegen der Nutzung interner APIs aussprach DEV Community. Danach generierte das “Leck” genau die Art von Aufmerksamkeit, die sich mit Geld kaum kaufen lässt.
Ob Panne oder Kalkül: 512’000 Zeilen Code sind dauerhaft im Netz. Kein DMCA-Takedown kann das rückgängig machen. Die gesamte Branche baut nun auf dem auf, was Anthropic über Jahre und Milliarden entwickelt hat.
Disclaimer: Dieser Artikel wurde nach eigenem Wissen und dann mit Recherchen mit KI (Perplexity.AI und Gemini) manuell zusammengestellt und mit Deepl.com/write vereinfacht. Der Text wird dann nochmals von zwei Personen meiner Wahl gelesen und kritisch hinterfragt. Das Bild stammt von KI (Ideogram). Dieser Artikel ist rein edukativ und erhebt keinen Anspruch auf Vollständigkeit. Bitte melde Dich, wenn Du Ungenauigkeiten feststellst, danke.
Quellen
Axios. (2026, 31. März). Anthropic leaked its own Claude source code. https://www.axios.com/2026/03/31/anthropic-leaked-source-code-ai
Bloomberg. (2026, 1. April). Anthropic cites ‘process errors’ in accidental Claude Code source leak. https://www.bloomberg.com/news/articles/2026-04-01/anthropic-executive-blames-claude-code-leak-on-process-errors
CNBC. (2026, 12. Februar). Anthropic closes $30 billion funding round at $380 billion valuation. https://www.cnbc.com/2026/02/12/anthropic-closes-30-billion-funding-round-at-380-billion-valuation.html
CNBC. (2026, 31. März). Anthropic leaks part of Claude Code’s internal source code. https://www.cnbc.com/2026/03/31/anthropic-leak-claude-code-internal-source.html
Cybernews. (2026, 2. April). Leaked Claude Code source spawns fastest growing repository in GitHub’s history. https://cybernews.com/tech/claude-code-leak-spawns-fastest-github-repo/
Dev.to. (2026, 31. März). The great Claude Code leak of 2026: Accident, incompetence, or the best PR stunt in AI history? https://dev.to/varshithvhegde/the-great-claude-code-leak-of-2026-accident-incompetence-or-the-best-pr-stunt-in-ai-history-3igm
Euronews. (2026, 30. März). What is Anthropic’s Mythos? The leaked AI model that poses ‘unprecedented’ cybersecurity risks. https://www.euronews.com/next/2026/03/30/what-is-anthropics-mythos-the-leaked-ai-model-that-poses-unprecedented-cybersecurity-risks
Fortune. (2026, 26. März). Anthropic says testing Mythos, powerful new AI model, after data leak reveals its existence. https://fortune.com/2026/03/26/anthropic-says-testing-mythos-powerful-new-ai-model-after-data-leak-reveals-its-existence-step-change-in-capabilities/
Fortune. (2026, 31. März). Anthropic source code Claude Code data leak second security lapse. https://fortune.com/2026/03/31/anthropic-source-code-claude-code-data-leak-second-security-lapse-days-after-accidentally-revealing-mythos/
Futurism. (2026, 27. März). Anthropic just leaked upcoming model with ‘unprecedented cybersecurity risks’. https://futurism.com/artificial-intelligence/anthropic-step-change-new-model-claude-mythos
IT Brew. (2026, 31. März). Anthropic leak reveals cybersecurity danger and potential of new model. https://www.itbrew.com/stories/2026/03/31/anthropic-leak-reveals-cybersecurity-danger-and-potential-of-new-model
TechCrunch. (2026, 1. April). Anthropic took down thousands of GitHub repos trying to yank its leaked source code. https://techcrunch.com/2026/04/01/anthropic-took-down-thousands-of-github-repos-trying-to-yank-its-leaked-source-code-a-move-the-company-says-was-an-accident/
The Hacker News. (2026, 1. April). Claude Code source leaked via npm packaging error, Anthropic confirms. https://thehackernews.com/2026/04/claude-code-tleaked-via-npm-packaging.html
The Register. (2026, 31. März). Anthropic accidentally exposes Claude Code source code. https://www.theregister.com/2026/03/31/anthropic_claude_code_source_code/
The Tech Portal. (2026, 27. März). Anthropic targets October 2026 window for potential IPO. https://thetechportal.com/2026/03/27/anthropic-targets-ipo-as-early-as-october-2026-eyes-over-60-billion-raise-report/
VentureBeat. (2026, 31. März). Claude Code’s source code appears to have leaked: here’s what we know. https://venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know
