Er is een kritieke beveiligingsfout aan het licht gekomen in Claude Code, de AI-codeeragent van Anthropic: de volledige broncode is per ongeluk online gelekt. De blootstelling van 59,8 MB, die 512.000 regels TypeScript bevat, bevat gevoelige details zoals het toestemmingsmodel, beveiligingsvalidators, niet-uitgebrachte functies en verwijzingen naar toekomstige AI-modellen. Dit lek gaat niet alleen over verloren intellectueel eigendom; het verandert fundamenteel het risicolandschap voor ondernemingen die AI-ondersteunde ontwikkelingstools gebruiken.
De inbreuk en de onmiddellijke impact ervan
Op 31 maart verscheepte Anthropic per ongeluk een bronkaartbestand in versie 2.1.88 van het @anthropic-ai/claude-code npm-pakket. Binnen enkele uren verspreidde de code zich over GitHub, ondanks de eerste pogingen van Anthropic om DMCA-verwijderingen uit te voeren. De gelekte codebase onthult de interne architectuur van Claude Code, inclusief het agentische harnas voor toolgebruik, bestandsbeheer en uitvoering van bash-opdrachten. Concurrenten en startups kunnen de functionaliteit nu repliceren zonder reverse engineering, waardoor de ontwikkeling van AI wordt versneld en de concurrentievoordeel van Anthropic wordt ondermijnd.
De dubbele dreiging: combinatie van bronlekken en malware
De timing van het lek viel samen met een kwaadaardige versie van het axios npm-pakket dat een trojan voor externe toegang bevatte. Teams die Claude Code tussen 00:21 en 03:29 UTC op 31 maart updaten, hebben mogelijk per ongeluk zowel de blootgestelde bron als de malware tegelijkertijd geïnstalleerd. Deze dubbele blootstelling benadrukt de bredere kwetsbaarheid van het vertrouwen op afhankelijkheden van derden zonder rigoureuze verificatie.
Waarom dit belangrijk is: AI-gegenereerde code en IP-bescherming
Claude Code is voor 90% door AI gegenereerd, wat juridische vragen oproept over de bescherming van intellectueel eigendom onder de Amerikaanse auteursrechtwetgeving. De gelekte code heeft mogelijk de IP-waarde verminderd, vooral omdat deze algemeen beschikbaar wordt. Belangrijker nog is dat het incident een systemische kloof onderstreept tussen de capaciteit van AI-producten en operationele discipline, zoals opgemerkt door Gartner. Bedrijven moeten de evaluaties van hun AI-leveranciers opnieuw beoordelen om naast innovatie prioriteit te geven aan de volwassenheid van de beveiliging.
Drie exploitpaden onthuld door het lek
De gelekte bronkaart maakt eerder theoretische aanvallen praktisch. Beveiligingsonderzoekers hebben drie belangrijke kwetsbaarheden in kaart gebracht:
- Contextvergiftiging: Door kwaadaardige instructies in configuratiebestanden te injecteren, kunnen aanvallers Claude Code manipuleren om schadelijke opdrachten uit te voeren.
- Sandbox Bypass: Door discrepanties in het parseren van bash-opdrachten kunnen aanvallers beveiligingsvalidators omzeilen door misbruik te maken van edge-case-gedrag.
- Bewapende samenwerking: Aanvallers kunnen het coöperatieve karakter van het model bewapenen door een vergiftigde context te creëren die ertoe leidt dat het kwaadaardige commando’s uitvoert die legitiem lijken.
Waarschuwingen van experts: te brede machtigingen
CrowdStrike CTO Elia Zaitsev waarschuwt voor het verlenen van buitensporige toestemmingen aan AI-agenten. “Geef een agent geen toegang tot alles alleen maar omdat je lui bent”, zei hij. “Geef het alleen toegang tot wat het nodig heeft om de klus te klaren.” De gelekte bron toont aan dat het toestemmingssysteem van Claude Code gedetailleerd is, maar dat bedrijven aan hun kant een soortgelijke discipline moeten afdwingen.
Vijf onmiddellijke acties voor veiligheidsleiders
Om de risico’s te beperken moeten veiligheidsleiders deze week de volgende stappen ondernemen:
- Configuratiebestanden controleren: Scan
CLAUDE.mden.claude/config.jsonin alle gekloonde opslagplaatsen op kwaadaardige instructies. - Behandel MCP-servers als niet-vertrouwd: Pin versies, controleer afhankelijkheden en controleer op ongeautoriseerde wijzigingen.
- Beperk Bash-machtigingen: Implementeer geheime scans voorafgaand aan het vastleggen om lekken van inloggegevens te voorkomen.
- Vraag verantwoordelijkheid van leveranciers: Vereist dat leveranciers van AI-codeeragenten SLA’s, uptimegeschiedenis en documentatie over incidentreacties verstrekken. Architect voor 30 dagen overstapmogelijkheid van leverancier.
- Verifieer de herkomst van de commit: Implementeer verificatie van de commit-herkomst om te voorkomen dat door AI ondersteunde code de attributie verwijdert.
De gelekte bronkaart is een goed gedocumenteerde foutklasse; Apple en Persona hadden het afgelopen jaar te maken met soortgelijke incidenten. De blootstelling van Anthropic vormt nu een systemische bedreiging voor het hele AI-ontwikkelingsecosysteem. De vraag is niet of dit opnieuw zal gebeuren, maar hoe voorbereid bedrijven zijn als dit gebeurt.
