Im KI-Programmierungsagenten Claude Code von Anthropic ist eine kritische Sicherheitslücke aufgetreten: Der vollständige Quellcode wurde versehentlich online durchgesickert. Die 59,8 MB große Offenlegung, die 512.000 Zeilen TypeScript enthält, enthält vertrauliche Details wie das Berechtigungsmodell, Sicherheitsvalidatoren, unveröffentlichte Funktionen und Verweise auf zukünftige KI-Modelle. Bei diesem Leak geht es nicht nur um den Verlust geistigen Eigentums; Es verändert die Risikolandschaft für Unternehmen, die KI-gestützte Entwicklungstools verwenden, grundlegend.
Der Verstoß und seine unmittelbaren Auswirkungen
Am 31. März hat Anthropic fälschlicherweise eine Quellkartendatei in Version 2.1.88 des npm-Pakets „@anthropic-ai/claude-code“ ausgeliefert. Innerhalb weniger Stunden verbreitete sich der Code auf GitHub, obwohl Anthropic zunächst DMCA-Deaktivierungsversuche unternahm. Die durchgesickerte Codebasis enthüllt die interne Architektur von Claude Code, einschließlich seiner Agentennutzung für die Verwendung von Tools, die Dateiverwaltung und die Ausführung von Bash-Befehlen. Konkurrenten und Start-ups können nun die Funktionalität ohne Reverse Engineering replizieren, was die KI-Entwicklung beschleunigt und gleichzeitig den Wettbewerbsvorteil von Anthropic untergräbt.
Die doppelte Bedrohung: Quellenleck und Malware-Kombination
Der Zeitpunkt des Lecks fiel mit einer bösartigen Version des npm-Pakets „axios“ zusammen, die einen Fernzugriffstrojaner enthielt. Teams, die Claude Code am 31. März zwischen 00:21 und 03:29 UTC aktualisierten, haben möglicherweise versehentlich sowohl die offengelegte Quelle als auch Malware gleichzeitig installiert. Diese doppelte Offenlegung verdeutlicht die größere Anfälligkeit, wenn man sich ohne strenge Überprüfung auf Abhängigkeiten von Drittanbietern verlässt.
Warum das wichtig ist: KI-generierter Code und IP-Schutz
Claude Code ist zu 90 % KI-generiert, was rechtliche Fragen zum Schutz geistigen Eigentums nach dem US-amerikanischen Urheberrecht aufwirft. Der durchgesickerte Code hat möglicherweise den IP-Wert verringert, insbesondere da er allgemein verfügbar wird. Noch wichtiger ist, dass der Vorfall eine systemische Lücke zwischen der Fähigkeit von KI-Produkten und der operativen Disziplin unterstreicht, wie Gartner feststellte. Unternehmen müssen die Bewertungen ihrer KI-Anbieter neu bewerten, um neben der Innovation auch den Sicherheitsreifegrad in den Vordergrund zu stellen.
Drei Exploit-Pfade durch das Leck aufgedeckt
Die durchgesickerte Quellkarte macht bisher theoretische Angriffe praktisch. Sicherheitsforscher haben drei wichtige Schwachstellen identifiziert:
- Context Poisoning: Durch das Einfügen schädlicher Anweisungen in Konfigurationsdateien können Angreifer Claude Code so manipulieren, dass er schädliche Befehle ausführt.
- Sandbox-Umgehung: Diskrepanzen beim Parsen von Bash-Befehlen ermöglichen es Angreifern, Sicherheitsvalidatoren zu umgehen, indem sie Edge-Case-Verhalten ausnutzen.
- Bewaffnete Kooperation: Angreifer können den kooperativen Charakter des Modells zu einer Waffe machen, indem sie einen vergifteten Kontext erstellen, der es dazu bringt, böswillige Befehle auszuführen, die legitim erscheinen.
Expertenwarnungen: Zu weitreichende Berechtigungen
Elia Zaitsev, CTO von CrowdStrike, warnt davor, KI-Agenten übermäßige Berechtigungen zu erteilen. „Geben Sie einem Agenten nicht Zugriff auf alles, nur weil Sie faul sind“, sagte er. „Gewähren Sie ihm nur Zugriff auf das, was es zur Erledigung seiner Aufgabe benötigt.“ Die durchgesickerte Quelle zeigt, dass das Berechtigungssystem von Claude Code granular ist, Unternehmen jedoch eine ähnliche Disziplin auf ihrer Seite durchsetzen müssen.
Fünf Sofortmaßnahmen für Sicherheitsverantwortliche
Um die Risiken zu mindern, sollten Sicherheitsverantwortliche diese Woche die folgenden Schritte unternehmen:
- Konfigurationsdateien prüfen: Scannen Sie „CLAUDE.md“ und „.claude/config.json“ in allen geklonten Repositorys auf schädliche Anweisungen.
- Behandeln Sie MCP-Server als nicht vertrauenswürdig: Versionen pinnen, Abhängigkeiten überprüfen und auf nicht autorisierte Änderungen überwachen.
- Bash-Berechtigungen einschränken: Implementieren Sie das Pre-Commit-Scannen von Geheimnissen, um den Verlust von Anmeldeinformationen zu verhindern.
- Verantwortung der Anbieter einfordern: Von den Anbietern von KI-Codierungsagenten die Bereitstellung von SLAs, Verfügbarkeitsverlauf und Dokumentation zur Reaktion auf Vorfälle verlangen. Architekt für 30-Tage-Anbieterwechselmöglichkeit.
- Commit-Herkunft überprüfen: Implementieren Sie die Überprüfung der Commit-Herkunft, um zu verhindern, dass KI-unterstützter Code die Zuordnung aufhebt.
Die durchgesickerte Quellkarte ist eine gut dokumentierte Fehlerklasse; Apple und Persona erlitten im vergangenen Jahr ähnliche Vorfälle. Die Gefährdung durch Anthropic stellt nun eine systemische Bedrohung für das gesamte KI-Entwicklungsökosystem dar. Die Frage ist nicht, ob dies noch einmal passieren wird, sondern wie gut die Unternehmen darauf vorbereitet sind.
